SOU 2018:25

Juridik som stöd för förvaltningens digitalisering

Till statsrådet Ardalan Shekarabi

Regeringen beslutade vid regeringssammanträde den 24 november 2016 att uppdra åt en särskild utredare att kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen. Utredaren ska lämna förslag till de författningsändringar som bedöms ha störst potential att stödja den fortsatta digitaliseringen av den offentliga förvaltningen. Utredaren ska vidare bl.a. lämna förslag till hur en utvidgad rapportering av hela den offentliga förvaltningens löpande arbete med it och digitalisering kan utformas samt hur aktörerna inom förvaltningen som helhet kan samverka kring behovet av ny eller ändrad lagstiftning för att främja digitaliseringen (dir. 2016:98).

Som särskild utredare förordnades den 24 november 2016 professor Cecilia Magnusson Sjöberg.

Som sekreterare anställdes den 6 februari 2017 juristen Sara Markstedt, med förordnande fr.o.m. den 11 september 2017 som huvudsekreterare i utredningen. Som utredningssekreterare anställdes juristen Ingela Alverfors den 20 februari 2017 och hovrättsassessorn Anja Nordfeldt den 1 oktober 2017.

Som experter att biträda utredningen förordnades den 7 mars 2017 teknikchefen Daniel Akenine, Microsoft, verksamhetsutvecklaren Markus Bill, Försäkringskassan, juristen Sylvia Bylund, Tullverket, tidigare kanslirådet vid Justitiedepartementet, Kerstin Bynander, juristen Johan Bålman, eSamverkansprogrammets kansli vid Pensionsmyndigheten, juristen Malgorzata Drewniak, Lantmäteriet, departementssekreteraren Veronica Eckerby, Finansdepartementet, juristen Ylva Ehn, Socialstyrelsen, vice VD policy & kommunikation Anders Ekholm, Institutet för framtidsstudier, departementssekreteraren Nils Fjelkegård, Finansdepartementet, stadsjuristen Lena Grapp,

Uppsala kommun, stabsjuristen Désirée Veschetti Holmgren, Riksarkivet, chefsjuristen Gustaf Johnssén, Statens servicecenter, rättssakkunniga Helene Karlsson, Finansdepartementet, verksjuristen Linn Kempe, Bolagsverket, tidigare Chief Information Officer vid Kungliga biblioteket Peter Krantz, departementssekreteraren Lotta Lewin Pihlblad, Näringsdepartementet, tidigare verksjuristen vid Centrala studiestödsnämnden, numer Statens tjänstepensionsverk, Johan Lindeberg, juristen Manolis Nymark, Inera AB, förbundsjuristen Pål Resare, Sveriges Kommuner och Landsting, tidigare kanslirådet vid Justitiedepartementet, Maria Sertcanli, informationssäkerhetsspecialisten Kristina Starkerud, Myndigheten för samhällsskydd och beredskap, enhetschefen Katarina Tullstedt, Datainspektionen, verksamhetsutvecklaren Magnus Wallström, Skatteverket och avdelningschefen och chefsjuristen Mikael Westberg, Pensionsmyndigheten. Samma dag förordnades som expert kanslirådet Anders Hektor, Näringsdepartementet, som på grund av andra uppgifter inte haft möjlighet att delta i utredningens arbete. Maria Sertcanli och Kerstin Bynander entledigades från sina uppdrag den 2 oktober 2017 och samma dag förordnades rättssakkunniga Tove Axelsson, Justitiedepartementet, att vara expert i utredningen.

Utredningen redogör för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.

Utredningen som har tagit sig namnet Digitaliseringsrättsutredningen (Fi 2016:13), överlämnar härmed betänkandet Juridik som

stöd för förvaltningens digitalisering (SOU 2018:25).

Stockholm i mars 2018.

Cecilia Magnusson Sjöberg

/Sara Markstedt Ingela Alverfors Anja Nordfeldt

Sammanfattning

Inledning

Digitaliseringen beskrivs som vår tids starkaste förändringsfaktor. Tecken på detta är tillgången till smarta mobiltelefoner och stora datamängder samt utvecklingen inom artificiell intelligens (AI) och sakernas internet. Denna utveckling påverkar den grundläggande verksamheten inom den offentliga förvaltningen inbegripet dess möjligheter att tillhandahålla service till privatpersoner och företag.

Den snabba teknik- och samhällsutvecklingen kräver ett proaktivt arbete med att rättsligt analysera hur den offentliga förvaltningen påverkas av digitaliseringen och vice versa. Vi ser att det finns och kommer att finnas fortsatt behov av att anpassa lagstiftningen för att kunna stödja utvecklingen. I betänkandet utgår vi från de politiska mål och den inriktning som riksdag och regering givit och behandlar frågor om hur rättsliga utmaningar kan hanteras samtidigt som förvaltningens digitalisering främjas.

Värdegrunder i den digitala förvaltningen

De centrala värden som under lång tid burit upp den svenska förvaltningen behöver fortsatt vara en bas för den digitaliserade verksamheten. Det är givetvis angeläget att även det digitala samhället genomsyras av ett demokratiskt synsätt och att alla ska känna en grundtrygghet i den digitala förvaltningen.

För att enskildas tillit till den digitala förvaltningen ska upprätthållas är öppenhet i myndigheternas verksamhet genom möjlighet till insyn fortsatt av stor betydelse. En transparent förvaltning med ordning och reda på uppgifter och informationssamlingar är därtill en nödvändig förutsättning för att den offentliga förvaltningens

datamängder ska kunna vidareutnyttjas på ett sätt som skapar både ekonomiska och i övrigt samhällsnyttiga värden.

En allt mer digitaliserad förvaltning kan samtidigt innebära att samhället öppnar upp för olika risker. God informationssäkerhet är därför nödvändig i den digitala förvaltningen. Att krav på rättssäkerhet i grundlag och förvaltningslagstiftning följs och att dessa värden kan stärkas i den digitala förvaltningen utgör ytterligare centrala aspekter för den framtida utvecklingen. Frågor om vad som ur integritetssynpunkt kan anses tillåtet, såväl när det gäller dataskyddsreglering som sekretessreglering, är också centrala.

För att säkerställa en fortsatt trygg digital förvaltning, som också är innovativ och effektiv, har utredningen beaktat och utgått från de värden som här kort presenterats.

Kartläggning av hindrande eller hämmande lagstiftning

Vårt uppdrag är att i ett brett perspektiv kartlägga lagstiftning som i onödan försvårar digitalisering och digital samverkan inom den offentliga förvaltningen. Vi har träffat representanter för myndigheter och andra berörda aktörer vid 28 särskilda s.k. kartläggningsmöten. Vid urvalet av de verksamheter vi besökt har ansatsen varit att inhämta information ur ett brett perspektiv. I syfte att bl.a. få synpunkter från den privata sektorn har vi vidare anordnat en hearing och även sökt kunskap vid andra aktiviteter, t.ex. deltagande i olika nätverksträffar. I betänkandet presenteras den övergripande bilden av kartläggningsresultatet.

Bland områden där hindrande eller hämmande lagstiftning uppmärksammats särskilt under kartläggningen kan nämnas digital kommunikation med enskilda, frågor om elektroniska identiteter, underskrifter och annan koppling till person, frågor om grunddata, informationsförsörjning och informationsutbyten liksom frågor om digitalisering av ärendeprocesser och automation i förvaltningen. Därtill redovisar vi vårt kartläggningsresultat gällande öppenhet i den digitala förvaltningen, bl.a. vad avser rättsliga frågeställningar som rör öppna data. Kartläggningsresultat visar också på flera frågor om upphandling, utkontraktering och it-avtal. Frågor som rör myndig-

hetssamverkan, kompetens och stöd liksom samverkan kring författningsändringar har också förts fram under kartläggningen vilket redovisas i betänkandet.

En reflektion över kartläggningsresultatet är att lagstiftningen i vidsträckt bemärkelse omfattande lag, förordning eller föreskrift, kan hindra eller hämma digital utveckling inom förvaltningen på flera sätt; genom uppenbara rättsliga hinder, rättslig osäkerhet eller genom avsaknad av reglering.

Automation i förvaltningen

I betänkandet analyseras om gällande rätt nu och framöver möjliggör en tillräckligt god offentlighetsstruktur för att säkerställa insyn i hur förvaltningens verksamhet bedrivs. Detta gäller särskilt vid automatiserade förfaranden när algoritmer med anknytande datorprogram får en allt mer framträdande roll i myndigheters verksamhet. Frågeställningen bottnar i att beslutsfattande och urvalsförfaranden för kontroll m.m. i ökad grad sker helt eller delvis automatiserat med stöd av nya tekniker i stället för av mänskliga handläggare som kan svara på frågor om hur verksamheten bedrivs. Vi bedömer att en anpassning bör göras i den reglering som säkerställer insynsmöjligheter när vissa sådana automatiserade förfaranden används, i syfte att undanröja en rättslig osäkerhet som nu hindrar eller hämmar digitaliseringen samtidigt som offentlighetsprincipen säkerställs och rättssäkerheten stärks.

Vi föreslår närmare bestämt att det ska regleras i författning att en myndighet ska se till att kunna lämna information om hur myndigheten vid handläggning av mål eller ärenden använder algoritmer eller datorprogram som, helt eller delvis, påverkar automatiserade urval eller beslut. Bestämmelsen föreslås införas i 4 kap. offentlighets- och sekretesslagen (2009:400).

Vi lämnar också förslag som främjar inhämtande av beslutsunderlag på annat sätt än direkt från enskilda samtidigt som förvaltningen säkerställer ordning och reda på beslutsunderlag. Uppgifter som utgör underlag i ett mål eller ärende ska som huvudregel tillföras handlingarna i det målet eller ärendet, även när underlaget kommer från databaser eller andra digitala källor. En myndighet behöver dock inte tillföra underlaget om det finns särskilda skäl mot

det, men föreslås då behöva se till att information kan lämnas om vilken eller vilka databaser eller andra digitala källor som innehåller ett underlag för handläggningen. Förslaget innebär en anpassning av 4 kap. 3 § offentlighets- och sekretesslagen.

De föreslagna bestämmelserna ska inte påverka tillämpningen av sekretessregleringen.

Vi föreslår också organiserat arbete för att framgent säkerställa rättssäkra förfaranden när förvaltningen använder artificiell intelligens med maskininlärda algoritmer samtidigt som såväl innovation som samverkan främjas.

Digital kommunikation

I vårt uppdrag ska vi särskilt analysera och föreslå vilket författningsstöd som krävs för att tillvarata den fulla potentialen i regeringens satsning Digitalt först. Det handlar om att möjliggöra en övergång från traditionella ärendeflöden till digitala informationsutbyten mellan den offentliga förvaltningen och individer eller privata aktörer.

Vi föreslår en ny och anpassad reglering om digital kommunikation i förvaltningslagen (2017:900). Syftet är att stärka kraven på att förvaltningen ska vara digitalt tillgänglig på det sätt som allmänheten förväntar sig, samtidigt som tilliten till digitala förfaranden stärks med klara regler om hur sådan kommunikation förväntas gå till.

Förslagen innehåller en ny huvudregel om att myndigheter ska vara skyldiga att tillhandahålla, och på lämpligt sätt anvisa, en eller flera digitala mottagningsfunktioner dit handlingar kan förmedlas. För att säkerställa en lämplig balans mellan intressen av bl.a. effektivitet och säkerhet föreslås att huvudregeln inte tillämpas om det är olämpligt av säkerhetsskäl eller av andra skäl. Ytterligare anpassningar i fråga om förvaltningens kommunikation föreslås också för att skapa tillit till förvaltningens digitala förfaranden. Det gäller reglering om ankomstdag för handlingar som förmedlas digitalt till förvaltningen och om underrättelser om ankomst.

Vi föreslår också en ny huvudregel om att förvaltningens kommunikation till enskilda ska vara digital, om det inte är olämpligt av säkerhetsskäl eller av andra skäl. Enskilda ska också kunna meddela

att de inte önskar ta emot skriftliga underrättelser eller andra handlingar från myndigheten i digital form.

För att stärka de rättsliga förutsättningarna för tillhandahållande av digitala tjänster där ärenden t.ex. kan inledas föreslår vi också att en myndighet bör ges i uppdrag att ta fram allmänna råd eller annat stödmaterial som avser utformningen av sådana tjänster.

Informationssäkerhet

Förvaltningens digitalisering kan inte diskuteras utan att frågor om informationssäkerhet belyses särskilt. Det kan konstateras att reglering beträffande informationssäkerhet som träffar olika aktörer och information, med delvis olika syften, finns spridd i olika föreskrifter. För närvarande pågår också ett antal utredningar och andra initiativ som syftar till att stärka informationssäkerheten ytterligare i den offentliga förvaltningen. Vi ser också en tydlig utveckling, både på EU-nivå och nationellt, att i allt större utsträckning ställa rättsliga krav på informationssäkerhet. Här kan exempelvis nämnas NISdirektivet1 och dataskyddsförordningens2 uttalade krav på säkerhet och förslaget till en reformerad säkerhetsskyddslag.3

Ett mer sammanhållet arbete med informationssäkerhet i den offentliga förvaltningen har potential att effektivisera den digitala utvecklingen utan att säkerheten åsidosätts. Det gäller inte minst när myndigheter samarbetar i gemensamma utvecklingsarbeten som innefattar informationsutbyten. Mot den bakgrunden bedömer vi att det även efter genomförandet av bl.a. NIS-direktivet och ikraftträdandet av en ny säkerhetsskyddslag, kommer att vara angeläget att utforma en generell informationssäkerhetsreglering som omfattar hela förvaltningen, dvs. också kommuner och landsting.

I syfte att stärka informationssäkerheten i hela den offentliga förvaltningen föreslår vi därför att regeringen låter utreda förutsättningarna för att ta fram en kompletterande reglering om informationssäkerhet som omfattar hela den offentliga förvaltningen.

1 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. 2 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 3Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89.

Tystnadsplikt för privata leverantörer

Ur olika perspektiv står frågor om samverkan i fokus för vårt uppdrag. Samverkan i förhållande till privata leverantörer av it-drift och andra it-baserade funktioner har också kommit att utkristallisera sig som ett centralt område. En förklaring till detta är att myndigheter inte alltid har möjlighet att med egna resurser effektivt utveckla de digitala förfaranden som används eller kommer att behöva användas för fortsatt digitalisering i förvaltningen.

Frågan om sekretessregleringen utgör hinder för att i vissa fall lämna ut uppgifter som omfattas av sekretess till privata leverantörer i samband med utkontraktering har diskuterats sedan en tid. Diskussionen har lyfts fram även under vår kartläggning, eftersom osäkerheten kring rättsliga förutsättningar för att utkontraktera särskilt it-drift och andra it-baserade funktioner kan hindra eller hämma digitaliseringen i den offentliga sektorn. En myndighets utlämnande av sekretessreglerade uppgifter vid utkontraktering måste baseras på klara och tydliga regler och skyddet för uppgifter som omfattas av sekretess behöver vara starkt.

Vi föreslår därför en i lag reglerad tystnadsplikt för uppgifter som omfattas av sekretess och som lämnas ut till en privat leverantör i samband med utkontraktering när det är fråga om enbart teknisk bearbetning eller lagring. Tystnadsplikten ska gälla för anställda och uppdragstagare hos en privat leverantör som tekniskt bearbetar eller lagrar uppgifter för en myndighets räkning. Bestämmelsen om tystnadsplikt föreslås införas i en ny lag som ska benämnas lag om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring. Lagen, som är subsidiär i förhållande till säkerhetsskyddslagstiftningen, ska tillämpas när myndigheter, eller vissa organ eller verksamheter som trätt i stället för en myndighet, uppdrar åt en privat leverantör att behandla uppgifter för enbart teknisk bearbetning eller lagring för myndighetens, organets eller verksamhetens räkning. Den föreslagna bestämmelsen om tystnadsplikt är straffsanktionerad.

Vi föreslår också en ny sekretessbrytande bestämmelse för att myndigheter i samband med utkontraktering av enbart teknisk bearbetning eller lagring ska kunna lämna ut sekretessbelagda uppgifter till privata eller offentliga leverantörer. Ett sådant sekretessgenombrott får emellertid bara ske om uppgiften behövs för att

leverantören ska kunna utföra uppdraget. En uppgift får inte heller lämnas ut om övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut eller det av andra skäl är olämpligt. Bestämmelsen föreslås införas i 10 kap. offentlighets- och sekretesslagen.

It-avtal

Mot bakgrund av vår kartläggning har vi funnit anledning att också belysa förvaltningens it-avtal med anknytande personuppgiftsbiträdesavtal. I syfte att skapa bättre förutsättningar för att hantera rättsliga utmaningar med anledning av den fortsatta digitaliseringen bedömer vi att myndigheter allmänt sett bör tillhandahållas utökat stöd i arbetet med att formulera juridiskt hållbara och affärsmässigt gynnsamma villkor i it-avtal.

Vi föreslår därför att den nya Myndigheten för digital förvaltning får i uppdrag att främja den offentliga förvaltningens digitala investeringar genom att stödja myndigheters inköps- och avtalsprocesser och bidra till spridning av goda exempel i fråga om it-avtal.

Vidare föreslår vi ett särskilt uppdrag till vissa myndigheter om ett gemensamt organiserat arbete med att utforma standardavtalsklausuler för personuppgiftsbiträdesavtal. Förslaget gäller sådana personuppgiftsbiträdesavtal som tecknas mellan en myndighet och en privat leverantör i fråga om myndigheters köp av it-drift eller andra it-baserade funktioner.

Rättsutveckling för den digitala förvaltningen

Åtgärder och ställningstaganden från såväl riksdag som regering pekar mot att förvaltningens arbete med digitalisering nu ska genomdrivas med ökat fokus. De förslag till författningsändringar och andra åtgärder som vi lämnar i detta betänkande för att ge en stabil och förvaltningsgemensam bas där juridiken stödjer fortsatt digitalisering kommer inte att vara tillräckliga för att möta de kommande årens behov av förändringar i lagstiftningen. Det finns ett väsentligt större förändringsbehov i lagstiftningen än vad vi inom ramen för denna utredning har haft i uppdrag att ta omhand.

Våra analyser i flera av de frågeställningar som förts fram under kartläggningen redovisas i betänkandet. Fortsatta rättsliga överväganden och ställningstaganden kommer emellertid att behöva göras för att möjliggöra eller stödja digitaliseringen av förvaltningen, samtidigt som teknikutvecklingen fortsätter.

Det kommer att krävas prioriteringar och avvägningar kring hur de rättsliga resurserna används på bästa sätt för att så resurseffektivt som möjligt åstadkomma den rättsutveckling som önskas. Vi bedömer att formerna för samordning av arbetet med författningsändringar kan förbättras så att ändringar kan åstadkommas i rätt tid och i lämplig omfattning för att inte hindra eller hämma önskad digital utveckling inom förvaltningen.

Vi föreslår därför att regeringen tillsätter ett rättsligt beredningsorgan i form av en kommitté eller särskild utredare som under de närmast kommande åren får i uppdrag att löpande ta fram beredningsunderlag för anpassning av gällande rätt vid ärendehandläggning som stöds av såväl befintliga som nya former för digital informationsförsörjning.

I förlängningen ser vi behov av ytterligare insatser för att säkerställa att Sverige kan ligga i framkant vad gäller rättsliga förutsättningar för digitalisering. Här kan den nya Myndigheten för digital förvaltning få en roll att spela. Vi lämnar i denna del inte något förslag, med anledning av att myndigheten för närvarande är under bildande, men bedömer att regeringen bör överväga att i den nya myndigheten också inrätta en funktion med juridisk expertis.

Rapportering av arbete med it och digitalisering

I vårt uppdrag ska vi vidare analysera och lämna förslag på hur en utvidgad rapportering av hela den offentliga förvaltningens löpande arbete med it och digitalisering kan åstadkommas och utformas. Itkostnader utgör det andra största utgiftsslaget i statsförvaltningens verksamhetskostnader och uppgår till uppskattningsvis mellan 25 och 30 miljarder kronor per år. För kommuner, landsting och regioner saknas motsvarande uppgifter om it-kostnadernas storlek.

En rapportering av den offentliga förvaltningens löpande arbete med it och digitalisering syftar enligt vår uppfattning bl.a. till att skapa förutsättningar för bättre uppföljning, styrning, samordning

och kostnadskontroll av hela den offentliga förvaltningens digitala utveckling. Det krävs en god kontroll över de kostnader som digitaliseringen för med sig och en styrning mot digitalisering av de förfaranden där störst mervärde kan skapas.

Vi har mot den bakgrunden bedömt att den offentliga förvaltningen i författning bör åläggas en skyldighet att lämna uppgifter om it-kostnader. Vi har också bedömt att regelverket kring den officiella statistiken kan utgöra en lämplig rättslig infrastruktur för en sådan uppgiftsskyldighet.

Vi föreslår att det i förordningen (2001:100) om den officiella statistiken föreskrivs att kommuner, landsting och kommunalförbund ska lämna uppgifter om it-kostnader för den officiella statistiken. Vi föreslår vidare att Myndigheten för digital förvaltning ska vara ansvarig myndighet för den officiella statistiken för statistikområdet it-kostnader, och att it-kostnader ska vara ett statistikområde under ämnesområdet offentlig ekonomi. Statliga myndigheters uppgiftsskyldighet är redan i dag mer vidsträckt och det krävs ingen ytterligare reglering för att även uppgifter om it-kostnader ska kunna samlas in från dessa myndigheter. Det framgår av befintlig reglering att det ankommer på varje statistikansvarig myndighet att hitta metoder som kan minska uppgiftslämnarbördan. Vi föreslår vidare att regeringen i förordning med instruktion för Myndigheten för digital förvaltning ska utfärda nödvändiga föreskrifter för uppdraget.

Summary

Using the law to support digitalisation of public administration

The Inquiry’s remit has focused on the legal considerations for public

administration that is digitally interoperable. The remit included

surveying and analysing the extent to which there is legislation that unnecessarily obstructs digital transformation and interoperability in public administration.

The remit also included presenting proposals for the legislative

amendments considered to offer the greatest potential to support

continued digitalisation of public administration. We also present certain other measures aimed at creating better conditions for handling legal challenges resulting from the digitalisation of public administration.

We present proposed amendments to Chapter 4 of the Public

Access to Information and Secrecy Act (2009:400) aimed at making it

easier for public authorities to maintain a good structure for public

access to information in certain automated procedures, while safe-

guarding the principle of public access to official documents and strengthening legal certainty. This means ensuring the ability to provide insight into certain automated procedures when algorithms or computer programmes are used in connection with selection or decision-making processes. The Inquiry also presents proposals that promote the possibilities for public administration to collect

decision-making data by means other than directly from individuals,

at the same time as public administration safeguards good order regarding decision-making data collected or read from digital sources.

We also present proposals for continued organised work to ensure legally certain procedures when public administration uses AI

systems with machine learning algorithms, while promoting both

innovation and interoperability.

In our report, we further propose introducing new and adapted regulations on digital communication in the Administrative Procedure Act (2017:900). The aim is to strengthen requirements on public administration to meet the public’s expectations of digital accessibility, at the same time as clear rules on how this communication is expected to take place strengthen confidence in digital procedures. The proposals contain a new general rule stipulating that public authorities will be required to provide and, in an appropriate manner, allocate one or more digital reception functions to which documents can be delivered. Certain exceptions to the general rule are proposed to guarantee a good balance between the interests of e.g. efficiency and security. Additional adjustments are also proposed when it comes to communication by public administration in order to create confidence in public administration’s digital procedures concerning adjustment of rules on the date of arrival for documents sent digitally to a public administration body and on notifications. To strengthen the legal conditions for the provision of digital services where cases can be opened, we have also proposed tasking a public authority with drafting general advice or other support material regarding the design of such services. We also propose a new general rule stating that public administration communications to individuals must be digital.

Digital administration must be legally certain as well as being secure in other aspects. Therefore, in addition to the proposals presented above, the Inquiry also presents some proposals aimed at creating a stable legal basis for the continued development of a digital administration that is interoperable both internally and in relation to private actors. We propose that the Government appoint an inquiry to examine the need to strengthen regulations on information security for public administration as a whole. We also propose a new act on

confidentiality when outsourcing to private suppliers who handle public

authority information solely for technical processing or storage purposes. In addition, we propose a new provision that overrides

secrecy in Chapter 10 of the Public Access to Information and Secrecy Act

to allow public authorities to provide certain classified information to private or public suppliers in connection with outsourcing of technical processing or storage. Furthermore, we propose strengthening the conditions for handling legal challenges resulting from digitalisation

by means of the Government tasking certain public authorities with providing increased support in authorities’ IT agreement processes and with regard to personal data processor agreements.

Measures and positions from both the Riksdag and the Government indicate that even greater focus will now be given to digitalisation work carried out by public administration. Our remit also included presenting proposals on how all actors in public administration can collaborate on the need for new or amended legislation to promote digitalisation. We propose that the Government appoint a legal preparatory body that, over the next few years, is tasked with regularly providing preparatory material for adapting current legislation on digitalisation of case processing in public administration, supported by digital information exchanges and new forms of digital information supply.

In addition, the Inquiry was tasked with providing proposals on possible designs for augmented reporting of the entire public administration’s regular work on IT and digitalisation. In this part of its remit, the Inquiry proposes that, in the Official Statistics Ordinance (2001:100), an obligation be imposed on public administration to provide information on IT costs.

1. Författningsförslag

1.1. Förslag till lag (2019:000) om tystnadsplikt vid utkontraktering av teknisk bearbetning och lagring

Härigenom föreskrivs följande.

Lagens tillämpningsområde

1 § Denna lag gäller när en myndighet uppdrar åt en privat leverantör att behandla uppgifter för enbart teknisk bearbetning eller teknisk lagring för myndighetens räkning.

2 § Vid tillämpningen av denna lag ska följande organ och verksamheter jämställas med en myndighet

1. aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner, landsting eller kommunalförbund utövar ett rättsligt bestämmande inflytande enligt 2 kap. 3 § offentlighets- och sekretesslagen (2009:400),

2. de organ som anges i bilagan till offentlighets- och sekretesslagen beträffande den verksamhet som anges där, eller

3. en yrkesmässigt bedriven enskild verksamhet som till någon del är offentligt finansierad och som anges i 2 § första stycket lag (2017:151) om meddelarskydd i vissa enskilda verksamheter.

3 § Om det i säkerhetsskyddslagen (2018:000) eller i säkerhetsskyddsförordningen (1996:633) finns bestämmelser som avviker från denna lag ska de bestämmelserna gälla.

Tystnadsplikt

4 § Den som på grund av anställning eller uppdrag hos en privat leverantör tekniskt bearbetar eller tekniskt lagrar uppgifter för en myndighets räkning, får inte obehörigen röja eller utnyttja dessa uppgifter.

I det allmännas verksamhet tillämpas i stället bestämmelserna i offentlighets- och sekretesslagen (2009:400). _________

Denna lag träder i kraft den 1 juli 2019.

1.2. Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 4 kap. 3 § och rubriken före 4 kap. 3 § ska ha följande

lydelse,

dels att det ska införas två nya paragrafer, 4 kap. 3 a § och 10 kap.

2 a §, och en ny rubrik före 10 kap. 2 a § av följande lydelse.

Nuvarande lydelse Föreslagen lydelse

4 kap.

Överföring av upptagning för automatiserad behandling i läsbar form i vissa fall

God offentlighetsstruktur vid vissa automatiserade förfaranden

3 §

Om en myndighet för handläggning av ett mål eller ärende använder sig av en upptagning för

automatiserad behandling, ska upptagningen tillföras hand-

lingarna i målet eller ärendet i läsbar form, om det inte finns

särskilda skäl mot det.

Om en myndighet för handläggning av ett mål eller ärende använder sig av ett underlag i en

databas eller annan digital källa,

ska underlaget tillföras handlingarna i målet eller ärendet i läsbar form. En myndighet behöver inte

tillföra underlaget till handlingarna i målet eller ärendet enligt första meningen om det finns särskilda skäl mot det.

När en myndighet tillämpar första stycket andra meningen ska myndigheten se till att information kan lämnas om vilken eller vilka databaser eller andra digitala källor som innehåller ett underlag för handläggningen av målet eller ärendet.

3 a §

En myndighet ska se till att information kan lämnas om hur myndigheten vid handläggning av mål eller ärenden använder algoritmer eller datorprogram som, helt eller delvis, påverkar utfallet eller beslutet vid automatiserade urval eller beslut.

10 kap.

Teknisk bearbetning och lagring

2 a §

Sekretess hindrar inte att en uppgift lämnas ut till en enskild eller till en annan myndighet som utför uppdrag för enbart teknisk bearbetning eller teknisk lagring för den utlämnande myndighetens räkning, om uppgiften behövs för att utföra uppdraget.

En uppgift ska inte lämnas ut om

1. övervägande skäl talar för att det intresse som sekretessen ska skydda har företräde framför intresset av att uppgiften lämnas ut, eller

2. det av andra skäl är olämpligt.

Denna lag träder i kraft den 1 juli 2019.

1.3. Förslag till lag om ändring i förvaltningslagen (2017:900)

Härigenom föreskrivs i fråga om förvaltningslagen (2017:900)

dels att 22, 25 och 33 §§ ska ha följande lydelse,

dels att det ska införas tre nya paragrafer, 7 a, 8 a, och 22 a §§, två

nya rubriker före 8 a § och en ny rubrik före 22 a § av följande lydelse.

Lydelse enligt SFS 2017:900 Föreslagen lydelse

7 a §

En myndighet ska tillhandahålla och på lämpligt sätt anvisa en eller flera digitala mottagningsfunktioner dit handlingar kan förmedlas, om det inte är olämpligt av säkerhetsskäl eller av andra skäl.

Digital kommunikation

Hur handlingar översänds till enskilda

8 a §

En myndighets skriftliga underrättelser eller andra handlingar till enskilda ska förmedlas digitalt, om det inte är olämpligt av säkerhetsskäl eller av andra skäl.

Enskilda kan meddela att de inte önskar ta emot skriftliga underrättelser eller andra handlingar från myndigheten digitalt.

22 §

En handling har kommit in till en myndighet den dag som handlingen når myndigheten eller en behörig befattningshavare.

Om en handling genom en postförsändelse eller en avi om en betald postförsändelse som innehåller handlingen har nått en myndighet eller behörig befattningshavare en viss dag, ska handlingen dock anses ha kommit in närmast föregående arbetsdag, om det inte framstår som osannolikt att handlingen eller avin redan den föregående arbetsdagen skilts av för myndigheten på ett postkontor.

En handling som finns i en myndighets postlåda när myndigheten tömmer den första gången en viss dag ska anses ha kommit in närmast föregående arbetsdag.

En handling som förmedlats till en anvisad digital mottagningsfunktion ska anses ha kommit in när den tagits emot där.

Underrättelse om ankomst

22 a §

När en handling har anlänt till en anvisad digital mottagningsfunktion ska myndigheten digitalt förmedla underrättelse till avsändaren om detta.

Myndigheten behöver inte förmedla underrättelse till avsändaren enligt första stycket om

1. det på annat sätt framgår för avsändaren att handlingen har tagits emot,

2. handlingen utan onödigt dröjsmål besvaras med ett helt eller delvis automatiserat beslut, eller

3. det är olämpligt.

25 §

Innan en myndighet fattar ett beslut i ett ärende ska den, om det inte är uppenbart obehövligt, underrätta den som är part om allt material av betydelse för beslutet och ge parten tillfälle att inom en bestämd tid yttra sig över materialet. Myndigheten får dock avstå från sådan kommunikation, om

1. ärendet gäller anställning av någon och det inte är fråga om prövning i högre instans efter överklagande,

2. det kan befaras att det annars skulle bli avsevärt svårare att genomföra beslutet, eller

3. ett väsentligt allmänt eller enskilt intresse kräver att beslutet meddelas omedelbart.

Myndigheten bestämmer hur

underrättelse ska ske. Underrät-

telse får ske genom delgivning.

Myndigheten bestämmer om

underrättelse ska ske muntligen eller skriftligen. Underrättelse får

ske genom delgivning.

Underrättelseskyldigheten gäller med de begränsningar som följer av 10 kap. 3 § offentlighets- och sekretesslagen (2009:400).

33 §

En myndighet som meddelar ett beslut i ett ärende ska så snart som möjligt underrätta den som är part om det fullständiga innehållet i beslutet, om det inte är uppenbart obehövligt.

Om parten får överklaga beslutet ska han eller hon även underrättas om hur det går till. Myndigheten ska samtidigt upplysa parten om avvikande meningar som har antecknats enligt 30 § eller enligt särskilda bestämmelser i någon annan författning. En underrättelse om hur man överklagar ska innehålla information om vilka krav som ställs på överklagandets form och innehåll och vad som gäller i fråga om ingivande och överklagandetid.

Myndigheten bestämmer hur

underrättelsen ska ske. En under-

rättelse ska dock alltid vara skriftlig om en part begär det. Underrättelse får ske genom delgivning.

Myndigheten bestämmer om

underrättelse ska ske muntligen eller skriftligen. En underrättelse ska

dock alltid vara skriftlig om en part begär det. Underrättelse får ske genom delgivning.

Denna lag träder i kraft den 1 juli 2019.

1.4. Förslag till förordning om ändring i förordningen (2001:100) om den officiella statistiken

Härigenom föreskrivs i fråga om förordningen (2001:100) om den officiella statistiken att 5 c och 5 d §§ och bilagan ska ha följande lydelse.

Nuvarande lydelse Föreslagen lydelse

5 c §1

Kommuner och landsting ska för den officiella statistiken lämna de uppgifter som avses i 5 § 1–7, samt uppgifter om

1. preliminära och definitiva årliga bokslut,

2. budget och plan för resultat- och balansräkning enligt 5 kap.1 och 2 §§ lagen (1997:614) om kommunal redovisning,

3. utfall av kommunernas och landstingens resultaträkning för räkenskapsårets första tertial samt årsprognoser för innevarande år vid utgången av samma tertial,

4. kommun- och landstingsägda företag, och

5. alternativa utförare av kommun- och landstingsfinansierad verksamhet.

4. kommun- och landstingsägda företag,

5. alternativa utförare av kommun- och landstingsfinansierad verksamhet, och

6. it-kostnader.

Kommuner och landsting ska för den officiella statistiken dessutom lämna kvartalsvisa uppgifter om intäkter och kostnader, finansiella tillgångar och skulder, balansräkningsposter, investeringsutgifter samt kvartalsvisa årsprognoser för dessa.

5 d §2

Kommunalförbund ska för den officiella statistiken lämna de uppgifter som avses i 5 § 1–7 och uppgifter från de årliga boksluten.

Kommunalförbund ska för den officiella statistiken lämna de uppgifter som avses i 5 § 1–7, uppgifter från de årliga boksluten och upp-

gifter om it-kostnader.

Kommunalförbund ska för den officiella statistiken dessutom lämna kvartalsvisa uppgifter om intäkter och kostnader, finansiella

1 Senaste lydelse 2013:946. 2 Senaste lydelse 2013:946.

tillgångar och skulder, balansräkningsposter, investeringsutgifter samt kvartalsvisa årsprognoser för dessa.

Nuvarande lydelse

Bilaga

3

Den officiella statistiken De statistikansvariga myndigheterna

Arbetsmiljöverket Brottsförebyggande rådet Centrala studiestödsnämnden Domstolsverket Ekonomistyrningsverket Finansinspektionen Försäkringskassan Havs- och vattenmyndigheten Kemikalieinspektionen Konjunkturinstitutet Kungliga biblioteket Medlingsinstitutet Myndigheten för familjerätt och föräldraskapsstöd Myndigheten för kulturanalys Myndigheten för tillväxtpolitiska utvärderingar och analyser Naturvårdsverket Pensionsmyndigheten Riksgäldskontoret Skogsstyrelsen Socialstyrelsen Statens energimyndighet Statens jordbruksverk Statens skolverk Statistiska centralbyrån Sveriges lantbruksuniversitet Tillväxtverket Trafikanalys Universitetskanslersämbetet ----------------------------------------------------------------------------

3 Senaste lydelse 2018:35.

-----------------------------------------------------------------------------

Officiell statistik och vilka myndigheter som ansvarar för respektive område

Officiell statistik Ansvarig myndighet

-----------------------------------------------------------------------------

OFFENTLIG EKONOMI

Finanser för den kommunala sektorn Statlig upplåning och statsskuld Beskattning Utfallet av statsbudgeten

SCB

Riksgäldskontoret SCB Ekonomistyrningsverket

PRISER OCH KONSUMTION

-----------------------------------------------------------------------------

Föreslagen lydelse

Bilaga

Den officiella statistiken De statistikansvariga myndigheterna

Arbetsmiljöverket Brottsförebyggande rådet Centrala studiestödsnämnden Domstolsverket Ekonomistyrningsverket Finansinspektionen Försäkringskassan Havs- och vattenmyndigheten Kemikalieinspektionen Konjunkturinstitutet Kungliga biblioteket Medlingsinstitutet

Myndigheten för digital förvaltning

Myndigheten för familjerätt och föräldraskapsstöd Myndigheten för kulturanalys Myndigheten för tillväxtpolitiska utvärderingar och analyser

Naturvårdsverket Pensionsmyndigheten Riksgäldskontoret Skogsstyrelsen Socialstyrelsen Statens energimyndighet Statens jordbruksverk Statens skolverk Statistiska centralbyrån Sveriges lantbruksuniversitet Tillväxtverket Trafikanalys Universitetskanslersämbetet -----------------------------------------------------------------------------

Officiell statistik och vilka myndigheter som ansvarar för respektive område

Officiell statistik Ansvarig myndighet

-----------------------------------------------------------------------------

OFFENTLIG EKONOMI

Finanser för den kommunala sektorn Statlig upplåning och statsskuld Beskattning Utfallet av statsbudgeten

It-kostnader

SCB

Riksgäldskontoret SCB Ekonomistyrningsverket

Myndigheten för digital förvaltning

PRISER OCH KONSUMTION

-----------------------------------------------------------------------------

Denna förordning träder i kraft den 1 januari 2019.

2. Utredningens uppdrag och arbete

2.1. Utredningens uppdrag

Regeringen beslutade den 24 november 2016 att ge en särskild utredare i uppdrag att kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen (se bilaga 1). Av utredningsdirektiven framgår bl.a. att utredaren ska lämna förslag till de författningsändringar som bedöms ha störst potential att stödja den fortsatta digitaliseringen av den offentliga förvaltningen. Utredaren ska vidare lämna förslag till hur en utvidgad rapportering av hela den offentliga förvaltningens löpande arbete med användning av it och digitalisering kan utformas samt hur aktörerna inom förvaltningen som helhet kan samverka kring behovet av ny eller ändrad lagstiftning för att främja digitaliseringen.

Det kan noteras att uppdraget att kartlägga och lämna författningsförslag omfattar hela den offentliga förvaltningen och all den förvaltningsgemensamma lagstiftningen förutom grundlag och därtill inte heller författningar på personuppgiftsområdet. Begränsningen gäller emellertid bara i förhållande till de författningsförslag som lämnas. I utredningsarbetet har vi därför inte sett oss förhindrade att inkludera såväl grundlagsområdet som personuppgiftsområdet i kartläggningen och efterföljande analys.

Vårt omfattande uppdrag i kombination med den begränsade tid vi har haft till förfogande har gjort det nödvändigt med vissa prioriteringar av vilka frågor vi ska ta oss an. Mot denna bakgrund har vi valt att lägga fokus på förvaltningsgemensam lagstiftning och rättsfrågor som enligt vår bedömning har bäst förutsättningar att ge störst effekt för att stödja hela den offentliga förvaltningens digitalisering. Därtill har vi också prioriterat att lyfta fram vissa områden,

såsom informationssäkerhet och it-avtal, som också spelar en avgörande roll för att den offentliga sektorn ska fortsätta sin utveckling i riktning mot en trygg, innovativ och effektiv digital förvaltning.

2.2. Utredningens arbete

Vi har varit angelägna om att bedriva ett utåtriktat utredningsarbete för att få ett så brett och djupt underlag som möjligt. Det gäller både underlag om användning och utveckling av it i den offentliga sektorn och underlag kring vilken lagstiftning som kan anses försvåra digitalisering inklusive digital samverkan inom förvaltningen.

Vi har genomfört totalt 28 kartläggningsmöten där vi har träffat företrädare för både statliga och kommunala myndigheter liksom privata aktörer med en nära koppling till den offentliga sektorn (se vidare kapitel 5.1.2 om vår metod i kartläggningsarbetet och vilka aktörer som deltagit). Vi har därutöver bl.a. haft ett särskilt möte med Kammarkollegiet och ett antal möten med privata företag som erbjuder tjänster med ny digital teknik. I syfte att bl.a. inhämta synpunkter från den privata sektorn har vi vidare anordnat en hearing där ett hundratal representanter från privat och offentlig sektor deltog. Därtill har vi deltagit på konferenser och i olika nätverk och arbetsgrupper.

Vi har haft tre sammanträden med expertgruppen. Dessutom har vi haft särskilda fördjupningsmöten i avgränsade frågor med vissa experter och även andra specialister inom olika områden.

Det har inte uttryckligen ingått i vårt uppdrag att göra en internationell utblick. Vi har trots det, i viss utsträckning, tagit del av information om främst våra grannländers (Danmark, Finland, Norge och Estland) digitala utveckling inom ramen för offentlig förvaltning. Vi har därtill deltagit på seminarier med internationellt fokus.

Vi har enligt våra utredningsdirektiv haft att samråda med Datainspektionen, Myndigheten för samhällsskydd och beredskap och Sveriges Kommuner och Landsting. Vi har under arbetets gång haft separata möten med dessa aktörer och samråden har även fullgjorts genom att dessa tre aktörer varit representerade i utredningens expertgrupp. Viss kontakt har förevarit med Försvarsmakten. Parallellt

med vårt uppdrag har flera andra utredningar behandlat frågor med nära anknytning till vårt arbete. Här kan särskilt nämnas Utredningen om effektiv styrning av nationella digitala tjänster1 som vi har träffat vid flera tillfällen. Vi har även haft kontakt med Expertgruppen för digitala investeringar,2 Delegationen för korrekta utbetalningar,3Utredningen om vissa säkerhetsskyddsfrågor,4 Delegationen för unga och nyanlända till arbete,5 Tillitsdelegationen6 och Utredningen om inrättande av en myndighet för digitalisering av den offentliga sektorn.7

2.3. Betänkandets disposition

I betänkandets inledande kapitel 3 och 4 redogörs för framväxten av, och värdegrunder i, den digitala förvaltningen. I kapitel 5 och 6 ges en översiktlig presentation av kartläggningen följt av några inledande reflektioner.

Kapitel 7 tar sitt avstamp i pågående och kommande automation i förvaltningen. I kapitlet behandlas bl.a. frågor om god offentlighetsstruktur vid vissa automatiserade förfaranden, rättssäkerhet vid förvaltningens användning av AI-system med maskininlärda algoritmer och automationsanpassad lagstiftning.

Kapitel 8 handlar om digital kommunikation, både när det gäller tillgänglighet till förvaltningen och sättet för förvaltningens kommunikation till enskilda.

I kapitel 9 redogörs för vikten av god informationssäkerhet för att trygga den fortsatta utvecklingen av en digital förvaltning. Kapitel 10 handlar om en författningsreglerad tystnadsplikt för privata leverantörer vid utkontraktering av teknisk bearbetning och lagring. I kapitel 11 redogörs för hur bl.a. myndigheters utkontraktering föranleder behov av att teckna juridiskt hållbara och affärsmässigt gynnsamma it-avtal.

Kapitel 12 omhändertar vissa frågor där vi av olika anledningar inte har haft möjlighet att göra djupare analyser eller lämna konkreta

1 Fi N 2016:01. 2 Fi 2017:04. 3 Fi 2016:07. 4 Ju 2017:08. 5 A 2014:06. 6 Fi 2016:03. 7 Fi 2017:09.

förslag. I samma kapitel lämnas också förslag på hur det fortsatta arbetet med nödvändiga författningsändringar ska bedrivas för att sådana ändringar ska kunna åstadkommas i lämplig tid och omfattning.

I kapitel 13 lämnas förslag på hur den offentliga förvaltningen ska rapportera om sitt arbete med it och digitalisering.

I de avslutande kapitlen 14–16 återfinns konsekvensbedömningar, förslag på ikraftträdande avseende de författningsförslag som lämnas och författningskommentar.

3. Framväxten av den digitala förvaltningen

3.1. Tillbakablick

Vårt uppdrag är i huvudsak rättsligt inriktat. För att sätta in vårt arbete i en bredare kontext ser vi emellertid skäl att här kort presentera hur framför allt styrningen av den digitala förvaltningen har växt fram.

Svenska myndigheter har använt it för att utveckla sin verksamhet sedan 1950-talet. Myndigheterna byggde tidigt upp olika typer av dataregister som blev centrala i deras kärnverksamhet, bl.a. med anledning av att välfärdsstatens socialförsäkringsprogram förutsatte en väl utvecklad registerföring. Frågor om hur datordriften i statsförvaltningen och i den kommunala förvaltningen borde samordnas och organiseras har också sedan lång tid tillbaka varit föremål för diskussion.1

Under 1980-talet skapade regeringen ett rationaliseringstryck på myndigheterna som en konsekvens av en debatt kring den stora staten och det höga skattetrycket. Därigenom hamnade bl.a. ADB (automatisk databehandling) i fokus som ett verktyg för att öka myndigheternas produktivitet och effektivitet. Den politiska utmaningen var att förvaltningen skulle leverera mer för mindre. Under denna period i utvecklingen hade medborgaren huvudsakligen rollen som skattebetalare.2 Denna utveckling kan beskrivas som den första generationen av den datoriserade förvaltningen.

1 Se bl.a. Datasamordningskommitténs betänkande ADB och samordning – samordning av

ADB-verksamheten inom den offentliga förvaltningen (SOU 1976:58) och Knutsson, Från räknesnurra till dataplatta – 60 år med kommunal IT 1954–2014, Institutet för informations-

teknologi, 2015. 2 E-delegationens betänkande Strategi för myndigheternas arbete med e-förvaltning (SOU 2009:86), s. 33.

En andra fas i utvecklingen av myndigheternas digitala verksamhet inleddes när internet och webben växte fram under 1990-talet. Myndigheterna hade redan då en relativt hög teknikmognad och etjänster blev ett sätt att underlätta kontakten utåt, men även ett sätt att effektivisera informationsutbytet mellan myndigheter.

Regeringen lade år 2000 fast en strategi för att skapa s.k. 24timmarsmyndigheter.3 Syftet var att myndigheterna skulle öka tjänsteutbudets effektivitet och tillgänglighet. Medborgaren betraktades nu i allt större utsträckning som kund och utmaningen låg i att leverera användarcentrerade och interaktiva e-tjänster.4 Myndigheternas service och information skulle finnas på webben på tider och platser som passade individen. Utvecklingen under denna period dominerades av omfattande centrala initiativ med gemensamma lösningar för hela förvaltningen. Många länder hade t.ex. byggt upp nationella medborgarportaler. I Sverige fanns också sedan en tid tillbaka Sverige.se med avsikten att fungera som medborgarnas ingångsdörr till förvaltningens samlade tjänsteutbud. De stora centrala initiativen visade sig emellertid vid den tiden vara en relativt svårframkomlig väg. I stället växte sektorsvisa samverkansprojekt fram som ett sätt att driva utvecklingen framåt i Sverige med tätare samarbeten mellan myndigheter utan att för den skull kräva alltför stora samlade initiativ.5

Sverige kom under denna period ut väl i olika internationella jämförelser om förvaltningsutvecklingen. Svensk e-förvaltning var den bästa i världen år 2008 enligt FN och tog därmed för första gången över förstaplatsen från USA. I The Economist’s ranking klättrade Sverige från en tredje plats till en andra plats mellan åren 2008 och 2009, medan Danmark tog förstaplatsen.6

Allt mer frekvent förde dock myndigheterna fram krav på en tydligare styrning, finansiering och koordinering av e-förvaltningsarbeten liksom behovet av ökade möjligheter till samverkan med

3Ett informationssamhälle för alla, prop. 1999/2000:86. 4SOU 2009:86 s. 33. 5 Bland annat initiativ som Nationell IT-strategi för vård och omsorg, Geodatarådet, RIFrådet, Verksamt.se, TIFOS (en utökning av tillhandahållandet av folkbokföringsuppgifter i samhället), Minpension.se, Elegitimation.se och Krisinformation.se. Se t.ex. Verva 69 Myndig-

heter redovisar 915 strategiska insatser för utveckling av e-förvaltningen. Analys och sammanställning (2008:14).

6SOU 2009:86 s. 34.

tredje part. Det fanns också indikationer på att det inte var tillräckligt många som använde de e-tjänster som myndigheterna tog fram för att det skulle vara möjligt att realisera förväntade besparingar.7

Regeringen aviserade i budgetpropositionen för år 2007 att den avsåg att stärka styrningen och snabba på utvecklingen av e-förvaltningen.8 I mars 2008 tillsatte regeringen en särskild statssekreterargrupp för strategiska frågor inom e-förvaltning. Under denna grupps ledning arbetade man fram en handlingsplan för e-förvaltning.9I handlingsplanen lades vissa principiella utgångspunkter för e-förvaltningsarbetet fast.

Stabsutredningen föreslog vid ungefär samma tid att dåvarande stabsmyndighet Verket för förvaltningsutveckling (Verva) skulle avvecklas.10 I stället skulle en delegation för e-förvaltning tillsättas för att i nära samverkan med Regeringskansliet driva arbetet med eförvaltning. Verva avvecklades den 31 december 2008 och i mars 2009 fattade regeringen beslut om direktiv till E-delegationen. Delegationen arbetade under åren 2009–2015 med den förvaltningsgemensamma utvecklingen för att skapa förutsättningar att nå regeringens övergripande mål för e-förvaltningen och lämnade ett flertal betänkanden.11 Under den tidsperioden inrättades också Elegitimationsnämnden.

Efter E-delegationen fortsatte myndigheterna som ingick i delegationen och Sveriges Kommuner och Landsting (SKL) att driva frågor om digital samverkan i ett egeninitierat samarbete, E-samverkansprogrammet (eSam).12 Efterhand har fler myndigheter anslutit sig och för närvarande ingår 25 medlemmar i eSam.

Regeringen har efter E-delegationen tillsatt ett råd för digitaliseringen av det offentliga Sverige. Rådet består av 11 ledamöter som representerar myndigheter, kommuner och landsting. Regeringen har också under senare år beslutat om ett antal olika uppdrag på digitaliseringsområdet till statliga myndigheter.13

7 A.a. 8Budgetpropositionen för 2007, prop. 2006/07:1. 9 Handlingsplan för e-förvaltning (Fi2008/491). 10 Stabsutredningens betänkande Ett stabsstöd i tiden (SOU 2008:22). 11 Se E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66) med däri gjorda hänvisningar till delegationens delbetänkanden. 12 Se vidare www.esamverka.se 13 Se bl.a. Utredningen om effektiv styrning av nationella digitala tjänsters delbetänkande

digitalforvaltning.nu (SOU 2017:23), s. 74.

På senare tid har Sverige halkat efter andra länder i internationella jämförelser på digitaliseringens område, särskilt när det gäller digitaliseringen av den offentliga sektorn. Digitaliseringskommissionen har framfört att digitaliseringen av det offentliga är Sveriges akilleshäl. Kommissionen beskrev att placeringen inom detta område var märkbart sämre än inom andra områden, och att det över tid var möjligt att se en negativ trend i hur Sverige placerar sig på området e-förvaltning. Sammanhållna ärendekedjor, transparens i ärendeprocesser och användare i fokus angavs som exempel på aspekter som mäts i indexen där Sverige inte presterar lika bra som andra jämförbara länder, däribland våra nordiska grannländer.14Enligt Utredningen om effektiv styrning av nationella digitala tjänster är den främsta orsaken till detta ett medvetet val att delegera ansvaret för digitaliseringen av den offentliga förvaltningen till myndigheterna. Att arbetet hos myndigheterna varit framgångsrikt i många avseenden kompenserar enligt den utredningen inte för de begränsningar som delegeringen inneburit. Regeringen har också enligt den utredningen avstått från att använda de styrinstrument som står till buds, t.ex. genom att inte förtydliga vilka uppdrag som myndigheterna har när det gäller digitalisering. Utredningen föreslog mot den bakgrunden bl.a. att ansvaret för digitaliseringen skulle samlas hos en myndighet.15

I budgetpropositionen för år 2018 föreslog regeringen att en ny myndighet med uppgift att samordna och stödja den förvaltningsövergripande digitaliseringen skulle inrättas.16 Regeringen har också, i uppdraget till organisationskommittén, anfört att den nya myndigheten medför förbättrade förutsättningar för en säker, effektiv och innovativ verksamhetsutveckling som utgår från användarnas behov. Den nya myndigheten ska placeras i Sundsvall och ska inleda sin verksamhet den 1 september 2018. Myndigheten övertar uppgifter från E-legitimationsnämnden, Ekonomistyrningsverket, Skatteverket, Post- och telestyrelsen, Riksarkivet och Tillväxtverket.17

Den senaste tidens initiativ från regeringen markerar en tydlig förändring av inriktningen av politiken för den digitala förvaltningen, på ett sätt som i flera avseenden innebär en omprövning av

14För digitalisering i tiden (SOU 2016:89), s. 54. 15SOU 2017:23 s. 89 f. 16Budgetpropositionen för år 2018, prop. 2017/18:1, utg.omr. 2 s. 99 f. 17 Inrättande av en myndighet för digitalisering av den offentliga sektorn (dir. 2017:117).

tidigare ställningstaganden. Utredningen om effektiv styrning av nationella digitala tjänster har därför beskrivit det som att nu pågår en omstart av politiken för digitalisering inom den offentliga sektorn.18

3.2. Internationell utblick

Vi har inte haft i uppdrag att göra någon särskild internationell utblick i vårt arbete. Ett uppdrag inom området för digitalisering kan emellertid knappast utföras utan viss orientering om andra länders förutsättningar och arbeten. Vi har därför, främst med de nordiska länderna i åtanke men även i en global kontext, översiktligt studerat framför allt de rättsliga förutsättningarna för en digital förvaltning. De snäva tidsramarna för vårt arbete har dock inte medgett några mer omfattande internationella kontakter, men som framgått i kapitel 2 har vi tagit del av information om främst våra grannländers (Danmark, Finland, Norge och Estland) digitala utveckling inom ramen för offentlig förvaltning. Vi har bl.a. träffat den pågående norska förvaltningslagsutredningen och deltagit vid ett seminarium om Estlands nationella digitala plattform X-Road. Vi har vidare haft möjlighet att ta del av olika författningar från Danmark, Finland och Norge, bl.a. tack vare kontakter som Utredningen om effektiv styrning av nationella digitala tjänster haft med dessa länder.19

Vi redovisar inte här på ett sammanhållet sätt utredningens ovan beskrivna begränsade internationella utblick utan återkommer i det följande till vissa internationella referenser vid våra överväganden, där vi funnit det vara relevant.

3.3. Rättsliga förutsättningar

Den i kapitel 3.1 beskrivna tillbakablicken över framväxten av den digitala förvaltningen utgår främst från hur styrningen av densamma fungerat och vilka organisationsformer som har förekommit. Under den beskrivna tidsperioden har också ett omfattande utrednings- och lagstiftningsarbete ägt rum med relevans för utvecklingen av den digitala förvaltningen. Vi sammanfattar inte här alla de tidigare arbeten som är relevanta för utredningen, utan återkommer i det

18reboot- omstart för den digitala förvaltningen (SOU 2017:114), s. 73 f. 19 Se även bl.a. SOU 2017:23.

följande till några av de tidigare (och pågående) arbetena i sina respektive sammanhang.

Det kan här noteras att tidigare utredningsarbeten i hög grad har varit begränsade i så måtto att utredningarna har varit avgränsade till vissa specifika lagstiftningsområden. Det har alltså inte förut, på motsvarande sätt som för denna utredning, gjorts något utredningsarbete som i ett bredare perspektiv tagit sikte på bl.a. kartläggning och analys av all lagstiftning på området för digitalisering i den samverkande offentliga förvaltningen. Vi redovisar därför utförligt det som framkommit i utredningens kartläggning om hindrande eller hämmande lagstiftning i kapitel 5. Först finns dock anledning att kort presentera några rättsområden som är centrala för den digitala förvaltningen, se kapitel 4.

4. Värdegrunder i den digitala förvaltningen

4.1. Rättsliga utgångspunkter för en fortsatt trygg, innovativ och effektiv digital förvaltning

Möjligheterna i den digitala förvaltningen är stora. Många myndigheter gör mycket och har också kommit långt i sitt arbete med att genom digitala lösningar ge privatpersoner och företag tillgång till enklare och mer sammanhängande tjänster. På så vis minskar bl.a. behovet av uppgiftslämnande och myndigheternas verksamheter kan allmänt sett effektiviseras. I takt med utvecklingen av ny teknik och nya arbetssätt skapas också mervärden genom nya möjligheter till uppföljning, styrning, forskning och kunskap. Samtidigt behöver de centrala värden som under lång tid burit upp den svenska förvaltningen fortsatt vara en bas för den digitala förvaltningen. Det är angeläget att även det digitala samhället genomsyras av ett demokratiskt synsätt och att alla känner en grundtrygghet i den digitala samhällsutvecklingen.

För att enskildas tillit till den digitala förvaltningen ska kunna upprätthållas är inledningsvis transparens i myndigheternas verksamhet genom möjlighet till insyn fortfarande av grundläggande betydelse. En öppen förvaltning med ordning och reda på uppgifter och informationssamlingar är därtill en nödvändig förutsättning för att den offentliga förvaltningens uppgifter ska kunna vidareutnyttjas på ett sätt som skapar både ekonomiska och samhällsnyttiga värden.

God informationssäkerhet är en annan faktor som är nödvändig i den digitala förvaltningen. Att krav på rättssäkerhet i grundlag och förvaltningslagstiftning följs och att dessa värden kan stärkas i den digitala förvaltningen utgör ytterligare centrala aspekter för den framtida utvecklingen. Frågor om vad som ur integritetssynpunkt

kan anses tillåtet, såväl när det gäller dataskyddsreglering som sekretessreglering, är också centrala.

Det som beskrivs i det följande gör inte anspråk på att ge någon heltäckande bild av rättsläget, utan ska tjäna som en kort presentation av centrala rättsliga områden för förståelsen av utredningens bedömningar och förslag. För att främja läsbarheten hänvisar vi i denna introducerande framställning inte till konkreta lagrum, de återkommer vi till i våra fördjupade analyser i kapitel 7–13. Genom att beakta och utgå från de värden som här kort presenteras är det enligt utredningen möjligt att säkerställa en fortsatt trygg digital förvaltning, som också är innovativ och effektiv.

4.2. God offentlighetsstruktur är en nödvändig grund

Öppenhet är en central värdegrund för den svenska förvaltningen. Bakom den grundläggande rätten till insyn i myndigheters verksamhet ligger offentlighetsprincipen. Offentlighetsprincipen har kommit till uttryck på olika sätt i svensk lagstiftning. I tryckfrihetsförordningen stadgas rätten att ta del av allmänna handlingar, även kallad handlingsoffentligheten. Huvudprinciper om rätt till meddelarfrihet för bl.a. offentliganställda tjänstemän och om offentlighet vid domstolsförhandlingar och beslutande församlingars sammanträden är andra uttryck för offentlighetsprincipen.

Syftet med rätten att ta del av allmänna handlingar är rent generellt att främja ett fritt meningsutbyte och en allsidig upplysning. På det sättet markeras att det är fråga om en del av den medborgerliga yttrande- och informationsfriheten, som också utgör en av förutsättningarna för den fria demokratiska åsiktsbildningen. Rätten att ta del av allmänna handlingar har också kommit att fungera som ett viktigt medel för kontroll av offentliga organs verksamhet. Allmänheten får möjlighet att kontrollera handläggningsrutiner, ambitioner och effektivitet. Vetskapen om att en granskning kan utföras anses som en garanti för att myndigheter utför sina uppgifter korrekt. Offentlighetsprincipen har därtill under årens lopp i betydande utsträckning kommit att ligga till grund för uttag av allmänna handlingar för kommersiella ändamål.

Det som ovan beskrivits om syftena med rätten att ta del av allmänna handlingar gäller också i den digitala förvaltningen och måste

ses som en förutsättning för att medborgarna ska fortsätta att sätta sin tillit till det offentliga. Att allmänheten fortsatt ges goda möjligheter till insyn i den digitala förvaltningen är alltså fundamentalt. I det sammanhanget bör också framhållas att transparens gentemot enskilda är en grundpelare i den reformerade EU-rätten om dataskydd, liksom att möjligheter till partsinsyn regleras för att garantera en rättssäker förvaltning. Som närmare redovisas nedan finns dock begränsningar i insynsrätten genom att allmänna handlingar kan omfattas av sekretess.

Här lämnas inte någon fullständig presentation av vad som anses utgöra en allmän handling som omfattas av handlingsoffentligheten enligt tryckfrihetsförordningen (se vidare kapitel 7.6.3). Helt kort kan konstateras att ett antal kriterier måste uppfyllas för att uppgifter i digital miljö ska klassificeras dels som en handling, dels som en allmän sådan. I många fall måste ganska svåra rättsliga överväganden göras för att avgöra om, och i så fall när, ett visst elektroniskt material är att anse som en allmän handling. Handlingsoffentligheten innebär dock som utgångspunkt att myndigheters egna möjligheter till kontroll, sökning och sammanställning av uppgifter i allmänna handlingar ska motsvaras av allmänhetens möjligheter till insyn.

Myndigheter ska ta hänsyn till handlingsoffentligheten när de organiserar sina allmänna handlingar. Utan en god offentlighetsstruktur även i den digitala förvaltningen blir allmänhetens möjligheter till insyn i praktiken kraftigt beskuren. Det är därför nödvändigt att myndigheter även i digitala miljöer håller ordning och reda bland sina informationsmängder. Vissa krav måste också ställas när det gäller dels diarieföring och annan registrering, dels dokumentation av åtgärder. Författningsreglering kring diarieföring och beskrivning av myndighetens allmänna handlingar finns i offentlighets- och sekretesslagstiftningen. För arkiverade handlingar innehåller arkivlagstiftningen därtill vissa bestämmelser om förteckningar som ska föras. Krav på dokumentation för att möjliggöra transparens gentemot enskilda finns dessutom i dataskyddsregleringen. I förvaltningslagstiftningen finns andra krav på dokumentation som syftar till att garantera rättssäkra förfaranden. Det kan konstateras att bilden över författningskrav för säkerställande av att den digitala förvaltningen håller ordning och reda i sina informationsmängder inte är lättöverskådlig.

Förutom de ovan nämnda syftena med rätten att ta del av allmänna handlingar har den offentliga förvaltningen också en central roll i samhällets informationsförsörjning i vidare mening. Att den offentliga förvaltningen försörjer samhället i stort med information är i sig inte någonting nytt. Allt mer framhålls dock vikten av att de uppgifter som myndigheter samlar in och producerar digitalt också tillgängliggörs digitalt som öppna data för att nå en större samhällsnytta. Detta gäller särskilt med tanke på att myndigheterna i den offentliga förvaltningen står för en stor del av produktionen av den datamängd som hela det digitala samhället bygger på, och att mängden av information som produceras ökar i allt snabbare takt. Det handlar om uppgifter som rör bl.a. ekonomi, geografi, lantbruk, meterologi, skog, trafik, turism och vetenskap och som kommer från till exempel register, sensorer eller rapporter. All information som samlas in, produceras och lagras i offentlig förvaltning har både ekonomiska och samhällsnyttiga värden för människor och företag. Att ta till vara på dessa värden, genom innovationer eller med kända medel, bidrar till att öka tillväxten i samhället. Innovationer som bygger på myndigheters informationsmängder kan i förlängningen också användas av det offentliga och i sin tur leda till en än mer effektiv och rättssäker förvaltning genom användande av ny teknik för exempelvis automatiserade beslutsprocesser eller bättre utformade välfärdstjänster.

Öppenhet i den digitala förvaltningen är alltså en helt central värdegrund även för frågan om samhällets informationsförsörjning, och i förlängningen hela samhällets utveckling. En nödvändig faktor för att upprätthålla den transparensen är att även i den digitala förvaltningen åstadkomma en god offentlighetsstruktur med ordning och reda bland förvaltningens informationsmängder. Med en god offentlighetsstruktur som grund kan den tekniska utvecklingen också tas till vara på ett sätt som därtill stärker förvaltningens öppenhet. I förlängningen kommer en sådan transparens också att vara av grundläggande betydelse för den demokratiska förankringen av den offentliga och digitala förvaltningens verksamhet.

4.3. God informationssäkerhet behövs för att möta nya risker

Privatpersoner och företag har, utöver krav på öppenhet, också befogade krav på att den digitala förvaltningen upprätthåller en hög säkerhet när myndigheternas informationsmängder bearbetas, lagras och kommuniceras. Även myndigheter emellan krävs en viss form av tillit till varandras informationssäkerhet för att exempelvis samverkan om informationsutbyten ska kunna komma till stånd.

En allt mer digitaliserad förvaltning kan innebära att samhället öppnar upp för olika risker. Om myndigheter brister i hanteringen av eller säkerheten för information kan det få omfattande konsekvenser, såväl för samhället i stort som för enskilda. Den it-relaterade hotbilden (attacker, it-brott, spionage och kränkningar m.m.) står också under snabb utveckling. För att privata och offentliga utövare ska fortsätta att sätta sin tillit till den digitala förvaltningen krävs förtroende för att myndigheter vid varje tidpunkt har förmåga att hantera information på ett säkert sätt och att möta rådande hotbild.

Med informationssäkerhet förstås företrädesvis en strävan efter att skydda information så att den alltid finns när den behövs, att det går att lita på att den är korrekt och inte manipulerad eller förstörd, att endast behöriga personer får ta del av informationen och att det går att följa hur och när informationen har hanterats och kommunicerats. Informationssäkerheten garanteras genom dels administrativa åtgärder för att skydda information som till exempel föreskrifter eller behörighetsrutiner, dels tekniska åtgärder för itsäkerhet eller fysiska inpasseringskontroller.

I juli 2016 antogs inom EU ett direktiv om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (det s.k. NIS-direktivet), i syfte att förbättra den inre marknadens funktion. Direktivet ska genomföras i svensk rätt och regeringen har lämnat förslag till en ny lag om informationssäkerhet för samhällsviktiga tjänster och digitala tjänster. Regelverket ska enligt förslaget tillämpas av vissa leverantörer av samhällsviktiga eller digitala tjänster. När det gäller reglering avseende informationssäkerhet bör vidare framhållas att sådan information som är sekretessreglerad med hänsyn till rikets säkerhet ges ett särskilt skydd genom säkerhetsskyddslagstiftningen.

Att statliga myndigheter ska se till att informationshanteringen uppfyller krav på säkerhet framgår också i förordningsreglering om krisberedskap och höjd beredskap. Myndigheten för samhällsskydd och beredskap föreskriver dessutom att de statliga myndigheterna dels ska rapportera it-incidenter, dels ska införa ett ledningssystem för informationssäkerhet.

Här finns även anledning att nämna dataskyddsreglernas krav på säkerhet vid behandling av personuppgifter liksom arkivregleringens krav rörande bevarande av handlingar och uppgiftssamlingar över lång tid. Sektorsspecifik reglering om hantering av information kan också innehålla bestämmelser om informationens säkerhet. I sammanhanget bör även den straffrättsliga reglering som innebär kriminalisering av vissa handlingar nämnas, t.ex. brottsbalkens reglering av dataintrång. Det kan konstateras att reglering beträffande informationssäkerhet som träffar olika aktörer och information, med delvis olika syften, finns spridd på olika håll.

På vilket sätt förvaltningen svarar upp mot de olika kraven på informationssäkerhet måste bedömas i enskilda fall så att skyddet för olika typer av information i olika verksamheter varken blir för begränsat eller för krångligt och dyrt. Det förtjänar också att framhållas att en digital förvaltning inte bara medför nya risker som vid varje tidpunkt behöver mötas av en god och väl avvägd informationssäkerhet. En digital förvaltning kan också möjliggöra en hantering av information som är mer säker än en traditionell informationshantering per telefon, fax eller papperspost, utan krav på tidsödande administration som motringningar, säkerställande av att rätt person står vid faxen hos mottagande myndighet vid rätt tidpunkt eller hantering av rekommenderade brev.

4.4. Rättssäkerheten kan stärkas med digitala medel

Vissa grundläggande principer anses känneteckna en rättsstat och tillmäts en avgörande vikt i EU:s rättssystem liksom i Europakonventionen. Legalitetsprincipen brukar framhållas som ett skydd mot en nyckfull och godtycklig maktutövning från det allmännas sida. Principen kommer till uttryck i regeringsformens krav på att all offentlig makt i Sverige ska utgå från folket och utövas under lagarna. I förarbetena till den nya förvaltningslagen ställs också krav

på att myndigheternas maktutövning i vidsträckt mening måste ha stöd i någon av de källor som tillsammans bildar rättsordningen – exempelvis förvaltningslagen, speciallagstiftning, myndighetens instruktion eller annan förordningsreglering eller regeringsbeslut. Även likabehandlingsprincipen, eller objektivitetsprincipen, vilken regleras i regeringsformen och som därtill kommer till uttryck i motiven till den nya förvaltningslagen bör här särskilt framhållas. Till skydd mot godtycke och diskriminering vid tillämpning av regler ska myndigheter vara sakliga och opartiska. En allmän proportionalitetsprincip har under tid utvecklats genom Högsta förvaltningsdomstolens praxis och innebär ett skydd för enskilda intressen mot en ensidig prioritering av det allmännas önskemål vid myndigheternas agerande. Också den principen kommer till uttryck i förslaget till ny förvaltningslag.

Att myndigheter vid service, ärendehandläggning och faktiskt handlande möter sådana krav på rättssäkerhet som de ovan angivna principerna ger uttryck för är av avgörande betydelse för allmänhetens tilltro till den offentliga förvaltningen. Det är med andra ord givet att den digitala förvaltningen ska följa den reglering som ger uttryck för dessa grundläggande principer. Här redogörs inte närmare för hur den digitala förvaltningen möter och i takt med utvecklingen fortsatt kan leva upp till dessa krav, bl.a. när det gäller att inkludera och tillgodose olika gruppers behov för en tillgänglig digital förvaltning där alla har möjlighet att tillvarata sin rätt. Dessa och andra frågor som rör grunderna för rättssäkra förfaranden i den digitala förvaltningen återkommer vi till i samband med våra överväganden och förslag.

Ur rättssäkerhetssynpunkt är det emellertid inte tillräckligt att förvaltningen rent principiellt uppfyller de ovan angivna kraven. Kraven måste därtill mötas i tid och på ett kostnadseffektivt sätt. För att enskilda ska ha en reell möjlighet att ta tillvara sin rätt krävs nämligen att ärenden avgörs och frågor besvaras utan oskälig fördröjning. Att behöva vänta lång tid på ett myndighetsbeslut kan skapa otrygghet, leda till ekonomiska förluster eller i värsta fall personligt lidande för den enskilde. Långa förseningar i det offentligas verksamhet kan också undergräva allmänhetens förtroende för förvaltningen i stort. Myndigheterna behöver därför kunna lämna snabba, enkla och entydiga besked och hjälpa den enskilde att ta till

vara sin rätt, utan att detta förenas med orimliga kostnader för den offentliga förvaltningen.

När myndigheter ger service och handlägger ärenden digitalt innebär det generellt sett fördelar för enskilda ur rättssäkerhetssynpunkt. Digitala lösningar medför nämligen oftast en snabbare, enklare och mer kostnadseffektiv service och ärendehandläggning än vad som är möjligt att erbjuda med en manuell hantering av frågor och ärenden. På så sätt stärks rättssäkerheten med digitala medel. Generellt sett har myndigheter redan kommit långt i arbetet med att digitalisera den egna verksamheten även om det finns undantag. När en viss verksamhet har övergått från manuella till automatiserade förfaranden är det sällan möjligt att återgå till en manuell och pappersbaserad handläggning som möter kraven på rättssäkerhet med rimliga svars- och handläggningstider inom tänkbara kostnadsramar. Som exempel kan nämnas Försäkringskassans och Skatteverkets befintliga automatiserade förfaranden på socialförsäkringsområdet och skatteområdet. Hur fortsatt utveckling på området för automation i förvaltningen genom effektiv användning av ny teknik kan förenas med rättssäkra förfaranden förtjänar noggranna överväganden.

I takt med att de tekniska möjligheterna att inhämta eller ta del av uppgifter av god kvalitet ökar, höjs också förväntningarna på att förvaltningens åtgärder och beslut grundas på fullgoda och korrekta underlag. I detta sammanhang bör principen om uppgiftslämnande endast en gång, ”The Once-Only Principle” nämnas. Principen har kommit till uttryck inom EU med syfte att i första hand minska de administrativa bördorna för företag som kommunicerar med offentlig sektor. Den syftar också till att minska administrationen inom förvaltningen. Att återanvända uppgifter av god kvalitet, som redan finns hos myndigheter, som underlag för olika typer av åtgärder och beslut skapar förutsättningar för än mer rättssäkra förfaranden. Att förvaltningen inte gång efter annan kräver inrapportering av samma uppgifter underlättar för de enskilda samtidigt som antalet tillfällen när fel kan uppstå i de uppgifter som lämnas minskar. Vikten av att uppgifter som direkt eller indirekt relaterar till en person är korrekta speglas också i dataskyddsregleringens principer om skydd för personuppgifter.

4.5. Personlig integritet – en mänsklig fri- och rättighet som inte är absolut

Grundläggande bestämmelser till skydd för den personliga integriteten finns i regeringsformen. Den offentliga makten ska utövas med respekt för den enskilda människans frihet och det allmänna ska värna den enskildes privatliv och familjeliv. Var och en är gentemot det allmänna skyddad mot betydande intrång i den personliga integriteten, om det sker utan samtycke och innebär övervakning eller kartläggning av den enskildes personliga förhållanden. Inskränkningar i det grundlagsfästa skyddet kan dock under vissa förutsättningar göras genom lag.

I EU:s stadga om de grundläggande rättigheterna bekräftas de rättigheter som har sin grund i medlemsstaternas gemensamma författningstraditioner, internationella förpliktelser och rättspraxis vid Europeiska unionens domstol och Europeiska domstolen för de mänskliga rättigheterna. Enligt rättighetsstadgan har var och en rätt till skydd av de personuppgifter som rör honom eller henne. Sådana uppgifter ska behandlas lagenligt för bestämda ändamål och på grundval av den berörda personens samtycke eller någon annan legitim och lagenlig grund. Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få dem rättade. En oberoende myndighet ska kontrollera att reglerna följs. I detta sammanhang bör även Europakonventionen nämnas, som reglerar att var och en har rätt till respekt för sitt privat- och familjeliv, sitt hem och sin korrespondens. Med detta avses bl.a. skyddet av personuppgifter. Rättigheterna enligt EU:s stadga och Europakonventionen är dock inte heller absoluta. Vissa inskränkningar får göras med stöd av lag om det är nödvändigt och proportionerligt i ett demokratiskt samhälle med hänsyn till vissa särskilt angivna ändamål.

Inom EU har det sedan mitten av 90-talet funnits gemensamma regler om dataskydd. Mot bakgrund av den tekniska och samhälleliga utvecklingen sedan de reglerna antogs, och den fortsatt snabbt föränderliga digitala miljön, beslutades år 2016 om en ny dataskyddsreform inom EU. Reformen har flera övergripande syften – att ytterligare harmonisera och effektivisera skyddet för personuppgifter och öka enskildas kontroll över sina personuppgifter, men också att förbättra framför allt den digitala inre marknadens funktion. Här

redogörs inte i detalj för innebörden av de dataskyddsregler som ska börja tillämpas i maj 2018. De grundläggande principerna om dataskydd kan dock förklaras på följande sätt.

  • Personuppgifter får behandlas bara om det finns lagligt stöd för det.
  • Personuppgifter ska alltid behandlas på ett korrekt sätt och i enlighet med god sed. Uppgifterna ska som huvudregel behandlas på ett öppet sätt i förhållande till den registrerade.
  • Personuppgifter får samlas in endast för särskilda, uttryckligt angivna och berättigade ändamål.
  • Personuppgifter får inte behandlas för något ändamål som är oförenligt med det för vilket uppgifterna samlades in.
  • Personuppgifter som behandlas ska vara adekvata och relevanta i förhållande till ändamålen med behandlingen.
  • Personuppgifter får behandlas endast om det är nödvändigt med hänsyn till ändamålen med behandlingen, det vill säga fler uppgifter än vad som är nödvändigt får inte behandlas.
  • Personuppgifter som behandlas ska vara riktiga och, om nödvändigt, aktuella.
  • Personuppgifter som är felaktiga eller ofullständiga med hänsyn till ändamålet med behandlingen ska rättas, blockeras eller utplånas.
  • Personuppgifter får inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen.

För den offentliga förvaltningen gäller i stor utsträckning specifika regler om när personuppgifter får behandlas och under vilka förutsättningar. Ofta finns reglerna i de så kallade registerförfattningarna. Det förekommer att digitalisering inom förvaltningen inte innebär behandling av personuppgifter, t.ex. vid användande av en viss typ av sensorer för mätning av luftföroreningar, men det är dock vanligare att digitalisering också innebär att direkta eller indirekta personuppgifter på något sätt kommer att behandlas. Mot bakgrund av EUrätten om dataskydd och att det finns ett stort antal nationella författningar på relativt detaljerad nivå ställs det därför höga krav på

i första hand lagstiftaren att i tillräcklig takt göra de avvägningar som behövs för att förena regelverket med en önskad utveckling. Lagstiftaren har, med beaktande av den utveckling som är önskvärd och under de förutsättningar som översiktligt redogjorts för ovan, vissa möjligheter att inskränka skyddet för personuppgifter och se till att sådana inskränkningar står i rimlig proportion till ändamålet med behandlingen.

Det bör lyftas fram att det för myndigheters arbete med digitalisering också är möjligt att söka stöd i regelverket om skydd för personuppgifter. I samband med utveckling av ny teknik som innebär personuppgiftsbehandling finns det exempelvis ofta möjlighet att bygga in ett särskilt skydd för den personliga integriteten (så kallad inbyggd integritet eller ”privacy by design”). Det kan till exempel handla om att minska mängden personuppgifter som ska registreras, att införa tekniska begränsningar för tillgång till personuppgifter och att låta systemet styra hur personuppgifter registreras.

4.6. Välavvägd sekretess för skyddsvärda uppgifter

Offentlighetsprincipen innebär, som framgått ovan, att allmänheten ska ha möjlighet till insyn i den offentliga förvaltningens verksamhet. Rätten att ta del av allmänna handlingar får bara begränsas av vissa särskilda skäl som räknas upp i tryckfrihetsförordningen. Sådana begränsningar ska anges noga i bestämmelser i offentlighets- och sekretesslagen eller lag som denna lag hänvisar till. En sådan begränsning av rätten att ta del av allmänna handlingar, med andra ord sekretess, innebär ett förbud att röja en uppgift vare sig det sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Sekretessen innebär alltså både en handlingssekretess och en tystnadsplikt. I vissa fall begränsas även den grundlagsfästa rätten att meddela och offentliggöra uppgifter. Det finns sekretessbestämmelser som är tillämpliga för alla myndigheter. Andra sekretessbestämmelser riktar sig bara till vissa myndigheter, t.ex. inom skolområdet eller socialtjänsten. Sedan finns det sekretessbestämmelser som avser att skydda vissa allmänna intressen, t.ex. det allmännas ekonomiska intresse. Flertalet sekretessbestämmelser syftar till att skydda enskildas personliga eller ekonomiska intressen. Även

vissa privaträttsliga organ ska tillämpa reglerna i offentlighets- och sekretesslagstiftningen.

Sekretessbestämmelser består i regel av tre förutsättningar för bestämmelsens tillämplighet. För det första anges alltid sekretessens föremål, dvs. vilken information eller med andra ord vilka uppgifter som kan eller ska hemlighållas. Till exempel kan det gälla uppgift om enskilds personliga förhållanden. För det andra anges i de flesta fall sekretessbestämmelsens räckvidd, dvs. om sekretessen bara gäller i en viss typ av ärende, i en viss typ av verksamhet eller hos en viss myndighet. För det tredje bestäms sekretessens styrka med hjälp av ett s.k. skaderekvisit. Här finns olika varianter, allt från att sekretessen är absolut, dvs. alltid gäller, till att uppgifterna som utgångspunkt är offentliga och att sekretess bara gäller om det kan antas att en viss skada uppkommer om uppgiften röjs.

Sekretess gäller som huvudregel inte bara i förhållande till enskilda utan också mellan myndigheter, eller inom en myndighet om där finns olika verksamhetsgrenar som är att betrakta som självständiga i förhållande till varandra. Så kan vara fallet t.ex. inom en kommun med flera förvaltningar inom organisationen. När sekretess gäller i förhållande till andra myndigheter eller inom en myndighet krävs sekretessbrytande bestämmelser för att uppgifter ska få lämnas ut från myndigheten eller verksamheten där de finns. Som huvudregel följer inte sekretessen med när en uppgift har förts över till en annan myndighet. Det beror bl.a. på att behovet av och styrkan i en sekretess inte kan bestämmas enbart med hänsyn till intresset av att skydda uppgiften. Skyddsintresset måste nämligen i varje sammanhang vägas mot insynsintresset i den myndighet eller verksamhet där uppgiften finns. Det finns dock vissa bestämmelser om överföring av sekretess, som innebär att sekretessen följer med uppgiften när den flyttas till en annan myndighet eller verksamhet.

I den digitala förvaltningen, likväl som varit fallet i den traditionella förvaltningen, gäller att insynen i en myndighets verksamhet ibland behöver begränsas genom sekretess, under de särskilda förutsättningar som regleras i grundlag och för att skydda vissa utpekade intressen. Däri ligger också att uppgifter i vissa fall inte ska lämna en viss myndighet, verksamhet eller databas på grund av den rådande sekretessen. Det finns emellertid aspekter i samband med digitaliseringen som gör det nödvändigt för i första hand lagstiftaren att överväga hur regleringen till skydd för dessa intressen bör se ut.

Utvecklingen går mot att myndigheter i allt högre grad antingen åläggs att samverka med varandra med stöd av tekniska lösningar eller av andra skäl behöver samverka för att fullgöra sina uppdrag på ett sätt som möter allmänhetens förväntningar och inom givna kostnadsramar. En sekretessreglering som utformats med andra arbetssätt hos myndigheterna i åtanke, eller utifrån dåtida teknik, kan därför behöva anpassas så att inte befintlig reglering av sekretess nu hindrar en önskad utveckling. Nya bestämmelser som rör sekretessregleringen kan också behöva tillkomma för att stödja den fortsatta digitaliseringen.

4.7. Regleringen behöver stå i samklang med den önskade utvecklingen

Redogörelsen ovan visar på några centrala rättsliga områden som varit och fortsatt kommer att vara av avgörande betydelse för allmänhetens förtroende för den offentliga verksamheten. Trots att redogörelsen inte gör anspråk på att vara fullständig framgår med tydlighet att det är en omfattande regelmassa som den offentliga förvaltningen har att förhålla sig till vid all digital utveckling. De beskrivna värdegrunderna är alltjämt centrala för tilltron till förvaltningen. Förändringar i regleringen behöver emellertid löpande göras för att tillåta och stödja sådan utveckling och digitalisering som är önskvärd och nödvändig i vårt demokratiska samhälle. I detta sammanhang kan inte heller bortses från den pågående rättsutvecklingen inom EU som i flera avseenden drivs av att i tid finna rättsliga lösningar som upprätthåller centrala värdegrunder och möter den tekniska utvecklingen liksom samhällsutvecklingen i stort. Om inte rättsutvecklingen bedrivs i takt med teknik- och samhällsutvecklingen ser vi risk för två alternativa scenarier.

Å ena sidan löper den offentliga förvaltningens digitalisering en risk för att stagnera om gällande reglering hindrar eller hämmar en önskad utveckling. Det kan leda till att förvaltningen framöver får en minskad förmåga att möta kommande samhällsutmaningar och att förtroendet för förvaltningen därför avtar. Den offentliga förvaltningen kan i det sammanhanget inte ses fristående från samhället i övrigt. En förvaltning som inte är föränderlig kan också leda till

bristande förmåga till innovation och utveckling i övriga samhället med ekonomiska eller andra konsekvenser som följd.

Å andra sidan finns det också en risk för att andra incitament eller styrmedel snabbt driver utvecklingen i offentlig verksamhet vidare utan att regleringen anpassas eller beaktas i tillräcklig utsträckning. Det kan leda till att lagstiftningen slutligen står för långt ifrån verkliga förhållanden, eller t.o.m. att centrala värden träds för när eller går förlorade.

Det framstår som angeläget att finna en god balans och att stödja den digitala utvecklingen i förvaltningen genom rättsutveckling som står i samklang med den önskade digitala utvecklingen.

5. Kartläggning av hindrande eller hämmande lagstiftning

5.1. Genomförandet av kartläggningen

5.1.1. Vårt uppdrag

I vårt uppdrag ingår att i ett brett perspektiv kartlägga lagstiftning som i onödan försvårar digitalisering och digital samverkan inom den offentliga förvaltningen. Kartläggningen ska också omfatta lagstiftning som inte i sig är direkt hindrande men där det finns en rättslig osäkerhet som har en hämmande inverkan på den digitala utvecklingen inom den offentliga förvaltningen.

Enligt uppdraget ska vi vid kartläggningen särskilt prioritera frågor som rör regeringens satsning Digitalt först, där digitala tjänster så långt det är möjligt och där det är relevant ska vara förstahandsval vid den offentliga sektorns kontakter med medborgare, organisationer och företag. Vi ska också prioritera sådan lagstiftning som i onödan försvårar digitalt informationsutbyte inom den offentliga förvaltningen och behandla frågor om digitalt informationsutbyte mellan den offentliga förvaltningen och privata utförare av offentligt finansierade tjänster.

Vid kartläggningen ska vi vidare prioritera sådan lagstiftning som i sin helhet, eller i stora delar, påverkar den offentliga förvaltningen. I möjligaste mån ska vi visa på konkreta fall där utvecklingen av digitala tjänster hindrats som en följd av den aktuella lagstiftningen.

5.1.2. Metod

Vi har uttolkat vårt uppdrag som att kartläggningen ska avse inte endast lagstiftning i form av lag beslutad av riksdagen, utan även normgivning genom förordning eller föreskrift. Inledningsvis övervägde vi att genomföra en enkät till underlag för kartläggningsdelen av vårt uppdrag. Vi insåg emellertid att det inte skulle vara enkelt att beskriva hindrande eller hämmande lagstiftning i enkätsvar och att den formen för genomförande av uppdraget skulle innebära att vi inte gavs möjligheter till följdfrågor för djupare förståelse av svaren. För att genomföra vårt kartläggningsuppdrag har vi i stället valt att träffa representanter för ett antal myndigheter och andra berörda aktörer vid särskilda s.k. kartläggningsmöten.

Vid urvalet av de verksamheter vi har besökt har ansatsen varit att inhämta information ur ett brett perspektiv. Vår utgångspunkt har därför varit att träffa personer vid såväl statliga, kommunala som landstingskommunala myndigheter, myndigheter ur olika sektorer, med skilda uppdrag, av olika storlek, med olika geografisk belägenhet och olika förutsättningar när det gäller hur verksamheten finansieras. Vi har vidare vinnlagt oss om att inkludera både myndigheter som har kommit långt i sitt arbete med digitalisering och digital samverkan men också sökt träffa representanter för myndigheter som befinner sig i en mer inledande fas i sitt digitaliseringsarbete. Därtill har vi även besökt privata aktörer vars verksamhet har en nära koppling till det offentliga.

Under kartläggningen har vi mött representanter vid Arbetsförmedlingen, Bolagsverket, Centrala studiestödsnämnden (CSN), Stockholms universitet (eGovLab), eHälsomyndigheten, Försäkringskassan, Institutet för framtidsstudier, Inera AB, Kungliga Tekniska högskolan (KTH), Lantmäteriet, Länsstyrelsen i Norrbottens län, Migrationsverket, Naturvårdsverket, Pensionsmyndigheten, Polismyndigheten, Region Halland, Riksarkivet, Skatteverket, Socialstyrelsen, Statens servicecenter, Stockholm stad, Sveriges kommuner och landsting (SKL), Tillväxtverket, Transportstyrelsen, Tullverket och Uppsala kommun. SKL har i detta arbete varit behjälpliga med att samla in information från ytterligare kontaktpersoner vid kommuner. I något fall har fler än ett möte ägt rum.

Gensvaret från de aktuella myndigheterna och andra aktörerna har varit mycket positivt. Vi är tacksamma för den respons vi fått vid

våra mötesförfrågningar och den tid som representanter för olika discipliner (arkiv, it, juridik, ledning, verksamhet etc.) har lagt ned på att bereda oss ett gott underlag. Endast ett par av dem vi sökt kontakt med har svarat att de inte haft tillfälle att träffa utredningen.

Kartläggningsmötena har genomförts i samtalsform. Som diskussionsunderlag har vi använt ett mötesstöd (se bilaga 2) men vid mötena har i hög grad våra samtalspartners fått styra vilka områden som lyfts fram för oss. Det har rört sig om beskrivningar av rättsliga hinder och utmaningar i genomfört, pågående eller planerat digitaliseringsarbete liksom rättsliga hinder eller trösklar som hämmar effektiv myndighetssamverkan i digitala utvecklingsarbeten. Vi har även samlat in tankar om hur en effektivare samverkan kring rättslig reglering kan utvecklas i syfte att skapa bättre förutsättningar för författningsarbetet att gå i takt med önskad digital verksamhetsutveckling.

Vid samtliga kartläggningsmöten har minnesanteckningar förts. De representanter vi träffat har fått tillfälle att ge synpunkter på anteckningarna som också har omhändertagits för arkivering.

Som framgått i kapitel 2 har vi också anordnat en hearing där såväl deltagare från det privata näringslivet som myndighetsrepresentanter deltog, haft särskilda möten med representanter för företag och, utöver SKL, även samrått med Datainspektionen och Myndigheten för samhällsskydd och krisberedskap (MSB). Erfarenheterna från dessa och andra aktiviteter har också höjt vår kunskap men har inte dokumenterats på samma sätt som de särskilda kartläggningsmötena.

5.1.3. Läsanvisningar

Sammanfattningen i detta kapitel tar sin utgångspunkt i den information, synpunkter, förslag och konkreta exempel som de deltagande aktörerna i kartläggningsarbetet har förmedlat till oss. Att fullständigt återge all den information vi har fått ta del av inom ramen för kartläggningsarbetet låter sig inte göras eftersom materialet är alltför omfattande. Vi har alltså tvingats sålla och prioritera vid sammanställningen av kartläggningsresultatet. Vi har valt att främst lägga fokus på de områden där de deltagande aktörerna varit i någon utsträckning samstämmiga och vissa områden där påtagliga

rättsliga utmaningar för en trygg, innovativ och effektiv digital förvaltning har lyfts fram. För en fullständigare bild av kartläggningsresultatet hänvisas till de minnesanteckningar som vi fört och arkiverat.

I detta kapitel ges således den övergripande bilden av kartläggningsresultatet. Framställningen utgår från vad vi fångat under kartläggningen. Vi har alltså inte anlagt ett eget analysperspektiv i det förevarande kapitlet. Vid våra överväganden och förslag i följande kapitel fördjupar vi dock i flera avseenden beskrivningen av kartläggningsresultatet. I dessa följande kapitel gör vi också egna analyser och presenterar rättsläget på ett närmare sätt.

Vid våra samtal under kartläggningen har det visat sig att det kan vara svårt att separera de rättsliga utmaningarna från hämmande faktorer som t.ex. har med tekniska möjligheter eller finansiering att göra. I vissa av beskrivningarna och exemplen som följer framgår detta. En påtaglig del av de rättsligt relaterade hinder eller hämmande faktorer som lyfts fram för oss har också handlat om en önskan om tydligare stöd i juridiken för att möta en kommande digital framtid som i viss utsträckning redan är här, snarare än en uppräkning av konkreta hinder som man har stött på i gällande lagstiftning. Även detta speglas i den följande beskrivningen.

5.2. Digital kommunikation med enskilda

5.2.1. Gränserna för Digitalt först

Regeringens ansats är att digitala tjänster, när det är möjligt och relevant ska vara förstahandsval i den offentliga sektorns kontakter med medborgare, organisationer och företag. Ansatsen kan sammanfattas vara en princip om Digitalt först.

I vårt kartläggningsarbete har det tydliggjorts att flertalet myndigheter, men inte alla, tekniskt och utvecklingsmässigt har möjlighet att erbjuda digitala kanaler för enskildas myndighetskontakter och ärenden. Flera av dem vi talat med har emellertid fört fram att det behöver klargöras var de rättsliga gränserna går för hur långt myndigheterna kan tillämpa principen om Digitalt först. Ett exempel på en fråga som lyfts är om en myndighet kan kräva att enskilda ska använda digitala kanaler för att kontakta myndigheten eller för

att ge in en ansökan eller anmälan. Det har framförts vara ett värdefullt stöd för myndigheterna om gränserna för Digitalt först förtydligas rättsligt i stället för att myndigheterna på egen hand ska söka sig fram. Med ett tydligare rättsligt stöd beskrivs det också vara lättare för myndigheterna att ta ytterligare steg framåt i sin digitalisering.

Kartläggningsarbetet visar att även om myndigheterna strävar efter att använda digitala kanaler för sin kommunikation med privatpersoner och företag behövs ibland komplement med möjlighet till kontakt via andra kanaler. Vissa personer har inte de förutsättningar som krävs för att kunna kommunicera digitalt med förvaltningen. Det kan röra sig om otillräcklig kunskap om, och tillgång till, den digitala tekniken eller om språkförbistringar. Men det behöver inte betyda att skriftlig kommunikation medelst papper och postbefordran är det bästa alternativet till digitala kommunikationskanaler för dessa personer.

Exempel: Pensionsmyndigheten, som inom ramen för sitt uppdrag har omfattande kontakter med den äldre delen av befolkningen, har funnit att kommunikation via telefon är den kanal som bäst matchar servicenivån i en digital tjänst. Vid muntlig kontakt kan handläggare anpassa det stöd och den information som ges direkt efter samtalspartens behov.

I detta sammanhang har vi också hört önskemål om förbättrade tekniska förutsättningar för säker digital tvåvägskommunikation med enskilda.

5.2.2. Registerförfattningar

Reglering i författningar om skydd för personuppgifter (registerförfattningar1) kan begränsa myndigheters möjligheter att kommunicera digitalt med enskilda. Det rör sig främst om begränsningar i snävt formulerade ändamålsbestämmelser eller särskild reglering om direktåtkomst till personuppgifter.

Exempel: CSN har tekniska möjligheter att skicka e-post eller sms i stället för brevförsändelse till personer som har antagits till en studiemedelsberättigad utbildning för att informera om rätten att ansöka om studiemedel. Att skicka e-post eller sms vore lämpligt dels för att unga

1 En registerförfattning innehåller bestämmelser om personuppgiftsbehandling som främst kompletterar regleringen i dataskyddsförordningen. Myndigheter som behandlar (känsliga) uppgifter om ett stort antal personer tillämpar ofta en särskild registerförfattning.

människor inte alltid bor på den adress där de är folkbokförda, dels för att många är vana att kommunicera via en mobil enhet t.ex. en smart telefon. CSN är dock förhindrad att skicka e-post eller sms eftersom CSN saknar lagligt stöd i studiestödsdatalagen och studiestödsdataförordningen2 för att behandla uppgifter om e-postadress och telefonnummer för ändamålet att informera studiestödsberättigade om studiestödsförmåner.

Exempel: På fordonsområdet hindrar de nuvarande bestämmelserna om direktåtkomst till uppgifter i vägtrafikregistret och i viss mån även ändamålsbestämmelserna en önskvärd utveckling av tillgången till uppgifter i digitala servicetjänster. Transportstyrelsen lämnade i juni 2014 en framställan till regeringen om ändring i vägtrafikregisterlagen och vägtrafikregisterförordningen för att möjliggöra detta. Framställan har lett till ändring såtillvida att enskilda kan ges direktåtkomst till egna personuppgifter. I övrigt har framställan inte lett till ändringar.3

5.2.3. Sekretess

Sekretess kan verka hindrande vid utveckling av effektiva och ändamålsenliga digitala tjänster på ett sätt som förefaller vara i viss utsträckning onödigt. Viss typ av sekretessreglering, s.k. absolut sekretess, gör ingen skillnad på typen av uppgifter utan sekretess gäller för alla uppgifter som omfattas av regleringen. Det innebär att den sekretessen gäller oavsett om det rör sig om utlämnande av en enstaka och mer harmlös uppgift.

Exempel: Att använda förvalslistor i digitala tjänster genererar goda förutsättningar att automatisera ärendehandläggning. En positiv effekt av förvalslistor är dessutom att uppgifterna som hämtas in är kvalitetssäkrade och att uppgifterna som ska ligga till grund för handläggning och beslut i ärendet blir rätt från början. Skatteverket har emellertid mycket begränsat utrymme att tillhandahålla förvalslistor i digitala tjänster oavsett om det är en intern eller myndighetsgemensam tjänst. Eftersom samtliga uppgifter i beskattningsdatabasen omfattas av absolut sekretess4 har Skatteverket gjort bedömningen att dessa uppgifter inte kan användas i förvalslistor i digitala tjänster. Ett konkret exempel är hantverksföretagens ansökningar om rotavdrag.5 I ansökan krävs att det ansökande företaget registrerar korrekt fastighetsbeteckning för den

2Studiestödsdatalagen (2009:287) och studiestödsdataförordningen (2009:321). 3 Framställan om ändring i lagen (2001:558) och förordningen (2001:650) om vägtrafikregister gällande behandling av personuppgifter i vägtrafikregistret i Transportstyrelsens servicetjänster, 16 juni 2014, (TSV 2014:1632). 427 kap. 1 § offentlighets- och sekretesslagen (2009:400). 5 Rotavdrag är en skattesubvention som ges till privatpersoner för vissa typer av renoveringsarbeten som utförs i hemmet.

fastighet som rotavdraget avser. Ett sätt att säkerställa att den som fyller i ansökan verkligen får alla bokstäver och siffror rätt i fastighetsbeteckningen skulle vara att ta hjälp av en s.k. förvalslista som anger relevanta förslag i takt med att fastighetsbeteckningen fylls i. Men eftersom de förslag på fastighetsbeteckning som lämnas i förvalslistan skulle behöva hämtas från beskattningsdatabasen menar Skatteverket att en sådan funktion inte kan tillhandahållas.

Företeelsen journaler på nätet har också lyfts fram. Vissa landsting tillhandahåller journaler på nätet till enskilda individer. En förutsättning för att journaler ska kunna tillhandahållas på det sättet är att vårdgivaren säkerställer att inga uppgifter som är sekretessbelagda i förhållande till patienten lämnas ut. I regel kan enskilda ta del av all sin patientinformation men det finns vissa begränsningar om det med hänsyn till ändamålet med vården eller behandlingen är av synnerlig vikt att uppgiften inte lämnas ut till den enskilde.6 Eftersom sekretess för vissa uppgifter alltså kan gälla även mot den enskilde har det beskrivits att det, innan en kanal för utlämnande av patientuppgifter på nätet etableras, först behöver genomföras en menprövning i fråga om sekretessen hindrar utlämnande. Men hur ska en sådan gå till i praktiken? Kan menprövningen göras schablonmässigt?7 Vem fattar beslutet i fråga om sekretess? Och kan beslutet läggas till grund för automatiserat utlämnande?

5.2.4. Digitala tjänster med eget utrymme

Kartläggningsarbetet visar att det blir allt vanligare att myndigheter utvecklar digitala tjänster som innefattar ett s.k. eget utrymme för tjänstens användare. Ett eget utrymme tillhandahålls som en service åt användaren och ingen annan än användaren ska ha insyn i den information som lagras där. Avsikten är att det ska vara möjligt för enskilda att t.ex. spara utkast för en ansökan eller anmälan eller vidta andra åtgärder utan att handlingarna i det egna utrymmet ska anses ha kommit in till myndigheten enligt tryckfrihetsförordningen eller förvaltningslagen.8

625 kap. 6 § offentlighets- och sekretesslagen. 7 Jfr Regeringens proposition med förslag till sekretesslag m.m., prop. 1979/80:2 Del A, s. 80 f. om s.k. massuttag. 8 Här och i det följande avses förvaltningslagen (2017:900) med ikraftträdande den 1 juli 2018 om inte referens till äldre version av lagen särskilt anges.

Det blir också allt vanligare att myndigheter, och ibland även privata aktörer, i samverkan utvecklar eller använder tjänster som omfattar ett eget utrymme. Som exempel kan nämnas Mina meddelanden hos Skatteverket, det personliga hälsokontot Hälsa för mig som utvecklas av eHälsomyndigheten samt verksamt.se som är en myndighetsgemensam webbplats där det egna utrymmet tillhandahålls av den samverkande myndigheten i respektive e-tjänst.

Å ena sidan har kartläggningen visat att flera av de myndighetsrepresentanter som vi talat med känner sig trygga med den myndighetspraxis som har utvecklats när det gäller utformning av tjänster med eget utrymme. Att en sådan myndighetspraxis har kunnat utvecklas, och digitala tjänster har kunnat införas, beror till stor del på de vägledningar som har tagits fram inom ramen för E-delegationen.9 Å andra sidan har flera av dem vi mött under kartläggningen framhållit att det fortfarande råder en rättslig osäkerhet inom området. Vilka tjänster kan anses omfattas av tryckfrihetsförordningens lokution ”endast som led i teknisk bearbetning eller teknisk lagring för annans räkning”? Vilken service kan en myndighet ge inom ramen för ett eget utrymme utan att en handling ska anses inkommen? Behövs ett uttryckligt författningsstöd för behandling av personuppgifter i ett eget utrymme? Dessa frågeställningar har också samband med frågor om hur dataskyddsregleringens krav på rättslig grund för personuppgiftsbehandling ska förstås beträffande egna utrymmen och hur personuppgiftsansvaret för behandling av personuppgifter i utrymmet ska fördelas. Även frågor om vem som tar ansvar för informationssäkerheten har relevans i sammanhanget.

Flera myndigheter framhåller att oproportionerligt mycket tid och resurser avsätts för att utreda fördelningen av personuppgiftsansvar i egna utrymmen. Under kartläggningen har någon röst hörts för att författningsreglering av tjänster med egna utrymmen är det enda rimliga alternativet för att bl.a. lösa fördelningen av personuppgiftsansvaret.

Myndigheter med breda kontaktytor mot allmänheten har en hög ambitionsnivå för den service de vill kunna erbjuda enskilda i deras användning av myndighetens digitala tjänster som inkluderar ett eget utrymme. Det ska vara enkelt för enskilda att hantera sina ärenden och myndigheten ska hålla hög kvalitet i handläggningen. Inom ramen för det egna utrymmet finns stor potential att förenkla för

9 Vägledningarna är publicerade på eSamverkansprogrammets (eSam) webbplats, www.esamverka.se

enskilda i deras myndighetskontakter. Samtidigt kräver den service som lämnas inom ramen för ett eget utrymme ibland att myndighetens personal tar sådan befattning med de uppgifter som hanteras där, att det uppstår svåra gränsdragningsfrågor om åtgärden ska anses leda till att uppgifterna i utrymmet blir att anse som allmän handling. Även nödvändig teknisk support kan föranleda rättsfrågor. Har felaktigheter av någon anledning uppstått kan teknikerna behöva komma ”under huven” i systemet vilket innebär att de oundvikligen kommer att ta del av uppgifter som finns lagrade i den enskildes eget utrymme. Medför denna åtkomst att uppgifterna som teknikerna tar del av ska anses ha kommit in till myndigheten?

Kartläggningsarbetet visar vidare att det vid sidan av eget utrymme för enskilda också förekommer att myndigheter tillhandahåller motsvarande funktioner åt andra myndigheter. En sådan funktion, t.ex. ett mottagningsställe för elektroniska handlingar, kan fungera som ett eget utrymme för respektive myndighet där syftet är att de handlingar som hanteras inte anses som inkomna hos den mottagande myndigheten innan detta varit avsändarens avsikt. Eget utrymme för myndigheter är en företeelse som, såvitt vi kan bedöma, sannolikt kommer bli allt vanligare ju fler myndighetsgemensamma processer som digitaliseras.

Exempel: I Lantmäteriets digitala tjänst för ansökan om lantmäteriförrättning tillhandahåller Lantmäteriet mottagningsställen för elektroniska handlingar åt de kommunala lantmäterimyndigheterna. Först när ansökningar når respektive kommuns mottagningsställe anses de vara inkomna till den kommunala lantmäterimyndigheten.

5.2.5. Språklagen

Frågan om vilket språk som kan användas i digitala tjänster är ytterligare en aspekt som har framhållits för oss. För domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är språket svenska.10 Men för att alla och envar ska kunna använda sig av de digitala tjänster som det offentliga tillhandahåller behöver tjänsterna erbjudas på flera språk och enskilda måste kunna kommunicera på andra språk än svenska i tjänsterna.

1010 § språklagen (2009:600).

Exempel: Till följd av bl.a. företagsrörligheten inom EU, tjänstedirektivet11 och eIDAS-förordningen12 ökar kraven på svenska myndigheters digitala tjänster. I Sverige gäller språklagen och det innebär t.ex. för en digital tjänst som tillhandahålls företag att information om ett företags verksamhet ska vara på svenska. När informationsutbyte sker över gränserna blir språket ett hinder eftersom enskilda från andra EU-länder i regel inte har tillräckliga kunskaper i svenska språket för att kunna använda sig av våra nationella digitala tjänster. Ska svenska alltjämt krävas för att t.ex. göra en ansökan i en digital tjänst behöver översättning ske automatiskt om tjänsten ska kunna utnyttjas av icke-svenskspråkiga individer. Norge har löst en viss del av problemet genom att företagsinformation kan registreras antingen på norska eller på engelska.

Myndigheter med breda kontakter mot allmänheten kan se en fortsatt inriktning mot att det behöver finnas rättsliga förutsättningar för att tillhandahålla digitala tjänster med flera olika språkalternativ. Förutom nationella minoritetsspråk rör det sig om språk som talas inom EU eller stora invandrarspråk.

5.3. Identiteter, underskrifter och annan koppling till person

5.3.1. Identiteter och identifiering

En effektiv och ändamålsenlig digital förvaltning kräver att traditionellt analoga förfaranden, t.ex. identifiering med id-kort, upprättande av pappersfullmakt, underskrift på papper m.m., kan ersättas av digitala motsvarigheter med bibehållen rättsverkan. Nya digitala rättsinstitut med koppling till fysiska personer behöver vara tillgängliga och användbara för alla oavsett om det är en privatperson, juridisk person eller behörig företrädare som utför en rättshandling.

En digital identitet måste kunna säkerställa kopplingen till en fysisk person. Det kan t.ex. göras genom att den digitala identiteten knyter an till en unik identitetsmarkör såsom personnummer. I kartläggningsarbetet pekar ett par myndighetsrepresentanter på att det i framtiden inte kommer vara tillräckligt att enbart använda person-

11 Europaparlamentet och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden. 12 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG.

nummer som unika identitetsmarkörer. Andra unika identitetsmarkörer som kan komma att bli aktuella sägs vara biometriska uppgifter eller passnummer.

Att en enskilds personnummer utgör den enda unika identitetsmarkören mellan dennes digitala identitet och det verktyg han eller hon använder för identifiering, t.ex. en e-legitimation, kan vara problematiskt.

Exempel: En enskild näringsidkare har inte något organisationsnummer utan driver sin verksamhet under sitt personnummer. En individ kan emellertid ha fler än en enskild firma vilket kan leda till otydligheter vid myndighetskontakter. I de fall den enskilde företräder sin firma är det ett problem att personnumret är den enda identifieraren. Hur ska myndigheten veta i vilken roll den enskilde agerar när denne använder sig av myndigheternas digitala tjänsteutbud? Företräder den enskilde sig själv som privatperson eller något av sina bolag? Bolagsverket framhåller att det vore önskvärt att näringsidkare, i stället för personnummer, tilldelas en annan typ av identitetsmarkör t.ex. ett löpnummer.

Exempel: Inom utbildningsväsendet skulle det underlätta om varje elev hade en digital identitet som kan användas i alla skol- och utbildningssammanhang, oavsett vilken skola eller utbildning eleven deltar i. En digital identitet möjliggör bl.a. för eleven att lagra sin information och kunna ta den med sig vid ett skolbyte.

5.3.2. Behöriga företrädare

Inom ramen för kartläggningsarbetet har några framfört uppfattningen att det ur vissa perspektiv är lättare att utveckla digitala tjänster som riktar sig till privatpersoner, t.ex. för socialförsäkringsförmåner, studiestöd, ansökan om förskola m.m. När det gäller digitala tjänster riktade till juridiska personer verkar utvecklingen ha gått långsammare. En förklaring kan vara att det saknas en utpekad myndighet som ensam ansvarar för att registrera alla typer av juridiska personer. Registreringsansvaret är i stället fördelat på flera olika aktörer, bl.a. Bolagsverket, Skatteverket, länsstyrelser och Lantmäteriet. För vissa juridiska personer saknas krav på registrering, t.ex. för föreningar, nätverk, klubbar och andra liknande sammanslutningar.

En konsekvens av det splittrade ansvaret är att det saknas ett centralt register eller decentraliserat system över samtliga juridiska personer dit det också skulle gå att koppla uppgifter om behöriga

företrädare. På samma gång är det orimligt att behörig firmatecknare i ett stort bolag själv ska utföra alla ärenden som rör registrering, avregistrering eller redovisning och som kräver behörig firmatecknares signering. När enskilda individer tvingas identifiera sig i rollen som privatperson, fast de företräder ett företag, väcks bl.a. frågor om vem som skulle bära det rättsliga ansvaret om ansvarsfrågor uppkommer under det aktuella digitala förfarandet.

Myndigheternas förutsättningar att utveckla e-tjänster där en behörig företrädare tillåts att agera för en juridisk persons räkning ser olika ut.

Exempel: Inom ramen för programmet Serverat13 har man identifierat att det finns behov av en nationell och tvärfunktionell behörighetslösning. Många av de ansökningar och anmälningar som kan göras till kommuner genom Serverat behöver utföras av behöriga företrädare för bolag. En behörig företrädare kan vara en fysisk person som har fått ledningens ansvar att agera för bolagets räkning. Det kan också vara ett externt företag som på uppdrag av ett annat bolag ska utföra en uppgift som kräver en ansökan eller anmälan, t.ex. ett skyltföretag som ska montera en skylt på en restaurangfasad och som behöver ansöka om bygglov hos kommunen.

Även myndigheter behöver utse behöriga företrädare för att utföra rättshandlingar digitalt i myndighetens namn, t.ex. i bygglovsärenden. Därtill kan även fysiska personer ha behov av att låta ett ombud agera i deras ställe.

5.3.3. Fullmakter

En del av de myndighetsrepresentanter som deltagit i kartläggningsarbetet menar att ett centralt fullmaktsregister skulle underlätta digitala processer och på sikt möjliggöra fler automatiserade myndighetsbeslut. Det förtjänar dock att nämnas att även motsatta synpunkter har lagts fram. Frågan om digitala fullmakter är komplex, oavsett om de finns att tillgå i ett centralt register eller inte. Hur återkallas en digital fullmakt? Går det att använda blockkedjeteknik14 för att upprätta en rättsligt giltig fullmakt? Finns det eller

13 SKL driver programmet Serverat tillsammans med kommuner, Tillväxtverket och Bolagsverket. Syftet med Serverat är att utveckla digitala lösningar för att förenkla för restaurangföretagare att starta och driva företag. Se även kapitel 5.11.5. 14 Se kapitel 7.3.4 för beskrivning av blockkedjetekniken.

går det att åstadkomma nödvändiga rättsliga förutsättningar för en aktör att tillhandahålla ett centralt register över fullmakter?

5.3.4. Underskrifter och andra liknande rättsinstitut

Kartläggningsarbetet visar att det inte alltid är tydligt när en fysisk underskrift kan ersättas med en digital. Ibland är det juridiska förutsättningar i kombination med andra svårlösta frågor som gör att det tar tid att utveckla nya lösningar.

Exempel: Socialstyrelsen har utvecklat en tjänst för digitala ansökningar om vårdlegitimation, bl.a. läkarlegitimation. Det kvarstår dock vissa manuella moment kopplade till underskrifter som måste kunna lösas tekniskt innan hela förfarandet kan digitaliseras. Den som ansöker om läkarlegitimation ska bifoga en s.k. AT-bok vari klinikernas verksamhetschefer ska lämna fyra separata intyganden om den utförda allmäntjänstgöringen. En förutsättning för att AT-boken ska kunna skickas in digitalt är att verksamhetscheferna kan lämna digitala intyganden, t.ex. med stöd av digitala underskrifter. Socialstyrelsen måste dessutom ha anpassad teknik som ger möjlighet att hantera och verifiera de digitala underskrifterna. Exemplet är belysande i så måtto att det pekar på svårigheterna, juridiskt och tekniskt, med att implementera digitala underskrifter i en i övrigt automatiserad process.

Ett flertal myndighetsrepresentanter vittnar om problematiken i att avgöra när det befintliga regelverket medger, kräver eller hindrar användning av elektroniska underskrifter. Om uppgifter ska lämnas på

heder och samvete – innebär det att den enskilde måste bekräfta upp-

gifternas riktighet med stöd av en elektronisk underskrift? Eller går det lika bra att bekräfta att uppgifterna är riktiga genom att klicka i en ruta i webbläsaren eller att lämna ett muntligt intygande per telefon?

Det kan dessutom finnas behov av att kunna koppla både digitala och analoga underskrifter till ett och samma dokument utan att behöva framställa dubbletter av dokumentet i fråga, t.ex. när flera olika individer med sinsemellan olika tekniska förutsättningar ska signera samma handling.

Frågor om hur andra traditionellt analoga rättsinstitut kan överföras till digitala processer har också lyfts fram. Det är t.ex. oklart hur ett bestyrkande kan göras i en digital process. Inom fastighetsrättens område används också s.k. makemedgivanden. Om det i

dagsläget finns rättsliga förutsättningar att lämna ett sådant medgivande digitalt är ännu inte utrett.

5.3.5. Delgivning

Behovet av att använda nya tekniska lösningar för att delge enskilda personer handlingar med t.ex. kallelse till domstolsförhandling har framhållits under kartläggningen. Inställda domstolsförhandlingar är ett stort problem för rättsväsendet, nästan en fjärdedel av alla förhandlingar ställs in och huvudorsaken är bristande delgivning. En förändring av delgivningssystemet i linje med den danska modellen, där varje medborgare utrustas med en officiell e-postbrevlåda och där man anses delgiven om meddelandet skickats dit har diskuterats av vissa. Nuvarande delgivningsmöjligheter beskrivs ha flera brister som, i vart fall delvis, skulle kunna åtgärdas med hjälp av rättslig reglering som stödjer digitala förfaranden.

Exempel: Delgivningslagen15 innehåller flera regler med koppling till analoga förfaranden. I dag hanteras delgivningshandlingar på papper i stängda kuvert. Det rör sig många gånger om brådskande ärenden, t.ex. en kallelse till en förhandling, som ska delges en enskild. När personen som ska delges väl påträffas sker det dock inte sällan på en annan plats än där de fysiska delgivningshandlingarna befinner sig. Följden kan bli att delgivning inte kan ske och att t.ex. en domstolsförhandling måste ställas in.

5.4. Grunddata och informationsförsörjning

Bolagsverket, Lantmäteriet, Skatteverket och Transportstyrelsen är registeransvariga myndigheter för s.k. grunddata.16 I ett grunddataregister lagras uppgifter som på ett eller annat sätt inhämtats från en rad olika aktörer till den registeransvariga myndigheten. Den inrapporterande aktörens skyldighet att överföra uppgifter till den registeransvariga myndigheten är i regel författningsstyrd. Lagstiftningen är, såsom vi fått det beskrivet, inte sällan omfattande och fragmenterad.

15Delgivningslagen (2010:1932). 16 Det saknas en legaldefinition av begreppet grunddata. I detta sammanhang avses med grunddata sådan grundläggande registerinformation som finns i fastighetsregistret, folkbokföringsregistret, vägtrafikregistret, de olika företagsregistren och viss geografisk information.

Kartläggningsarbetet visar vidare att det inte är helt tydligt vad ett författningsreglerat registeransvar faktiskt innebär. Måste myndigheten som ska föra registret lagra all information själv? Eller är det tillräckligt att informationen är åtkomlig via den myndigheten genom att myndigheten, när informationen behövs eller efterfrågas, gör ett direktanrop till den aktör som faktiskt producerar informationen i fråga? Flera anser att uppgifter exempelvis bara ska lagras hos den myndighet som ursprungligen har inhämtat eller producerat uppgiften och hämtas där vid behov. Det finns med andra ord en strävan mot att uppgifter ska hämtas vid den ”bästa källan”.

Exempel: Lantmäteriet har i uppdrag att tillhandahålla fastighetsregistret. Varje dag fattas tusentals beslut baserade på beslutsunderlag från fastighetsregistret. Uppdateringen av registret sker i dag på olika sätt och med olika handläggnings- och registreringssystem. I vissa fall är uppdateringen helt eller delvis digital men ren analog registrering förekommer fortfarande. Att uppdateringen sker på flera olika sätt och av flera olika aktörer innebär att uppgifterna kan variera i kvalitet och aktualitet.

Några myndighetsrepresentanter har också gett uttryck för att insamling och registrering av uppgifter, även när det inte rör sig om grunddata, kan kräva mycket manuellt arbete. Det kan vara en utmaning att se till att registren innehåller uppgifter av god kvalitet och som därtill är aktuella och uppdaterade.

Exempel: Socialstyrelsen ansvarar för flera olika register med koppling till hälso- och sjukvård och socialtjänstområdet. Insamlingen av registeruppgifter regleras av flera olika förordningar och i vissa fall finns formatkrav för uppgifterna i Socialstyrelsens egna föreskrifter. För vissa av registren krävs det i nuläget mycket manuellt arbete både hos de aktörer som ska förse Socialstyrelsen med uppgifter och hos Socialstyrelsen för att säkerställa att de uppgifter som tillförs registren håller en godtagbar kvalitet. Den manuella hanteringen medför eftersläpningar i registreringen vilket leder till att underlag för rapporter m.m. inte är uppdaterade i den mån som eftersträvas. För Socialstyrelsen och för de aktörer som använder uppgifterna i registren finns stora vinster att vänta om den manuella hanteringen framöver kan minskas.

Behovet av ytterligare uppgifter än dem som i nuläget finns i t.ex. nationella grunddataregister har också framförts. Det gäller särskilt uppgifter om personer, där folkbokföringsadress m.fl. befintliga uppgifter anses behöva kompletteras med kontaktuppgifter för digital kontakt med enskilda.

I dagsläget kan statliga myndigheter utbyta grunddata avgiftsfritt. Ekonomistyrningsverket har i en rapport föreslagit en ny finansieringsmodell i syfte att även kommuner och landsting ska omfattas av det avgiftsfria grunddatautbytet.17 Även om förslaget genomförs kommer dock avgiftskravet kvarstå i förhållande till privata aktörer. Flera myndigheter påtalar att kravet på att ta ut avgifter för grunddata kan verka hindrande för en effektiv och ändamålsenlig användning av informationen.

Exempel: Inom ramen för tjänsten Mina meddelanden lämnar Bolagsverket efter begäran ut uppgifter om behöriga företrädare för företag, t.ex. firmatecknare, till Skatteverket. Skatteverket lämnar i sin tur ut uppgifterna i fråga till privata brevlådeoperatörer anslutna till Mina meddelanden. Utlämnandet av uppgifter från Bolagsverket till Skatteverket sker avgiftsfritt liksom utlämnandet från Skatteverket till brevlådeoperatörerna. Bolagsverket saknar dock förutsättningar att utan avgift lämna ut uppgifterna direkt till de privata brevlådeoperatörerna. Det är dock värt att notera att huvudskälet till den valda lösningen är en annan, nämligen att få likformig tolkning av regelverket. Att avgifterna hanteras är en positiv bieffekt av detta.

Ett annat rättsligt problem som kan uppstå bl.a. till följd av avgiftskravet är att det skapas kopior av register med uppgifter av sämre kvalitet hos andra aktörer som t.ex. har begärt ut uppgifterna i fråga med stöd av offentlighetsprincipen. Kopior av register med uppgifter av sämre kvalitet, och som inte hålls uppdaterade i samma utsträckning, kan vara olämpligt ur dataskyddssynpunkt.

5.5. Informationsutbyten

5.5.1. Informationssäkerhet

I digitaliseringsarbetet står myndigheterna inför många gemensamma utmaningar. Det gäller inte minst informationssäkerheten. Flera av dem vi träffat har påtalat att ju mer information som samlas in och hanteras desto svårare blir det att leva upp till säkerhetskraven.

17 Ny finansieringsmodell för grunddatautbyte mellan statliga myndigheter samt kommuner och

landsting (ESV 2017:54).

Varje myndighet ansvarar självständigt för att informationsklassa sin information.18 Men när myndigheter samverkar och utbyter information framhålls att det behövs en enhetlig informationsklassning för att informationen ska få likvärdigt skydd hos alla myndigheter som hanterar den. Inom ramen för myndighetsgemensamma system uppstår dessutom ofta nya informationsmängder och även dessa måste kunna hanteras korrekt ur ett informationssäkerhetsperspektiv.

I kartläggningsarbetet har vissa myndighetsrepresentanter efterfrågat mer styrande reglering kring myndigheternas informationssäkerhetsarbete. Någon har framfört att det vore lämpligt med en förvaltningsgemensam reglering av behörighetsstyrning. På så sätt skulle man kunna säkerställa tillgänglighet till information av god kvalitet till dem som har ett konstaterat behov av att ta del av informationen från en viss källa. Någon annan har framfört att ett bredare tillsynsuppdrag över myndigheters arbete med informations- och cybersäkerhet behövs.

5.5.2. Registerförfattningar

En majoritet av dem vi träffat har framhållit att lagstiftningen ofta hindrar eller hämmar myndigheternas önskade informationsutbyten vid digitala utvecklingsarbeten. Problemen beskrivs vara främst hänförliga till dataskyddsregleringen i särskilda registerförfattningar och sekretessregleringen.

Myndighetsrepresentanterna är relativt samstämmiga i uppfattningen att dataskyddsregleringen är svåröverskådlig, komplex, fragmenterad och onödigt detaljerad. Detaljreglering av informationsutbyten har lett till att regelverket över tid har blivit ett lappverk eftersom nya uppgiftsutbyten ideligen kräver författningsändringar. Lagstiftningsarbetet håller inte heller det tempo som myndigheternas utvecklingsarbeten kräver vilket leder till att arbetena fördröjs eller genomförs endast delvis, dvs. inte med den fulla potential som först identifierats. Några har framfört att det vore önskvärt att

18 Med informationsklassning avses att genom konsekvensanalys identifiera skyddsbehovet för en viss informationsmängd. Se 4 § Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2016:1).

författningsreglera digitala informationsutbyten på mer principiell nivå, kanske inom ramen för en generell myndighetsdatalag.19

Två sätt att reglera digitalt utlämnande

I registerförfattningar regleras inte sällan i vilken utsträckning det är tillåtet med utlämnande på medium för automatiserad behandling eller med direktåtkomst till personuppgifter. Det saknas legaldefinition av såväl begreppet utlämnande på medium för automatiserad behandling som begreppet direktåtkomst.

Frågan om vad som är direktåtkomst och vad som är utlämnande på medium för automatiserad behandling har emellertid börjat klarna efter Högsta förvaltningsdomstolens (HFD) dom om Försäkringskassans fråga/svartjänst LEFI Online.20 I regel synes myndigheternas målsättning nu vara att de system som utvecklas för informationsöverföring ska spegla den tekniska lösningen i LEFI Online. På så sätt blir det inte fråga om direktåtkomst för den mottagande myndigheten. Uppgifterna anses i stället utlämnade på medium för automatiserad behandling och myndigheterna slipper den särskilda problematik med överskottsinformation som blir en effekt av direktåtkomst.21

En konsekvens av HFD:s dom är att visst informationsutbyte, som tidigare förmodats vara direktåtkomst och reglerats därefter, snarare utgör utlämnande på medium för automatiserad behandling med den teknik som numera används. Som en följd härav har viss reglering av direktåtkomst kommit att bli överflödig. Någon av dem vi talat med menar dock att bestämmelser om direktåtkomst ändå kan ha ett signalvärde trots att bestämmelserna inte tillämpas i praktiken.

19 Se Informationshanteringsutredningens betänkande Myndighetsdatalag (SOU 2015:39). 20 Se HFD 2015 ref. 61. Frågan i målet gällde om socialnämndernas åtkomst till uppgifter i socialförsäkringsdatabasen genom datasystemet LEFI Online var att anse som direktåtkomst i socialförsäkringsbalkens mening. I målet fann HFD att innebörden av begreppet direktåtkomst i socialförsäkringsbalken skulle bestämmas med utgångspunkt i bestämmelserna i 2 kap. 3 § andra stycket tryckfrihetsförordningen. 21 Överskottsinformation uppstår därför att det på förhand inte går att avgöra vilka specifika uppgifter i den utlämnande myndighetens informationssamling som den mottagande myndigheten kan komma att behöva ta del av. Oaktat det förhållandet att den mottagande myndigheten inte behöver ta del av vissa uppgifter gäller enligt tryckfrihetsförordningen att uppgifterna anses vara inkommen allmän handling hos den mottagande myndigheten. Se mer om överskottsinformation i Informationshanteringsutredningens betänkande Överskottsinfor-

mation vid direktåtkomst (SOU 2012:90).

Direktåtkomst

Reglering om direktåtkomst är ofta detaljerad. Inom ramen för kartläggningsarbetet vittnar flera om att en sådan reglering i praktiken inte alltid uppfyller sitt syfte. Det kan bl.a. bero på att det är svårt att förutse exakt vilka uppgifter den mottagande myndigheten faktiskt har behov av. Om behovet förändras krävs en författningsändring som tar tid. När direktåtkomsten inte uppfyller den mottagande myndighetens informationsbehov kan det få effekten att den utlämnande myndigheten, vid sidan av direktåtkomsten, också manuellt måste hantera begäran om utlämnande av uppgifter.

Exempel: Transportstyrelsen har direktåtkomst till uppgifter i Polismyndighetens misstanke- och belastningsregister. I vissa ärenden, t.ex. körkortstillstånd, har dock Transportstyrelsen behov av ytterligare information än den som ges via direktåtkomsten. Detta leder till att Polismyndigheten årligen, vid sidan av det utlämnande som sker genom direktåtkomsten, behöver hantera över 30 000 begäran om utlämnande till Transportstyrelsen rörande kompletterande ärendeinformation.

Det förekommer också att den mottagande myndighetens direktåtkomst är inskränkt genom sökbegränsningar, dvs. att myndigheten saknar rättsligt stöd för att använda vissa sökbegrepp i den utlämnande myndighetens informationssamling. Om det gjorts avsevärda sådana sökbegräsningar kan det innebära att den mottagande myndigheten inte kan få den information som den har behov av.

Exempel: I lagen om fastighetsregister22 finns ett förbud mot att använda personnummer eller del av personnummer som sökbegrepp vid direktåtkomst. Vissa myndigheter har emellertid behov av att kunna söka på personnummer i fastighetsregistret. Eftersom nuvarande lagstiftning inte medger detta inom ramen för regleringen av tillåten direktåtkomst behöver den uppgiftshämtande parten kontakta Lantmäteriet för att få stöd med sådana sökningar i varje enskilt fall. Ett annat alternativ som tillämpas i stället för direktåtkomst är att begära ut kopior av relevanta delar av registret för att möjliggöra verksamhetsanpassade sökningar hos den mottagande aktören. En reglering som har till syfte att skydda den enskildes personliga integritet kan på det sättet, dvs. genom att vara alltför restriktiv, leda till ökat utlämnande.

Inom ramen för kartläggningsarbetet har ett par myndighetsrepresentanter också lämnat exempel på oönskad direktåtkomst, dvs. där

22 Lagen (2000:224) om fastighetsregister.

myndigheterna om val funnits hellre hade fått uppgifterna utlämnade på medium för automatiserad behandling i stället för genom direktåtkomst. På så sätt slipper mottagande myndighet bl.a. att hantera problemet med överskottsinformation.

Utlämnande på medium för automatiserad behandling

Det finns inte någon enhetlig systematik för hur utlämnanden på medium för automatiserad behandling är reglerade. I vissa registerförfattningar, t.ex. 114 kap. socialförsäkringsbalken, är regleringen om utlämnande på medium för automatiserad behandling förhållandevis tillåtande.23 I andra registerförfattningar, t.ex. studiestödsdatalagen och studiestödsdataförordningen, finns en uttömmande reglering av vilka uppgifter som får lämnas ut under vilka förutsättningar. En sådan detaljerad reglering kan hindra digitala informationsutbyten.

Detaljreglering avseende tillåtligheten av utlämnande på medium för automatiserad behandling kan hindra myndigheter från att exempelvis digitalisera masshantering av ärenden som innefattar informationsöverföring till en annan myndighet, t.ex. överklagandeärenden till domstol eller nämnd. Digitalisering av stora ärendeflöden ger betydande effektivitetsvinster för myndigheterna men kan bara ske under förutsättning att den rättsliga regleringen stödjer elektroniskt utlämnande.

5.5.3. Sekretess

Även sekretessregleringen kan uppställa hinder mot nödvändiga och ändamålsenliga informationsutbyten mellan myndigheter. I kartläggningsarbetet har vissa myndighetsrepresentanter framhållit problematiken med sekretessgränser mellan olika verksamheter i förvaltningen. Sekretessgränser uppstår delvis som en följd av hur statsförvaltningen är organiserad med självständiga myndigheter. Men sekretessgränser kan dessutom finnas inom skilda verksamhetsområden hos en och samma myndighet. Sekretessgränser uppstår också som en effekt av hur en kommunal verksamhet väljer

23114 kap.2426 a §§socialförsäkringsbalken och Behandling av personuppgifter inom social-

försäkringens administration,prop. 2002/07:135 s. 97 f.

att organisera sig. Varje enskild nämnd utgör en egen myndighet med egna sekretessgränser. Det kan ifrågasättas om förvaltningens val av organisation verkligen ska ha den betydelsen som sekretessgränserna medför.

En förutsättning för att en myndighet ska kunna lämna ut en uppgift till en annan myndighet är att utlämnandet inte hindras av sekretess. Som utgångspunkt gäller sällan sekretess i förhållande till den enskilde som berörs av ett ärende. I myndighetsgemensamma tjänster som tillhandhålls enskilda har därför i vissa fall valet gjorts att sekretessbelagda uppgifter lämnas ut till den enskilde först. Denne får i sin tur välja om uppgifterna ska lämnas vidare till en annan myndighet. Den enskilde har då själv kontroll över processtegen. Men några har framfört att de tekniska processer som utvecklas blir onödigt tillkrånglade, särskilt med tanke på att digitaliseringen ska förenkla enskildas kontakter med myndigheter.

I sektorsspecifik lagstiftning kan det finnas detaljerad reglering av uppgiftsskyldigheter och sekretessgenombrott. Om det i samband med utvecklingsarbeten klargörs att den mottagande myndigheten har behov av ytterligare någon uppgift, det kan vara en enstaka uppgift, men den inte finns uppräknad i den sekretessbrytande bestämmelsen kan detta utgöra ett hinder i arbetet med att utveckla enklare tjänster för enskilda och därmed uppnå en mer effektiv digital informationshantering. Så som vi fått beskrivet för oss genomförs ändå utvecklingsarbetet med det digitala informationsutbytet, utan att alla uppgifter som det egentligen finns behov av kommer att utbytas. Myndigheterna hemställer således inte alltid om författningsändringar för att få till stånd ett mer effektivt förfarande.

5.5.4. Informationsutbyte med privata utförare

Kartläggningsarbetet visar att den kommunala sektorn upplever hinder för informationsutbyten med privata utförare. Det rör sig delvis om att regelverket, främst dataskydds- och sekretessregleringen, kan uppställa hinder för en kommun att lämna ut information. Det beskrivs emellertid att det även i flera avseenden saknas modeller, system och standarder som möjliggör digitala informationsutbyten. Det är också oklart om en kommun kan kräva av

privata utförare att de ska använda sig av ett specifikt format för att hantera sin information för att möjliggöra informationsutbyte.

Ett exempel är problem med informationsöverföringar när elever byter skola. Den nya skolan behöver information om såväl elevens kunskapsläge som om elevens hälsa och eventuella behov av särskilt stöd. Skolor med kommunala huvudmän kan i regel lämna ut information med stöd av generalklausulen i offentlighets- och sekretesslagen.24 Men när uppgifter behöver lämnas från en fristående skola, vars anställda lyder under tystnadsplikt, görs i regel bedömningen att eleven eller förmyndaren behöver lämna samtycke för att sekretessbelagda uppgifter ska kunna lämnas ut till den nya skolan. Det upplevs som inkonsekvent att olika regler gäller för den digitala informationsöverföringen beroende på om en skola har en privat eller en offentlig huvudman.

Kartläggningsarbetet visar också att det inom hälso- och sjukvårdssektorn finns utmaningar med informationsutbyte mellan de inblandade aktörerna. Sekretessgränser finns såväl mellan landstingsfinansierade och kommunala vårdgivare som mellan privata vårdgivare och andra privata utförare. Även aktörer som bidrar med åtgärder närliggande vårdsektorns, t.ex. rehabilitering och arbetsterapi, har behov av att kunna ta del av viss information från vårdgivare. Problematiken är särskilt märkbar för multisjuka och deras anhöriga när överlämning mellan vårdgivare inte fungerar optimalt på grund av att regelverket uppställer hinder mot informationsutbyte.

Privata utförare vars anställda omfattas av tystnadsplikt, t.ex. inom hälso- och sjukvården, ställs inför frågan om en informationsöverföring till en myndighet innebär ett obehörigt röjande av sekretessbelagda uppgifter. Det kan röra sig om en privat utförare som agerar på uppdrag av en kommunal nämnd. Kan den privata utföraren i detta läge lämna sekretessbelagda uppgifter till den kommunala nämnden utan att uppgifter röjs obehörigen?

5.5.5. Informationsutbyte ur ett internationellt perspektiv

Frågan om möjligheter att tillhandahålla direktåtkomst eller lämna ut uppgifter på medium för automatiserad behandling aktualiseras också i EU-rättsliga sammanhang. EU-rättsliga regler kan ställa krav

2410 kap. 27 § offentlighets- och sekretesslagen.

på informationsutbyten mellan medlemsländernas myndigheter. Vissa av dem vi träffat framhåller att det behöver klargöras om det, när nationella registerförfattningar innehåller regler om direktåtkomst, också krävs rättsligt stöd för att medge direktåtkomst till utländska organisationer när informationsutbytet följer av EU-rätt. Och har det någon betydelse om utlämnandet sker till statliga eller privata aktörer? Den rättspraxis och de vägledningar som finns rörande direktåtkomst gäller bara nationella förhållanden och i första hand direktåtkomst mellan myndigheter. Frågan om vad som egentligen utgör direktåtkomst har här också relevans (se kapitel 5.5.2).

Även andra exempel på när just internationella informationsutbyten ställer rättsliga frågor på sin spets har lämnats under kartläggningen.

Exempel: Av förarbetena till studiestödslagstiftningen framgår att CSN förutsätts lämna ut personuppgifter till studiestödsmyndigheter i andra länder i syfte att säkerställa att enskilda inte uppbär studiestöd från flera olika länder samtidigt. Studiestödsdatalagen ger CSN rätt att behandla personuppgifter för ändamålet att lämna ut dem i den mån en sådan skyldighet föreligger för myndigheten. Det saknas dock en rättslig skyldighet för CSN att lämna ut uppgifter till utländska studiestödsmyndigheter varför det rättsliga stödet är mycket svagt för den personuppgiftsbehandling CSN förutsätts utföra.

5.5.6. En uppgift en gång – The Once-Only Principle

Arbetet med att förenkla för företagare och privatpersoner genom att de bara ska behöva lämna samma uppgift en gång till den offentliga förvaltningen bedrivs både nationellt och på EU-nivå.25Regeringens målsättning är att uppgifter, i de fall det är möjligt och relevant, bara ska behöva lämnas en gång.26

Av kartläggningsarbetet framgår att principen om en uppgift en gång än så länge inte har fått något större genomslag i den offentliga förvaltningen. En förutsättning för att principen om en uppgift en gång ska kunna genomföras är att myndigheterna kan hämta informationen från bästa källan t.ex. den myndighet som initialt har hämtat in eller producerat uppgiften i fråga. Sekretesslagstiftningen

25 Se t.ex. EU:s handlingsplan för e-förvaltning för 2016–2020, Snabbare digital omvandling av förvaltningar, COM (2016) 179 final och Uppgiftslämnarutredningens slutbetänkande Upp-

giftslämnarservice för företagen, (SOU 2015:33).

26Budgetpropositionen för 2017, prop. 2016/17:1, utg.omr. 22, avsnitt 4.5.1.

kan emellertid uppställa hinder mot att den myndighet som förfogar över bästa källan lämnar ut uppgifterna i fråga. Även ändamålsbestämmelser i registerförfattningar kan hindra att personuppgifter lämnas ut till en myndighet för fortsatt behandling där.

Exempel: Skatteverkets sekretessreglering utgår i från att absolut sekretess råder för uppgifter i beskattningsdatabasen. Den stränga sekretessregleringen innebär bl.a. att Skatteverket måste samla in enskildas kontaktuppgifter flera gånger när de behövs i Skatteverkets skilda verksamhetsgrenar. Sekretessen hindrar också Skatteverket från att lämna ut enskildas kontaktuppgifter till andra myndigheter.

Exempel: Inom vård- och läkemedelssektorn har principen om en uppgift en gång svagt genomslag på grund av rådande sekretessgränser. Patienter måste gång på gång lämna samma information t.ex. vid sina kontakter med vårdgivare. Det kan röra sig om väsentliga uppgifter om allergier, kontaktpersoner, läkemedel m.m.

Exempel: Sekretessgränser mellan kommunala nämnder kan hindra återanvändande av uppgifter mellan nämnderna. Kommunala nämnder utgör separata myndigheter och uppgifter kan inte överföras från en nämnd till en annan utan att det finns lagligt stöd för detta. Det kan leda till att samma typ av uppgifter lagras på många olika ställen hos de olika nämnderna.

Exempel: De ärendeslag som hanteras inom en och samma myndighet kan spänna över ett stort och mångfacetterat område. Om personuppgifter som enskilda lämnat till myndigheten inom ramen för ett ärendeslag ska kunna behandlas inom ramen för ett annat ärendeslag behöver det finnas rättsligt stöd i dataskyddsregleringen för behandlingen för det nya ändamålet.

5.5.7. Vilka uppgifter uppfyller myndigheternas faktiska informationsbehov?

Vid reglering av uppgiftsutbyten mellan myndigheter kan det vara svårt att förutspå, för såväl lagstiftaren som för myndigheterna i fråga, vilka uppgifter som en mottagande myndighet faktiskt har behov av på längre sikt. Den rättsliga regleringen kring vilka uppgifter som får lämnas ut på medium för automatiserad behandling eller genom direktåtkomst leder inte alltid till att den mottagande myndighetens faktiska informationsbehov uppfylls, trots att detta många gånger får förutsättas ha varit avsikten.

Regleringen kan också innehålla begränsningar såtillvida att informationen inte kan lämnas vid den tidpunkt, eller snarare inte kan lämnas vid det processteg som egentligen önskas. Regleringen kan t.ex. medge att en myndighet får lämna ut en uppgift till en annan myndighet om att ett visst beslut har fattats i ett ärende. Den utlämnande myndigheten får alltså först när beslutet har expedierats upplysa den mottagande myndigheten om viss information. Men redan det förhållandet att en enskild har givit in en ansökan om en förmån till den utlämnande myndigheten kan vara den relevanta informationen för den mottagande myndigheten i den myndighetens ärendehandläggning, inte det beslut som sedermera fattas.

Det förekommer också att reglering kring informationsutbyten knyter an till traditionell pappershantering och till tidsperspektiv som inte längre är aktuella när beslutsprocesser har automatiserats. Lagstiftningen har med andra ord inte uppdateras i takt med att digitala processer har effektiviserat den offentliga förvaltningen. Detta leder till att myndigheter kan behöva fatta beslut som grundas på uppgifter som är onödigt gamla.

Exempel: Beslut om återbetalning av studiemedel grundar sig bl.a. på enskildas inkomstuppgifter från två år tillbaka i tiden. I dagens digitala förvaltning finns dock reella möjligheter att grunda återbetalningsbeslutet på mer aktuella uppgifter.

Ytterligare en aspekt att beakta vid informationsutbyten är att myndigheter måste kunna förlita sig på att de uppgifter som överförs är korrekta. Det förekommer att enskilda rapporterar in en uppgift till en myndighet som därefter ska överföra samma uppgift till en annan myndighet. Har den enskilde rapporterat in en uppgift som inte överensstämmer med verkliga förhållanden kan det leda till att de myndigheter som är sekundära mottagare av uppgiften i fråga grundar sitt beslutsfattande på felaktig information.

Exempel: Arbetsgivare ska månadsvis lämna digitala arbetsgivardeklarationer på individnivå till Skatteverket. De uppgifter som rapporteras in ska Skatteverket kunna lämna ut digitalt till Försäkringskassan, Migrationsverket och Arbetsförmedlingen som använder dem som beslutsunderlag i sin respektive ärendehandläggning. Eftersom uppgifterna i fråga initialt härrör från de inrapporterande arbetsgivarna kan Skatteverket inte garantera att uppgifterna är korrekta. Det kan leda till att de mottagande myndigheterna fattar beslut på ett felaktigt eller ofullständigt beslutsunderlag. Regleringen anger emellertid att det är den individuppgift som lämnats av arbetsgivaren som ska lämnas vidare.

Digital information skulle kunna beskrivas ha tre olika beståndsdelar.

1. Beståndsdata, dvs. en saklig uppgift som sådan, t.ex. en uppgift om beskattning.

2. Processdata, dvs. information om hur en uppgift har tagits fram.

3. Metadata, dvs. uppgifter som beskriver innehållet eller strukturen i en viss informationssamling.

Lagstiftning som rör informationsutbyten mellan myndigheter omfattar i regel enbart det som i exemplet ovan benämns som beståndsdata. Med nya tekniska möjligheter skulle det, med ett annat sätt att beskriva problematiken som exemplifierats ovan, kunna vara mer intressant att veta att en person är skönstaxerad (processdata) än själva taxeringsuppgiften (beståndsdata).

5.5.8. Informationsstandarder

Inom ramen för kartläggningsarbetet har det tydligt framgått att myndigheter har behov av gemensamma informationsstandarder. En standard kan sägas vara en gemensamt överenskommen lösning på ett återkommande problem. För informationshanteringen efterfrågas standarder för bl.a. digitala format, certifikat, gränssnitt och metadata. Riksarkivet har ett pågående arbete med att ta fram förvaltningsgemensamma specifikationer27 för, i första hand, statliga myndigheter.28 Att det inte funnits någon utpekad aktör som haft ansvar för frågan om gemensamma standarder för informationshanteringen inom den offentliga förvaltningen har påpekats vara en brist.29

I kartläggningsarbetet har det påtalats att det behövs en samordning av vilka krav på standarder som ska ställas av det offentliga när system utvecklas eller upphandlas. Avsaknaden av samordning

27 En förvaltningsgemensam specifikation är en specifikation som beskriver hur man strukturerar information i ett utbytesformat som möjliggör överföring av information till valfritt system, valfri e-tjänst, annan myndighet, mellan arkiv, slutarkiv osv., samt identifiering av informationen. 28 Se Riksarkivets regleringsbrev för budgetåret 2018 (Ku2017/00774/KL m.fl.). 29 Regeringen har beslutat att inrätta en ny myndighet för digitalisering av den offentliga sektorn som bl.a. ska. kunna meddela föreskrifter om nationell digital infrastruktur, såsom tilllämpning av standarder, format och specifikationer för informationsutbyte, it-system och grunddata (dir. 2017:117).

kan leda till oklarheter när en myndighet t.ex. har fått bemyndigande att på ett visst område föreskriva om standarder. Även på föreskriftsnivå behöver det finnas en samordning för att få en helhetssyn.

Nedan ges ett exempel på arbete med att enhetliggöra olika typer av standarder för att skapa en gemensam informationsstruktur.

Exempel: Socialstyrelsen har ett pågående arbete för att skapa en gemensam informationsstruktur för hälso- och sjukvården och socialtjänsten i syfte att information som registreras om t.ex. patienter och brukare ska kunna återanvändas på ett ändamålsenligt sätt. En ändamålsenlig och strukturerad dokumentation innebär att varje behov av information är tillgodosett. Det finns flera olika behov varav ett är att dokumentationen ska vara en utgångspunkt för vård, stöd och behandling av en enskild individ. Genom att använda en gemensam beskrivning av processen i vård och omsorg, utifrån ett patient- och brukarperspektiv, kan olika verksamheter strukturera sin dokumentation om en och samma individ på samma sätt även om de bara deltar i delar av processen. Då blir det lättare att sammanställa och samordna vad som är planerat eller genomfört kring individens hälsotillstånd så att nästa aktör kan ta vid och fortsätta processen. Den gemensamma beskrivningen säkerställer att dokumentationen kan återanvändas och att den kan följa individen mellan olika aktörer och organisationer. I Socialstyrelsens arbete ingår för det första att skapa en nationell informationsstruktur med enhetliga process-, begrepp- och informationsmodeller för hälso- och sjukvården och socialtjänsten. För det andra krävs ett nationellt fackspråk grundat på Socialstyrelsens termbank, hälsorelaterade klassifikationer och Snomed CT (ett internationellt medicinskt begreppssystem som är utvecklat för att användas i digitala informationssystem). Den nationella informationsstrukturen beskriver verksamheten inom vård och omsorg på en generisk nivå med processmodeller (vad gör man i verksamheten), begreppsmodeller (vilka företeelser i verksamheten skapar informationsbehov, vilken typ av information behövs av vem i processen) och informationsmodeller (vilken information ska dokumenteras och hur olika informationsmängder hänger ihop). Tillsammans skapar modellerna en karta över det som behöver dokumenteras i verksamheten för att olika informationsbehov ska tillgodoses och säkerställer att information kan återanvändas i flera delar av processen.

Exemplet från Socialstyrelsen visar bl.a. att en ändamålsenlig informationsförsörjning inte i första hand bygger på tekniska komponenter utan på gemensamma definitioner, modeller och beskrivningar av information.

I kartläggningsarbetet framhåller vissa myndigheter att arbetet med gemensamma standarder går fortare på EU-nivå än nationellt och att det kanske beror på att tekniska krav fastställs direkt i de

EU-gemensamma regelverken. I Inspire-direktivet30 finns en detaljerad reglering av standarder. Det är positivt i bemärkelsen att det ger en god styrning. Men samtidigt är den regleringen så pass detaljerad att den riskerar att snabbt låsa in gammal teknik.

5.6. Digitalisering av ärendeprocesser och automatiserat beslutsfattande

5.6.1. Reglering av ärendeprocesser

Digitalisering av förvaltningen stannar inte vid digital kommunikation med enskilda när t.ex. ärenden inleds i en digital tjänst eller digitala informationsutbyten mellan myndigheter. En påtaglig del av de myndigheter vars representanter vi träffat under kartläggningen undersöker möjligheten att öka graden av automation vid ärendehandläggning och beslutsfattande. Bland aktörer som strävar mot detta återfinns myndigheter som redan har automatiserat vissa ärendeprocesser och beslutsfattande, och som nu överväger om detsamma är möjligt också inom andra områden. Möjligheterna undersöks emellertid också hos myndigheter som hittills inte har använt den automatiserade beslutsformen. Någon har lyft fram för oss att det här finns förutsättningar för effektivitetssprång i förvaltningen.

I kapitel 5.3.4 har vi resonerat kring några av de frågor som framkommit under kartläggningen avseende formkrav på undertecknande etc. Den typen av formkrav är emellertid långt i från de enda rättsligt reglerade kraven på viss form för informationshantering. Kartläggningsresultatet visar på ett bredare behov av att anpassa rättsregler som styr formerna för informationshantering vid kommunikation och ärendehandläggning. Det kan röra sig om att regleringen av processen för hur information ska hanteras hindrar fullt tillvaratagande av digitaliseringens möjligheter.

Nedan lämnas ett axplock av de exempel på krav på viss form för att hantera information i en ärendeprocess som vi har fått presenterade för oss under kartläggningen.

30 Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire).

Exempel: Begäran om viss komplettering av en årsredovisning ska enligt årsredovisningslagen31 skickas till en registrerad postadress. För att Bolagsverket ska kunna digitalisera processen krävs en lagändring.

Exempel: Miljölagstiftningen innehåller regler som utgår från pappersförfaranden. Som exempel kan nämnas bestämmelser om att rekommenderade brev ska användas för en viss försändelse, att en viss informationsmängd ska kungöras i ortstidningar eller att domar ska publiceras på ett visst ställe. Det är ett lappverk av regler som sammantaget är svårt överblicka och hantera i strävan efter en digital förvaltning.

Exempel: I socialförsäkringsbalken finns regler om anmälan respektive

ansökan för t.ex. föräldrapenning. Det härrör från en tid då informa-

tionen hanterades i två steg. I den digitala informationshanteringen behövs egentligen inte två olika förfaranden utan det räcker med enbart ansökan. Reglerna som träffar anmälningsförfarandet har helt enkelt blivit överflödiga.

Exempel: Lagstiftningen kring kravet på att certifikat och andra tillståndshandlingar i original ska medföras på fartyg och luftfartyg hindrar en övergång till en helt digital ärendehantering. Även i EU-lagstiftning och andra internationella rättsakter finns framtagna mallar för ansökan och certifikat. Mallarna innehåller krav på underskrifter och fysiska stämplar vilket hindrar en övergång till en helt digital ärendehantering.

Exempel: Inom fastighetsinskrivning är Lantmäteriets mål att ärenden om fastighetsöverlåtelser, upplåtelseavtal och pantbrev ska hanteras i en helt digitaliserad process. Dessa ärendetyper är dock hårt formbundna i jordabalken och utgår från en pappershantering. Det finns även flera olika rättsinstitut, t.ex. bestyrkande, som måste kunna överföras från analoga till digitala förfaranden. Lantmäteriets hantering är av stor betydelse för samhällsutvecklingen i övrigt. En analog hantering hos Lantmäteriet förhindrar digitalisering hos andra aktörer.

5.6.2. Digitala handlingar

Det har framkommit att myndigheter gör olika bedömningar av hur det är möjligt att hantera digitala handlingar. Det generella önskemålet är dock att slippa hantera pappershandlingar. Men under vilka förutsättningar är det möjligt att enbart hantera en handling digitalt? Kan en digital handling vara säkrare och svårare att förfalska än ett pappersdokument? En annan fråga som lyfts fram är om det är nödvändigt att bevara fysiska handlingar när handlingarna har skannats

31Årsredovisningslagen (1995:1554).

in och finns i digital version. Kan den fysiska handlingen gallras eller finns det risk för att handlingens autenticitet i ett senare skede inte går att fastställa?32

Exempel: Sedan slutet av 1990-talet rapporteras alla slutbetyg in digitalt. Kommuner kan dock fortfarande välja om de vill arkivera betygskatalogen analogt eller digitalt.

5.6.3. Automation av ärendehandläggning och beslutsfattande

Förutsättningarna för automatiserat beslutsfattande har förtydligats genom ny reglering i förvaltningslagen.33 Men hur långt är det möjligt att gå i fråga om automatiserat beslutsfattande? Och utgör särreglering i andra författningar om automatiserade beslut ett hinder för de myndigheter som har att tillämpa dessa specialförfattningar att automatisera andra beslut än dem som medges där?

Under kartläggningsarbetet har några framhållit att en förutsättning för att myndigheter i ökad utsträckning ska kunna digitalisera sina beslutsprocesser, i alla fall med nu kända medel, är att författningstext kan översättas till algoritmer.34 Vidare har reflektioner gjorts och frågor ställts som rör säkerställande av beslutsunderlag, t.ex. om det rör sig om stora underlag såsom informationssamlingar med sensordata.

Såväl rättsliga hinder i gällande rätt som oklara rättsförhållanden har vidare beskrivits kunna hindra eller hämma en utveckling mot en ökad grad av automation i en digital förvaltning. Under kartläggningen har också ett antal frågor och reflektioner framkommit som på en övergripande nivå kan sägas utgöra en rättslig osäkerhet avseende på vilka sätt den allt mer digitala förvaltningen ska gå tillväga för att säkerställa att förfaranden både är, och kan visas vara, rättssäkra.

Exempel: En kommun använder ett automatiserat förfarande för skolplaceringar. I det fria skolvalet beaktas bl.a. närhetsprincipen. Närhetsprincipen är som sådan inte exakt utan bara en vag princip. Det behöver fastställas var den geografiska punkten för skolan ska förläggas. Är det i matsalen, rektors kontor eller på skolans parkeringsplats? Valet av

32 Riksarkivet kan i sina myndighetsspecifika föreskrifter (RA-MS) reglera statliga myndigheters möjligheter att gallra en fysisk handling som har skannats in. 3328 § förvaltningslagen. 34 En algoritm är enligt en klassisk definition en noggrann plan eller metod för att stegvis göra något.

geografisk markering för skolans belägenhet kan få en avgörande betydelse i förhållande till vilken elev som därefter bedöms ha närmast till skolan. Ett urval baserat på närhetsprincipen måste vidare baseras på ett kartunderlag. Men vilket?

Kartläggningsresultatet visar även på osäkerhet om vilka rättsliga förutsättningar som finns när det gäller en övergång till förfaranden där stora datamängder används i förening med artificiell intelligens och anknytande maskininlärda algoritmer.35 Dessa frågor gör sig också, och i kanske än högre grad, gällande i ett kunskapsperspektiv. Hur kan man göra det möjligt att nyttja förvaltningens informationsmängder för att med hjälp av ny teknik nå ökad kunskap?

Det är vidare inte bara lagtext som behöver översättas till algoritmer för att digitala processer ska kunna utnyttjas. Även den fysiska världen behöver ibland få en digital motsvarighet som enskilda sätter tillit till och som är rättsligt accepterad.

Exempel: Lantmäteriet har utrett förutsättningarna för ett nytt regelsystem för fastighetsgränser där i första hand koordinater bestämmer gränspunkternas läge.36 I arbetet har bl.a. följande frågor ställts på sin spets. Hur kan samhället gå över till ett system där digital information, t.ex. koordinater över en fastighet, i stället för analog information, t.ex. fysiska gränsmärken, utgör rättsfigurer eller handlingar som medför rättsverkan? Hur kan det säkerställas att rättigheter, t.ex. äganderätten, och skyldigheter som baseras på det hittillsvarande analoga systemet inte inkräktas på? Digitala fastighetsgränser som fastställs med koordinater kommer inte bli identiska med de nuvarande fastighetsgränserna. Men förtroendet för det digitala systemet behöver vara lika stort som för det befintliga analoga systemet.

Inom ramen för kartläggningsarbetet framhåller flera av dem vi träffat att handläggning med helt eller delvis stöd av automatiserade processer många gånger är mer rättssäker än motsvarande manuell handläggning, åtminstone när beslutsunderlaget utgörs av ”hårda fakta” där bedömningsutrymme saknas eller är litet. När man ser till helheten av de beslut som i dag fattas automatiserat beskrivs detta normalt leda till en mer rättssäker hantering.

Exempel: När Skatteverket tidigare masshanterade deklarationer i pappersformat kontrollerades maskinellt att blanketterna var undertecknade. Det fanns emellertid inga maskinella funktioner för att kontrollera att det var rätt individ som hade undertecknat deklarationen i fråga. I dag

35 Se kapitel 7.3.2 för förklaring av begreppen. 36 Lantmäteriets rapport Koordinatbestämda gränser, 27 mars 2017, dnr 508-2017/939.

deklarerar större delen av befolkningen digitalt vilket innebär att det med en hög grad av säkerhet kan fastställas att det är rätt person som har undertecknat deklarationen i fråga eftersom undertecknandet sker med stöd av en tvåstegsautentisering t.ex. e-legitimation.

Men hur blir det om automatiserade förfaranden ska börja tillämpas på ärendeprocesser som inte enbart utgår från t.ex. sifferberäkningar? Under kartläggningen har vi också fått veta att Försäkringskassan har påbörjat en utredning av vilka möjligheter som finns att, med bibehållen eller ökad rättssäkerhet, göra mer avancerade bedömningar med stöd av automatiserade förfaranden. Vilka risker för rättsosäkerhet kan uppstå och hur kan de hanteras? Standardisering av individärenden får t.ex. inte leda till att vissa grupper diskrimineras.

Exempel: Inom sjukförsäkringen är bedömningsutrymmet större än i de processer som Försäkringskassan hittills har automatiserat t.ex. beslutsprocesser för föräldrapenning och tandvård. Försäkringskassan har drivit ett utvecklingsarbete med utgångspunkten att hitta ärenden där risken för längre sjukskrivning statistiskt sett är låg och där automatiserade processer inte skulle leda till ett annat utfall än vid en manuell handläggning. Detta skulle möjliggöra en förflyttning av handläggare till ärenden där manuell handläggning skapar mer värde. Under utvecklingsarbetet gjorde dock Försäkringskassan det juridiska ställningstagandet att vissa moment i ärendeprocessen som bedömning av arbetsförmåga, kräver manuell handläggning.

Vi har också under kartläggningen fått höra ett par exempel på när det varit svårt att uppmärksamma och utreda fel i bakomliggande tekniska förfaranden. Hur säkerställs att de upptäcks, och vem bär ansvaret för den typen av fel och för dess följder?

5.7. Automation av faktiskt handlande

En annan form av digitalisering som ökar i den offentliga förvaltningen är automatisering av uppgifter som hittills skötts av människor och som inte utförs inom ramen för förvaltningens ärenden eller ärendehandläggning. Ett exempel som har lyfts fram under kartläggningsarbetet är användningen av digitala trygghetstekniker i bl.a. socialtjänstens verksamhet. Digitala trygghetstekniker (även kallat välfärdsteknik) är t.ex. kameror och sensorer som används för tillsyn i stället för att vårdpersonal är fysiskt på plats för att se till

vårdtagaren. Det kan röra sig om nattlig tillsyn via kamera eller sensorer som larmar när en blöja behöver bytas.

I kartläggningsarbetet har aktörer med koppling till vård- och omsorgssektorn pekat på behovet av en ändamålsenlig reglering för att skapa bättre förutsättningar för användning av digitala trygghetstekniker. Att det saknas särskild reglering om användandet av dessa tekniker medför bl.a. att det i allmänhet krävs att vårdtagaren samtycker till den behandling av personuppgifter som äger rum. I praktiken är det dock inte alltid möjligt att inhämta den enskildes samtycke. Exempelvis har inte alla vårdtagare beslutsförmåga, t.ex. till följd av demenssjukdom.

5.8. Öppenhet i den digitala förvaltningen

5.8.1. Dokumentation

En förutsättning för att upprätthålla öppenheten i den digitala förvaltningen är att det finns dokumentation av vilka informationstillgångar och/eller it-system som finns.37 Utan en sådan god offentlighetsstruktur är det inte möjligt för allmänheten att veta vilken information som finns tillgänglig hos myndigheterna och som kan begäras ut. Dokumentation är också av stor vikt inte minst när det gäller frågor om i vilken utsträckning myndigheter ska eller kan tillhandahålla öppna data eller öppen källkod. Under kartläggningsarbetet har det framkommit att kunskapen om författningsreglerade dokumentationskrav kan stärkas. Det gäller särskilt i frågor som rör utveckling av, eller ändringar i, de it-system som används.

5.8.2. Öppna data

Med öppna data menas all information som uppfyller kraven för s.k. öppen kunskap, dvs. information som tillhandahålls fritt utan krav på avgifter och med få eller inga tekniska eller rättsliga begränsningar för hur den får användas.38 Skillnaden mellan öppna data och Public Sector Information (PSI) som utgångspunkt för vidareutnyttjande

37 Se vidare kapitel 7.6 i fråga om vissa dokumentationskrav. 38 Se www.vidareutnyttjande.se/om-vagledningen/terminologi/

av handlingar från den offentliga förvaltningen är långt i från självklar.39 Det kan med andra ord skönjas en viss otydlighet vad gäller förhållandet mellan de skyldigheter som regleras av PSI-direktivet40och lagen (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen jämfört med den frivilliga möjligheten att publicera öppna data.

Att det inte finns någon särskild författning som styr publiceringen av öppna data har vi också under kartläggningen uppfattat leda till osäkerhet. Vad är öppna data i förhållande till den rättsliga regleringen? Vilka uppgifter bör publiceras som öppna data och hur? Under kartläggningen har vi i något sammanhang uppfattat att frivillig publicering av öppna data inte varit prioriterat när nyttan med sådan publicering främst uppstår utanför den egna verksamheten. Samtidigt framhålls att det finns potentiell nytta även för myndigheter att ta del av andra myndigheters öppna data. Någon har framfört behov av att explicit reglera skyldigheter att tillhandahålla öppna data.

Representanter för myndigheter som är i färd med att börja eller som redan har börjat publicera öppna data vittnar om att det kan vara besvärligt att avgöra vilken slags information som kan publiceras som öppna data. Varje myndighet ansvarar för sina bedömningar och informationssäkerhets-, dataskydds- och sekretessfrågor måste beaktas såväl ur ett individ- som ur ett samhällsperspektiv. Det finns en oro över att uppgifter som en myndighet publicerar på aggregerad nivå ska kunna återskapas till personuppgifter om de kombineras med uppgifter som t.ex. har hämtats från en annan källa, eller att något säkerhetsrelaterat hot kan uppstå som en enskild myndighet inte har överblick över. Ett par aktörer har därför uppmärksammat behovet av en central aktör som har överblick över samtliga öppna data som publiceras av myndigheterna. Någon annan har pekat på att myndigheterna också måste beakta eventuella verksamhetsrisker som kan uppstå till följd av publicering av öppna data som rör verksamheten. Det har emellertid också poängterats att publicering av öppna data i de rekommenderade standarder som finns möjliggör för privata näringslivet att utveckla tjänster och bygga nya lösningar

39 Riksarkivet beskriver på webbplatsen www.oppnadata.se hur de olika begreppen skiljer sig åt. 40 Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn.

som kan komma till nytta hos myndigheterna. I förlängningen kan myndigheterna dra nytta av det privata näringslivets innovationer.

Vissa myndigheter, t.ex. Bolagsverket och Lantmäteriet, är skyldiga att ta ut avgifter för sin information. Ett sådant avgiftskrav kan inte kombineras med ett tillhandahållande av öppna data som per definition ska ske avgiftsfritt. Avgiftsfinansieringen beskrivs vara hämmande.

Exempel: Lantmäteriet har publicerat en liten mängd s.k. geodata som öppna data, motsvarande cirka 2 procent av avgiftsintäkterna. Innan publiceringen gjordes cirka 8 000 nedladdningar av denna datamängd under en kalendermånad. När avgifter inte längre togs ut ökade siffran till över 40 000 nedladdningar på en kalendermånad. Intresset av myndighetens uppgifter som öppna data har alltså varit stort.

Ett annat rättsområde som i något fall kan inbegripa hinder mot publicering av öppna data är immaterialrätten. Företrädare för Lantmäteriet har påpekat att geodata, bl.a. kartor, skyddas av upphovsrätt. Skyddsintresset är emellertid enbart myndighetens ekonomiska rättighet. Om avgiftskravet skulle slopas skulle det inte heller finnas hinder i immaterialrätten för publicering som öppna data. Om avgiftskravet behålls kan informationen inte publiceras som öppna data eftersom den inte får vidareutnyttjas gratis.

I samarbeten om öppna data mellan myndigheter och/eller andra aktörer kan vidare nya informationsmängder uppstå, s.k. auktoritetslistor. En sådan lista skapas för att hålla samman uppgifter som rör samma ämne, händelse eller annat och som hämtas från olika aktörer, dvs. för att hålla samman s.k. distribuerade data. Det kan vara oklart vem som är ansvarig för den nya informationsmängden i en sådan lista och var den ska förvaltas och bilda arkiv.

5.8.3. Elektroniskt utlämnande av allmän handling

I ett digitaliserat samhälle förväntar sig enskilda att få allmänna handlingar utlämnande digitalt. Vi har under kartläggningen uppfattat att det finns pedagogiska svårigheter med att förklara för enskilda som önskar använda e-post för att ta emot de efterfrågade handlingarna varför en myndighet inte lämnar ut handlingar digitalt, eller varför vissa handlingar lämnas ut digitalt men inte andra. Det har framförts att enskilda ibland i onödan och oriktigt har uppfattat

det som att en myndighet försöker dölja något när vissa handlingar bara lämnas ut på papper och inte i den digitala form som har begärts. Utöver de handlingar som har lämnats ut på papper begärs då ytterligare handlingar ut avseende digitala spår, t.ex. loggar och cookiefiler.

Det har vidare beskrivits för oss att det inte alltid är enkelt att avgöra vad som utgör en handling och när den är allmän i dagens digitala informationsflöden och behandling av stora mängder data. Bedömningen kan innebära komplicerade avvägningar i det dagliga arbetet. Ibland rör det sig om begäranden om utlämnande av allmän handling som omfattar stora informationsmängder och mycket arbetstid läggs vid myndigheterna på att beräkna kostnader för utlämnanden. Det förekommer också att begärandena inte fullföljs när det står klart vad kostnaderna blir.

Exempel: På en myndighet ägnades två veckor åt att rensa cookiefiler från uppgifter som inte skulle lämnas ut. Totalt sett rörde det sig om ca 60 000 sidor med uppgifter. Den som begärt ut uppgifterna hämtade sedan aldrig handlingarna.

5.9. Rensning, arkivering, gallring och bevarande

Digital informationshantering ger förutsättningar att samla in och lagra stora mängder information. I digitala miljöer betraktas inte arkivet som en slutdestination för information. Snarare uppkommer frågor om vilka uppgifter som genast kan rensas, vilka uppgifter som ska lagras, var de ska lagras och hur länge de ska bevaras. När data i realtid samlas in genom t.ex. sensorer kan det innebära att informationsmängden hela tiden förändras. Vad gäller då om informationsmängden ska användas som beslutsunderlag? Är myndigheten skyldig att för varje enskilt beslut lagra all den data som har samlats in eller räcker det att lagra informationsmängden på ett ställe med fastställda intervall? Är det verkligen relevant att tillämpa arkivlagens krav på alla de informationsmängder som kommer att skapas i den digitala förvaltningen?

I vårt kartläggningsarbete har det framkommit att arkivfrågorna, trots dess centrala betydelse inte minst för bibehållen öppenhet i förvaltningen, har en viss tendens att hamna i skymundan vid utvecklingsarbeten. Men frågor om rensning, arkivering, gallring eller bevarande av uppgifter i myndighetsgemensamma system kan

innebära särskilda svårigheter som måste redas ut. Företrädare för Riksarkivet framhåller att det är av stor vikt att fastställa arkivansvaret, inte minst för att veta vilken aktör som är arkivbildande myndighet. Det blir både kostsamt och ineffektivt att behöva utreda frågan om arkivansvar i efterhand, när det blir aktuellt att arkivera, för att senare gallra eller bevara.

Utgångspunkten vid fastställande av arkivansvar när flera myndigheter har åtkomst till en viss informationsmängd genom antingen läs- eller skrivbehörighet är att arkivansvaret ska placeras hos den myndighet som har skrivbehörighet. Under kartläggningen har vi emellertid fått beskrivet att det i dagens digitala miljöer inte längre är relevant att enbart tala om läs- och skrivbehörigheter. Den digitala informationshanteringen är betydligt mer komplex än så. Det har vidare framförts att det ibland krävs tid för att få till stånd en ny informationshantering som också är långsiktigt hållbar.

Företrädare för Riksarkivet har också pekat på vikten av att databaser hålls samman ur arkivsynpunkt. Nyttan av att bevara sammanhållna databaser är bl.a. att det ger överlägsna möjligheter att bedöma handlingars autenticitet och att söka och sammanställa uppgifter och handlingar. Även andra har framhållit riskerna med att fragmentera informationen vid arkivering genom att dela upp och gallra uppgifter efter olika myndigheters reglering. En sådan fragmentering leder till att det inte går att säkerställa kontinuitet och att informationen kan användas på samma sätt som i den gemensamma databasen efter arkivering. Det kan göra att det i efterhand kan vara komplicerat att avgöra vilken information som har legat till grund för ett beslut.

Särskilt från arkivarier har det framförts att det behövs en generell lagstiftning som styr informationshanteringen i en digital riktning för offentlig sektor. Det behövs med andra ord en gemensam riktning så att inte alla sitter med olika lösningar i olika utvecklingsarbeten. I nuläget är de krav som finns för informationshanteringen splittrade i olika regelverk. Exempelvis är gallringsbesluten starkt kopplade till myndigheternas organisation. En representant för en myndighet som använder ett it-system som är gemensamt med andra har beskrivit att gallringsbesluten hos de olika myndigheterna ser olika ut. Bedömningen av om en handling ska bevaras eller om den kan gallras görs nämligen bl.a. i förhållande till sitt sammanhang hos respektive myndighet. Det har emellertid framförts i kartläggningen

att när det saknas samordning av myndigheternas bevarande- och gallringsrutiner kan det leda till att information sparas på flera håll eller inte alls.

När myndigheter utkontrakterar sin informationshantering har vi vidare fått beskrivet för oss att det behöver finnas garantier för att systemleverantörerna verkligen utplånar uppgifterna ur systemen när de har fått i uppdrag att gallra. Men är det tekniskt möjligt att gallra uppgifter i molntjänster41 med omedelbar verkan? Eller ska radering av en uppgift i molnet snarast ses som en markering om radering med följd att uppgiften skrivs över med ny information över tid?

Även utmaningar rörande förhållandet mellan arkivreglering och dataskyddsreglering har beskrivits för oss. Dataskyddsregleringens princip om lagringsminimering innebär att personuppgifter inte ska bevaras under längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas.42 I regel beskrivs det dock inte vara praktiskt möjligt att enbart gallra en eller ett fåtal uppgifter i ett system utan att det påverkar den kvarvarande informationsmängden på ett eller annat sätt. Av denna anledning är det angeläget att redan innan uppgifter samlas in ta ställning till om det finns ett relevant behov av dessa eller inte.

5.10. Upphandling, utkontraktering och avtal

5.10.1. Regelverk och teknisk utveckling

Under kartläggningsarbetet har flera aktörer framhållit att myndigheter i varierad grad har behov av att utkontraktera it-drift eller andra it-baserade funktioner till privata leverantörer. Representanter för myndigheter som utkontrakterar it-drift eller andra it-baserade funktioner till privata leverantörer framhåller dels att det är svårt att genomföra upphandlingar där den levererade tjänsten faktiskt motsvarar myndighetens behov, dels att avtalshanteringen är komplicerad.

41 Molntjänster är tjänster som tillhandahålls med nätverksåtkomst och där resursdelning, möjlighet till snabb skalbarhet, självbetjäning och betalning efter användning eller volym är några av de centrala kännetecknen, se Pensionsmyndighetens rapport Molntjänster i staten, en

ny generation av outsourcing, januari 2016, s. 9.

42 Artikel 5.1. e dataskyddsförordningen.

Flera har uttalat att upphandlingsreglerna är komplicerade och att det är en utmaning att åstadkomma nödvändig flexibilitet vid upphandling av varor och tjänster relaterade till myndigheternas digitalisering. Ett mindre lyckat upphandlingsresultat kan leda till att verksamheten under flera år får en produkt eller tjänst som inte svarar mot verksamhetens behov. Problemet är bl.a. att det kan vara komplicerat att få till stånd en kravspecifikation som svarar mot myndighetens behov.

Vi har också fått förklarat för oss att det förekommer att leverantörer inte alltid är intresserade av att delta i de upphandlingsformer som kanske lämpar sig bäst för upphandling av it, nämligen konkurrenspräglad dialog och förhandlat förfarande. För leverantörerna kan de upphandlingsformerna innebära tidsödande arbete som inte alltid leder till något konkret och affärsmässigt resultat.

Någon aktör har särskilt pekat på att den snabba tekniska utvecklingen innebär särskilda utmaningar i upphandlingsarbetet. Myndigheters utvecklingsarbete bedrivs ofta i agila processer43 och för att matcha sådana processer i upphandlingen behöver också upphandlingsprocessen kunna arbeta mot ett rörligt mål.

Exempel: En innovationsupphandling görs vanligen i flera steg, t.ex. utredning, förstudie, utveckling och implementation. Eftersom myndigheten inte vet hur slutprodukten kommer att se ut är det i princip omöjligt att från början kravställa för hela kedjan. Upphandlingen sker i stället stegvis vilket innebär att den upphandlande myndigheten kan behöva byta leverantör mitt i innovationsprocessen och börja om på nytt med en ny leverantör. Bristande kontinuitet i leverantörsledet beskrivs hämma den digitala utvecklingen.

Utöver myndigheters skyldighet att efterleva upphandlingsreglerna ska myndigheterna se till att följa annan lagstiftning som reglerar myndighetens informationshantering. Om utkontrakteringen innebär att sekretessbelagda uppgifter kommer att lämnas ut till leverantören måste utlämnandet vara tillåtet enligt offentlighets- och sekretesslagen. Rör det sig om uppgifter som omfattas av sekretess och som rör rikets säkerhet gäller också kraven i säkerhetsskyddslagen.44Om informationsmängden som lämnas ut till leverantören inne-

43 Se vidare kapitel 7.4.2 om begreppet ”agil”. 44Säkerhetsskyddslagen (1996:627). En ny säkerhetsskyddslag har föreslagits träda i kraft den 1 april 2019, se Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89.

håller personuppgifter måste myndigheten även säkerställa att regelverket kring dataskydd efterlevs. Består den utlämnade informationsmängden av allmänna handlingar behöver myndigheten kontrollera att det finns förutsättningar att uppfylla regleringen kring bevarande och gallring.

Under kartläggningsarbetet har vi förstått att myndigheter inte alla gånger anser sig själva besitta all den kompetens och den förmåga som krävs för att genomföra upphandling av it som svarar mot samtliga dessa rättsliga krav, och därtill de rättsliga krav som kan följa av andra regelverk som gäller för en myndighets verksamhet. Vi har särskilt uppfattat att små och medelstora myndigheter vill ha mer stöd. De samlade reglerna som ska följas är omfattande och kan ibland vara svåra att tolka och tillämpa. Om en myndighet missar att spegla samtliga relevanta rättsliga bestämmelser i sin kravställning kan det leda till att myndigheten i ett senare skede inte efterlever regelverket om informationen inte skyddas av leverantören på det sätt som krävs.

Vid samverkan mellan myndigheter som innebär att en myndighet utför arbete på uppdrag av en annan myndighet, dvs. som en form av utkontraktering, kan det så som kartläggningsarbetet visar, vidare uppstå osäkerhet i fråga om gränserna om när upphandlingslagstiftningen i stället ska tillämpas.

5.10.2. Sekretess och tystnadsplikt

Kartläggningsarbetet har visat att flera myndigheter, och andra aktörer, upplever osäkerhet om det i vissa situationer finns rättsligt stöd i sekretesslagstiftningen för att lämna ut uppgifter som omfattas av sekretess vid utkontraktering till privata leverantörer.

Flera myndighetsrepresentanter har beskrivit för oss att det finns en tvekan kring hur röjandebegreppet i sekretesslagstiftningen ska tolkas. Kan myndigheten lämna ut sekretessbelagda uppgifter utan att uppgifterna röjs för leverantören, genom att ställa upp avtalsvillkor som förhindrar leverantörens personal att ta del av myndighetens information?45 Finns det lagringstjänster där leverantören inte behöver ta del av myndighetens sekretessreglerade uppgifter?

45 Jfr Outsourcing – en vägledning om sekretess och persondataskydd, s. 16 f., eSam, januari 2016.

Eller behöver det mer eller mindre alltid finnas möjligheter för leverantörens personal att ta del av myndighetens uppgifter för att felsöka, korrigera felaktigheter eller ge annan support?

Under kartläggningen har det även framförts osäkerhet om hur den sekretessbrytande bestämmelsen i 10 kap. 2 § offentlighets- och sekretesslagen om nödvändigt utlämnande ska tolkas och i vilken utsträckning sekretessbelagda uppgifter kan lämnas ut med stöd av bestämmelsen i den situation som nu avses. Det har även framkommit att osäkerheten kring de rättsliga förutsättningarna för att utkontraktera it-drift eller andra it-baserade funktioner har lett till att myndigheter har avstått från att utkontraktera till privata leverantörer. I något fall har myndigheten i stället infört separata manuella rutiner för intern hantering av ett fåtal sekretessreglerade uppgifter i en större informationsmängd som i övrigt hanteras digitalt av en privat leverantör.

Frågor om förhållandet mellan den nya dataskyddsförordningen och nationella tystnadsplikter har också lyfts fram för oss under kartläggningsarbetet, särskilt vad gäller vård- och omsorgssektorn. Kartläggningen visar vidare att myndigheter hanterar sekretessproblematiken på olika sätt. Vissa myndigheter har beslutat att tills vidare inte anlita molntjänstleverantörer för informationshantering. Andra myndigheter menar att utlämnandet av sekretessbelagda uppgifter i vissa fall av utkontraktering till privata leverantörer är nödvändigt och därför omfattas av den sekretessbrytande regeln i 10 kap. 2 § offentlighets- och sekretesslagen. Flera myndigheter har påpekat att de generellt är tveksamma till att anlita privata leverantörer om det inte står klart att offentlighets- och sekretesslagen inte hindrar ett utlämnande av de uppgifter som ska hanteras av leverantören. Därtill menar flera att det finns behov av antingen ett vägledande uttalande i frågan eller en förtydligande reglering.

5.10.3. It-avtal

Flera av de myndighetsrepresentanter vi träffat anser att avtalsarbetet vid köp av it är resurskrävande och fordrar att avtalsansvariga tjänstemän har bred och hög kompetens. De menar att det är svårt att upprätta avtal som är väl avvägda och juridiskt hållbara ur alla aspekter. Avtalsinnehållet ska spegla de juridiska krav myndigheten

har att uppfylla men behöver också vara affärsmässigt gynnsamt. Myndigheten vill t.ex. kunna tillgodogöra sig den tekniska utvecklingen som sker under avtalets löptid. Har en myndighet inte tillräcklig kompetens eller resurser för att teckna ändamålsenliga och balanserade avtal kan det leda till att leverantören intar ett överläge, vilket kan resultera i att myndigheten ingår ett ofördelaktigt avtal som kan få ekonomiskt kännbara konsekvenser i ett senare skede.

Vi har fått förklarat för oss att det finns utmaningar i att formulera förutsebara avtalsvillkor, t.ex. sådana som leder till att det inte uppstår s.k. inlåsningseffekter. Det kan exempelvis vara komplicerat att utforma tydliga avtalsvillkor som ålägger leverantören att samarbeta vid ett framtida leverantörsbyte.

Exempel: Om det saknas avtalsvillkor som förbinder leverantören att samarbeta vid ett framtida leverantörsbyte eller att överföra myndighetens information i ett användbart format vid avtalets upphörande kan det leda till svårigheter när myndigheten vill byta leverantör.

5.10.4. Personuppgiftsbiträdesavtal

När en myndighet uppdrar åt en extern leverantör att hantera myndighetens information blir leverantören ett personuppgiftsbiträde46 åt myndigheten om informationen i fråga innehåller personuppgifter.47 Dataskyddsförordningen ställer höga krav på transparens, insyn och kontroll när en behandling av personuppgifter överlämnas till ett personuppgiftsbiträde. Samtidigt kan vissa leverantörers driftsmodeller vara påfallande komplicerade och t.ex. involvera en mängd underleverantörer,48 vilket kan verka hindrande för myndighetens möjlighet till insyn och kontroll. Några av de aktörer vi träffat påtalar att dataskyddsregleringens långtgående krav blir svåra att applicera på verkliga förhållanden.

Flera aktörer som har deltagit i kartläggningsarbetet upplever osäkerhet när det gäller personuppgiftsbiträdesavtal som tecknas med privata leverantörer. Det gäller särskilt när avtal ska tecknas

46 Ett personuppgiftsbiträde är en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning, artikel 4.8 dataskyddsförordningen. 47 Personuppgifter är varje upplysning som avser en identifierad eller identifierbar person, artikel 4.1 dataskyddsförordningen. 48 Underleverantörer som behandlar personuppgifter som omfattas av den personuppgiftsansvariges ansvar är också personuppgiftsbiträden till den personuppgiftsansvarige. I det följande benämns de dock enbart som underleverantörer.

med en molntjänstleverantör. Hur säkerställs att myndigheten får kännedom om samtliga underleverantörer som kan komma att behandla personuppgifter åt myndigheten? Och hur säkerställs att underleverantörerna blir bundna av samma avtalsvillkor som stipuleras i personuppgiftsbiträdesavtalet? Hur ska myndigheten utöva kontroll över sina personuppgiftsbiträdens (leverantörens och alla underleverantörers) behandling av personuppgifter?

En generell uppfattning är att oproportionerligt mycket tid läggs ned på att utforma och förvalta personuppgiftsbiträdesavtal. Flera aktörer som har deltagit i kartläggningsarbetet menar att avtalshanteringen i högre utsträckning borde gå att standardisera om den alls ska vara nödvändig när offentliga aktörer biträder varandra. I myndighetssamarbeten är det vanligt att en myndighet agerar i rollen som personuppgiftsbiträde åt en annan myndighet. Ett sådant exempel är informationsöverföringstjänsten SSBTEK.49 Inom ramen för den tjänsten har vi fått förklarat att de involverade aktörerna initialt bedömde att om samtliga aktörer skulle teckna separata personuppgiftsbiträdesavtal sinsemellan skulle antalet biträdesavtal komma att uppgå till över 800 stycken. En sådan omfattande avtalshantering ansågs vara orealistisk och inte medföra något mervärde varför en annan modell för avtalstecknande valdes som begränsade antalet separata personuppgiftsbiträdesavtal.

Vid användning av förvaltningsgemensamma tjänster är det inte ovanligt att det är personuppgiftsbiträdet, som också kan vara den part som utvecklar och förvaltar tjänsten i fråga, som utformar personuppgiftsbiträdesavtalen.

Exempel: Inera AB50 tillhandahåller tjänster till bl.a. hälso- och sjukvården. I dessa sammanhang agerar bolaget i rollen som personuppgiftsbiträde och respektive vårdgivare är personuppgiftsansvarig. Inera AB anlitar dessutom underleverantörer som i sin tur blir personuppgiftsbiträden till de personuppgiftsansvariga vårdgivarna. För att reglera personuppgiftsbehandlingen för alla inblandade parter har Inera AB tagit fram tre olika modeller av personuppgiftsbiträdesavtal. Ett avtal som tecknas mellan vårdgivaren som personuppgiftsansvarig och Inera AB som personuppgiftsbiträde. Ett annat avtal där landsting agerar personuppgiftsbiträde åt en personuppgiftsansvarig privat vårdgivare. Och

49 Se vidare om SSBTEK i kapitel 5.11.5. 50 Inera AB är ett bolag som ägs gemensamt av SKL företag AB och av landsting, regioner och kommuner. Ineras uppdrag är att utveckla gemensamma lösningar som bidrar till att effektivisera verksamheter t.ex. genom att tillhandahålla kvalitetssäkrade digitala tjänster, koordinering av digital utveckling och kompetens inom interoperabilitet.

slutligen ett tredje avtal som tecknas mellan Inera AB som personuppgiftsbiträde och privata leverantörer som underleverantörer. Avtalen mellan Inera AB och dess underleverantörer förhandlas fram var för sig, dvs. avtalen kan skilja sig åt innehållsmässigt med respektive avtalspart. Därtill tecknar Inera AB också separata ”kundavtal” med respektive vårdgivare. Att förhandla fram och förvalta samtliga dessa avtal är en mycket tidskrävande uppgift.

Även inom skolområdet finns frågor kring hur personuppgiftsbiträdesavtal ska hanteras. Hur ska varje skolhuvudman rimligen kunna säkerställa att det finns acceptabla personuppgiftsbiträdesavtal på plats för applikationer med digitala läromedel som laddas ned till elevernas mobila enheter? Dataskyddsförordningen ställer höga krav på innehållet i personuppgiftsbiträdesavtal oberoende av om det endast är ett fåtal indirekta personuppgifter eller en större mängd personuppgifter som behandlas.

5.10.5. Uppföljning av avtal

För att säkerställa att leverantörer följer de avtalsvillkor som har tecknats med en myndighet behöver myndigheten följa upp leverantörens avtalsefterlevnad. På det sättet säkerställs bl.a. att myndigheten efterlever rättsliga krav även när viss verksamhet utkontrakterats. Av de kontakter vi haft med leverantörssidan i vårt utredningsarbete har vi förstått att det inte är ovanligt att myndigheter saknar särskilda rutiner för uppföljning av avtal. I de fall uppföljning sker är det inte alltid myndigheten har gjort klart vad det närmare är som ska följas upp. Uppföljningen leder i sådana fall sällan till något konkret resultat.

I dataskyddsförordningen finns särskild reglering som ska underlätta för personuppgiftsansvariga att kontrollera att deras personuppgiftsbiträden, inklusive underleverantörer, efterlever de villkor som stipuleras i personuppgiftsbiträdesavtalen.51 I vissa sammanhang har den personuppgiftsansvariga myndigheten ganska små möjligheter att faktiskt utföra nödvändiga kontroller. Så kan vara fallet när personuppgiftsbiträdet anlitar egna underleverantörer. I en sådan situation kan det vara mer rationellt att låta personuppgiftsbiträdet kontrollera och följa upp underleverantörernas efterlevnad av avtalsvillkoren i personuppgiftsbiträdesavtalen.

51 Artikel 28.3 h dataskyddsförordningen.

5.11. Samverkan

5.11.1. Myndigheters uppdrag

Genom kartläggningen står det klart för oss att digitaliseringen driver på behovet av samverkan. Det gäller samverkan i myndighetsgemensamma utvecklingsarbeten, samverkan vid inköp av it och andra it-baserade funktioner från privata leverantörer, samverkan som snarast är att betrakta som utkontraktering mellan myndigheter och andra former av samarbeten såväl mellan myndigheter som med det privata näringslivet.

Under kartläggningsarbetet har flera framhållit att den svenska förvaltningsmodellen med fristående myndigheter och självstyrande kommuner kan vara svår att förena med det allt ökande behovet av myndighetsöverskridande samverkan. Det är vidare inte alltid tydligt vad som utgör den yttre ramen för den verksamhet en myndighet ska ägna sig åt och det gäller i synnerhet i gränsytorna mot andra aktörer. Även i utvecklingsarbeten måste myndigheterna hålla sig innanför gränserna för sina respektive myndighetsuppdrag. Om en förstudie eller annat arbete på idéstadiet leder till att en myndighet ska utföra nya uppgifter, t.ex. ansvara för utveckling och förvaltning av en ny digital tjänst, kan myndighetens uppdrag behöva breddas.

5.11.2. Myndigheters samverkan med varandra

Flera av dem vi träffat under kartläggningsarbetet efterfrågar tydligare styrning för att effektivare nå målen i digitaliseringsarbeten. Representanter från vissa myndigheter som deltar i flera eller breda samverkansarbeten pekar på svårigheter som kan uppstå till följd av att de deltagande myndigheterna styrs från olika departement i Regeringskansliet. Ökad samordning efterfrågas. Utmaningar i samverkansarbeten kan också uppstå på grund av att en myndighet som fått en samordnande roll har givits ett otydligt mandat. Även krav på konsensusbeslut i utvecklingsarbeten kan bli en hämsko.

Myndigheters samverkan i digitaliseringsarbeten sker också på frivillig basis, utan ett särskilt uppdrag från regeringen. Ibland träffas överenskommelser mellan parterna men sådan samverkan kan också ske utan mer formliga överenskommelser. Oavsett om samverkan sker frivilligt eller till följd av t.ex. ett särskilt regeringsuppdrag kan

det vara ett resurs- och tidskrävande arbete att ta fram närmare överenskommelser som styr samverkansarbetet.

I kartläggningsarbetet har det framkommit att tolkning och tillämpning av gällande rätt ofta är en komplex och tidsödande uppgift i myndighetsgemensamma utvecklingsinsatser. De skarpa myndighetsgränserna i kombination med sektorsspecifik reglering avseende t.ex. sekretess och dataskydd medför att myndigheterna måste lösa alla rättsliga frågor var för sig innan ett myndighetssamarbete kan resultera i gemensamma digitala processer. En utmaning i varje enskilt utvecklingsarbete är att myndigheternas jurister inte sällan gör olika tolkningar och bedömningar av samma rättsliga frågor.

När samverkan mellan myndigheter innebär att en myndighet utför arbete på uppdrag av den andra, dvs. närmast en form av utkontraktering, kan det så som kartläggningsarbetet visar, uppstå osäkerhet om när upphandlingslagstiftningen i stället ska tillämpas.

Den svenska förvaltningsmodellen med kommunalt självstyre där respektive kommun ansvarar för sådana angelägenheter som har anknytning till kommunens område eller dess medlemmar (lokaliseringsprincipen) kan också verka hindrande för digitala samverkansarbeten över kommungränserna. I dagsläget sker kommunala samarbeten i regel genom att en ny gemensam nämnd eller ett kommunalförbund inrättas.52 Samarbete kan också äga rum inom ramen för gemensamt ägande, t.ex. Inera AB.

Samtidigt som önskemål om bättre förutsättningar för samverkan har förts fram under kartläggningen har det också påpekats att beslutsfattare bör vara medvetna om att digitala förfaranden som en gång har samordnats mellan flera myndigheter kan vara svåra att ändra.

Exempel: Flera kommuner utvecklar i samverkan med varandra en gemensam plattform för en digital tjänst, t.ex. ansökan om förskoleplats. Om en av kommunerna sedan vill ändra reglerna för sin förskoleverksamhet genom att ta bort syskonförtur, kan detta vara ogörligt i den gemensamma plattformen.

52 Se dock lagrådsremissen En generell rätt till kommunal avtalssamverkan, från den 22 februari 2018.

5.11.3. Myndigheters samverkan med privata aktörer

Kartläggningsarbetet visar att det blir allt vanligare att myndigheter samverkar med det privata näringslivet, även i andra former än vad gäller upphandling och inköp av varor och tjänster. Det kan gälla t.ex. sammankomster där myndighetsrepresentanter och representanter från privata näringslivet träffas och utvecklar kod i gemensamma plattformar (öppen källkod).

Myndigheter och privata aktörer har emellertid helt olika förutsättningar för samverkan. Myndigheternas verksamhet är regelstyrd och det gäller därför att hitta fungerande former för att samverka med det privata. I kartläggningen har vi fått höra om det arbete som läggs på att säkerställa att samverkan sker på ett konkurrensneutralt sätt och för att se till att upphandlingsreglerna inte träds för när. Även regleringen om otillåtet statsstöd har nämnts för oss i det sammanhanget som en faktor att hålla i åtanke. Myndigheterna behöver också ha kompetens och förmåga att ta fram välgrundade och genomtänkta avtal för att skydda sin verksamhet vid olika former av samverkan med det privata.

5.11.4. Arbetsro vid myndighetssamverkan

I ett utvecklingsarbete behöver ofta handlingar av den typ som internt inom en myndighet utgör arbetsmaterial delas mellan de samverkande aktörerna för att inhämta synpunkter inför fortsatt arbete. Enligt rådande rättspraxis anses det eventuella svaret med synpunkter bli en allmän handling. Det kan röra sig om utkast till rapporter, arbetsplaner eller delredovisningar som förmedlas mellan de samverkande myndigheterna eller som tas fram gemensamt. Om sådant arbetsmaterial i ofärdigt skick sprids beskrivs det kunna leda till missförstånd. Även om det inte rör sig om känslig information är arbetsutkasten inte färdigarbetade dokument. De utgör snarare arbetsmaterial på samma sätt som arbetsutkast som hittills i högre grad hanterats internt inom en myndighet och som anses utgöra arbetsmaterial och inte allmänna handlingar. Avsevärd tid läggs på att utreda hur myndigheter i samverkansarbeten ska hantera utkast och annat arbetsmaterial. Önskemål finns om att reglerna för när handlingarna blir att anse som allmänna borde vara desamma för

arbetsmaterial som hanteras i myndighetsgemensamma samverkansarbeten, som för arbetsmaterial som hanteras internt inom en myndighet.

5.11.5. Särskilda samverkansarbeten

Regeringens program Digitalt först

Digitalt först är regeringens program för digital förnyelse av det offentliga Sverige som genomförs under perioden 2015–2018. Inom ramen för programmet Digitalt först har ett antal myndigheter fått i uppdrag av regeringen att verka för digitalt först och leda digitaliseringen inom sina områden.

  • Lantmäteriet, tillsammans med Boverket, har i uppdrag att utveckla en smartare samhällsbyggnadsprocess för att öka bostadsbyggandet.
  • Jordbruksverket, tillsammans med Livsmedelsverket, har i uppdrag att öka tillväxten genom en smartare livsmedelskedja.
  • Naturvårdsverket har i uppdrag att utveckla smartare miljöinformation för att nå miljömålen.
  • SKL, tillsammans med Tillväxtverket och Bolagsverket, har i uppdrag att förenkla för restaurangföretagare genom verksamt.se.
  • Tillväxtverket har i uppdrag att skapa enkla och digitala myndighetskontakter för företag.

Sammansatta bastjänster – SSBTEK och SSBTGU

Sammansatt bastjänst för ekonomiskt bistånd (SSBTEK) är en informationsöverföringstjänst som används av kommunerna vid handläggning av ärenden som rör denna form av försörjningsstöd. Genom SSBTEK kan kommuner få uppgifter utlämnande elektroniskt från Arbetslöshetskassornas samorganisation, Arbetsförmedlingen, CSN, Försäkringskassan och Pensionsmyndigheten. Åtkomsten till uppgifterna är reglerad och det är bara handläggare med ett pågående ärende som får hämta in uppgifter via tjänsten. En enskild kan alltså inte själv hämta uppgifter via SSBTEK. Tjänsten är

ett exempel på där digital utveckling i samverkan har vunnit såväl tidsbesparingar som ekonomisk framgång. I stället för att handläggare ägnar tid åt att med manuella medel samla in uppgifter kan samtliga relevanta uppgifter hämtas in sekundsnabbt. Samtidigt har kostnaden för användningen av tjänsten över tid kunnat minskas från 1 krona per invånare till 80 öre per invånare.

Sammansatt bastjänst för grunduppgifter för företag (SSBTGU) är en s.k. vidareförmedlingstjänst som hämtar uppgifter från den bästa källan (Bolagsverket, Skatteverket och Statistiska centralbyrån). Tjänsten används av den myndighetsgemensamma webbplatsen verksamt.se och av kommuner inom ramen för bl.a. Serveratprogrammet. En enskild som har skapat ett eget utrymme kan hämta in uppgifter från de anslutna myndigheterna genom fördefinierade frågor. Sammansatta svar förmedlas sekundsnabbt genom elektroniska utlämnanden. SSBTGU underlättar och förenklar ansöknings- och anmälningsförfaranden genom att enskilda kan ta del av företagsuppgifter från flera olika myndigheter och återanvända uppgifterna i andra myndigheters digitala tjänster. I denna tjänst är det i dagsläget den enskilde själv som har åtkomst till uppgifterna, medan andra myndigheter inte har det.

SSBTEK och SSBTGU är uppbyggda med samma tekniska lösning i grunden men riktar sig till olika användare och har utformats på olika sätt för att möta kraven i gällande reglering. Under kartläggningen har det framhållits för oss att det, även om tjänsterna har effektiviserat myndigheternas handläggning, finns en outnyttjad potential i tjänsterna som skulle kunna realiseras genom att öppna upp tjänsterna för nya användare och användningsområden. Om enskilda individer hade åtkomst till sina uppgifter i SSBTEK skulle de med stöd av den samlade informationen kunna avgöra om det över huvud taget är meningsfullt att ansöka om ekonomiskt bistånd. Det skulle i sin tur kunna minska arbetsbördan för kommunernas handläggare som behöver hantera färre ärenden som resulterar i avslag. Kommunerna skulle inom ramen för sin tillsynsverksamhet kunna vara betjänta av att hämta in företagsuppgifter direkt från SSBTGU. I dagsläget måste kommunerna förlita sig på att företagarna skickar in korrekta uppgifter alternativt köpa avgiftsbelagd information från den statliga myndighet som är bästa källan.

Tjänsterna SSBTEK och SSBTGU belyser hur det i och för sig varit tekniskt möjligt att utforma digitala tjänster inom ramen för

gällande lagstiftning, men där det beskrivits för oss att det finns potential för ännu större nyttor om tjänsterna vidareutvecklas. Det kan dock behövas författningsändringar.

Verksamt.se

Tillväxtverket, Bolagsverket och Skatteverket har inom ramen för ett myndighetssamarbete utvecklat tjänsten verksamt.se. Syftet med tjänsten är bl.a. att förenkla processen för enskilda att starta och driva företag. Inom ramen för verksamt.se tillhandahålls enskilda ett eget utrymme i tjänsten där de t.ex. kan skapa affärsplaner.

Den som vill använda verksamt.se för att starta ett företag dirigeras först till Bolagsverket för att i Bolagsverkets e-tjänst anmäla ett företag för registrering och få ett organisationsnummer. När Bolagsverket har fattat beslut kan den enskilde göra momsanmälan m.m. hos Skatteverket genom att logga in på nytt och dirigeras till Skatteverkets e-tjänst. Såväl sekretessregleringen som det förhållandet att varje myndighet ansvarar för sina egna informationssamlingar och bara har möjlighet att ge service inom sitt eget ansvarsområde har beaktats när tjänsten skulle utformas. Utgångspunkten i verksamt.se är att det inte ska förekomma något direkt uppgiftsutbyte mellan myndigheterna utan att den enskilde ska styra uppgiftsflödet. Inom ramen för kartläggningsarbetet har det dock uttryckts önskemål om rättsliga förutsättningar för att verksamt.se ska kunna ta ett steg vidare mot att bli en ännu bättre hantera-ditt-

företag-portal.

En fråga som har diskuterats inom ramen för verksamt.se är vilka möjligheter det finns att närvara på sociala medier, t.ex. Facebook och Twitter. Sociala medier ger goda förutsättningar för snabb kommunikation med företagare och skulle också kunna vara ett sätt att marknadsföra tjänsten. Men eftersom verksamt.se inte är en egen juridisk person och inte agerar i rollen som personuppgiftsansvarig har bedömningen gjorts att det saknas förutsättningar att närvara på sociala medier när det inte tillräckligt tydligt framgår vilken myndighet som är avsändare.

Serverat

Inom ramen för regeringens Digitalt först-satsning driver SKL programmet Serverat tillsammans med Tillväxtverket, Bolagsverket och ett antal kommuner. Syftet med Serverat är att utveckla digitala lösningar för att förenkla för restaurangföretagare att starta och driva företag. Bolagsverkets uppdrag i programmet är att leverera företagsinformation från SSBTGU både på verksamt.se och i Serverats e-tjänster, dvs. de e-tjänster som tillhandahålls direkt av kommunerna för t.ex. ansökan om olika tillstånd. Tillväxtverkets roll är att på verksamt.se bygga en guide och checklista för att starta restaurang. SKL fokuserar på e-tjänsterna för de olika typer av kommunala tillstånd som krävs för att starta restaurang.

I det initiala arbetet har det uppmärksammats att många kommuner gör olika tolkningar av regelverket för olika tillstånd, t.ex. tillståndskrav för alkoholförsäljning. Det beskrivs vara en utmaning i arbetet att ensa tolkningarna och få en gemensam nationell tolkning och tillämpning av de styrande författningarna.

5.12. Kompetens och stödmaterial

I kartläggningsarbetet har flera av dem vi talat med pekat på att förmågan att samarbeta tvärfunktionellt behöver stärkas. Den digitala utvecklingen är inte en fråga som kan hanteras isolerat av en viss avdelning utan kräver att hela verksamheten involveras för att bästa resultat ska uppnås. Vissa framhåller behovet av fortsatt breddad kompetens för att få bättre förutsättningar att skapa förståelse över professionsgränserna. En förutsättning för gott samarbete över avdelningsgränser beskrivs vidare vara att de olika professionerna har förståelse för varandras uppdrag.

Likväl som jurister kan behöva bredda sin kompetens inom it och informationssäkerhet framhålls att även andra yrkesroller t.ex. it- och informationssäkerhetsspecialister, tekniker, upphandlare m.fl. behöver ha baskunskaper i det rättsliga regelverket som styr digitaliseringen. Att tolka dataskyddsbestämmelser i förhållande till befintlig teknik bör inte helt överlämnas till jurister som saknar djupare teknisk kunskap. Det finns med andra ord ett basbehov av kunskap i rättsinformatik, dvs. insikter om samband mellan materiell

it-rätt och metoder för att proaktivt integrera juridiken i digitaliseringsarbetet.

Under kartläggningsarbetet framkommer vidare att myndigheter generellt efterfrågar ett utökat rättsligt stöd i form av t.ex. uttalanden i förarbeten eller praxis. Myndigheternas rättstillämpare vill kunna känna sig trygga med rättsliga bedömningar och vägval i digitala utvecklingsarbeten. Dessvärre finns det sparsamt med förarbetsuttalanden och praxis som direkt går att applicera på dagens digitala miljöer.

Ett par myndighetsrepresentanter påtalar också att vägledningar bör utformas ur ett mer praktiskt perspektiv. Det är inte tillräckligt att veta att något ska göras. Myndigheterna måste också få ledning i

hur det ska göras.

5.13. Den rättsliga begreppsapparaten

5.13.1. Äldre begrepp i digitala miljöer

Inom ramen för kartläggningen har flera myndigheter påtalat komplexiteten i att applicera bestämmelser med föråldrade begrepp på dagens digitala miljöer. Regelverket som styr den digitala förvaltningen innehåller en mängd begrepp som tankemässigt knyter an till analoga förhållanden. Som exempel kan nämnas ärende, handling, inkommen, upprättad, skriftlig och underskrift. Det finns också begrepp som knyter an till tekniska förfaranden men som är så ålderdomliga att de är svåra att tillämpa på dagens tekniker. Ett exempel är begreppet utlämnande på medium för automatiserad behandling. Begreppet saknar legaldefinition men vanligen avses ett överlämnande av elektroniskt lagrade uppgifter via t.ex. e-post eller genom filöverföring från ett datorsystem till ett annat.53

Den begreppsbildning som finns i tryckfrihetsförordningen har också beskrivits som komplicerad att sätta i relation till nutida teknikanvändning. Det gäller t.ex. lokutionen teknisk bearbetning eller teknisk lagring i 2 kap. 10 § tryckfrihetsförordningen.54 Genom en ändring i offentlighets- och sekretesslagen den 1 januari 2018 har

53 Se t.ex. Patientdatalag m.m.,prop. 2007/08:126, s. 77. 54 Observera att ändringar i bl.a. 2 kap. tryckfrihetsförordningen föreslås i Ändrade medie-

grundlagar, prop. 2017/18:49. Ändringarna innebär bl.a. ändrade beteckningar på lagrum.

sekretesskyddet ökats för uppgifter som tekniskt lagras eller bearbetas av en myndighet för någon annans räkning.55 Även om ändringen välkomnas menar vissa att det fortfarande är oklart vad som är den faktiska innebörden av begreppen teknisk lagring och teknisk bearbetning i dagens digitala miljöer.

I 2 kap. 11 § första stycket 1 tryckfrihetsförordningen stadgas att brev, telegram eller annan sådan handling som har inlämnats till eller upprättats hos myndighet endast för befordran av meddelande inte anses vara allmän handling. Varken förarbeten eller praxis ger emellertid tillräcklig ledning om hur begreppet befordran av meddelande (post, telegram etc.) ska tolkas och tillämpas i förhållande till dagens teknikanvändning.

Någon av dem vi träffat har påpekat att när tolkning och tillämpning av otidsenliga begrepp på dagens digitala miljöer överlämnas till tjänstemän vid enskilda myndigheter blir en effekt att begreppen fylls med olika innebörd och räckvidd hos de olika myndigheterna, vilket kan bli problematiskt vid myndighetsöverskridande samarbeten.

5.13.2. En splittrad begreppsapparat

I kartläggningsarbetet har flera aktörer uppmärksammat behovet av en gemensam begreppsapparat i författningar. I dagsläget kan ett och samma begrepp användas med olika betydelser. Avsaknaden av en enhetlig begreppsapparat leder till att myndigheter behöver lägga tid och resurser på att lösa definitionsfrågor i varje enskilt utvecklingsarbete. Ska t.ex. en interoperabel tjänst för juridiska personer utvecklas behöver det finnas en entydig tolkning av begreppet företag. Eller kanske är det inte alls begreppet företag som ska användas utan

bolag? Eller organisation? Skillnader i begreppsanvändningen riske-

rar att slå tillbaka i framtiden, när olika tjänster hos olika myndigheter ska kopplas ihop.

Det har vidare framhållits att begrepp som knyter an till digital arkivering och gallring behöver användas på ett enhetligt sätt. Begreppet gallring kan ha olika innebörd i olika författningar och ibland används andra begrepp t.ex. radera, ta bort, utplåna eller förstöra trots

5511 kap. 4 a § och 40 kap. 5 §offentlighets- och sekretesslagen.

att det är gallring som avses. I Utredningen om 2016 års dataskyddsdirektiv56 görs ett arbete för att rensa upp i begreppsfloran och hålla isär arkivregleringen från personuppgiftsregleringen. Konkret handlar det om att ta bort begreppet gallring från personuppgiftsregleringen och i stället reglera att en viss behandling av personuppgifter ska upphöra.

Det beskrivs vara önskvärt att åstadkomma ytterligare förbättrade processer vid författningsändringar som motverkar tvetydighet eller motstridighet i olika lagstiftningsprodukter. Den typ av tvetydighet eller motstridighet som ovan beskrivits kan annars hindra eller hämma utvecklingsarbeten som avser digitala informationsutbyten.

5.14. Samverkan kring författningsändringar

Samverkan i frågor som rör behov av författningsändringar med anledning av förvaltningens digitalisering äger rum såväl horisontellt dvs. mellan myndigheter, som vertikalt, dvs. mellan myndigheter och Regeringskansliet. Under kartläggningen har vi fått bilden av att myndigheter i allt högre grad samverkar med varandra och gemensamt hemställer om nödvändiga författningsändringar i t.ex. ett digitalt utvecklingsarbete som involverar informationsutbyte mellan myndigheterna. Generellt sett efterfrågar myndigheterna dock effektivare och smidigare processer för att kunna föra fram behov av ny eller förändrad reglering till lagstiftaren. I dagsläget finns det flaskhalsar där lagstiftningsarbetet riskerar att fastna. Det beskrivs vara värdefullt för myndigheter att få snabb återkoppling från departementen på gjorda hemställningar om författningsändringar. Är en beskrivning tillräckligt detaljerad eller saknas någon del i analysen? Det beskrivs också vara viktigt att lagstiftningsprocessen till stöd för den digitala förvaltningen bedrivs löpande och myndigheter efterfrågar en samordning eller gemensam kontaktpunkt för frågor som rör författningsändringar i anledning av utvecklingen mot en allt mer digital förvaltning.

En annan faktor som lyfts fram av flera myndigheter är tid. Författningsändringar tar lång tid att åstadkomma även när det rör

56Brottsdatalag – kompletterande lagstiftning (SOU 2017:74). Se även Myndighetsdatalag (SOU 2015:39), kapitel 14.

sig om förordningsändringar och än längre tid om det gäller lagändringar. I stället för att invänta en regeländring kan det leda till att myndigheter anpassar sig efter rådande reglering med följd att utvecklingsinsatsen inte blir optimal.

En följd av att nya digitala informationsutbyten mellan myndigheter i regel kräver författningsändringar är att departementen belastas med olika hemställningar om författningsändringar. Vid informationsutbyten mellan myndigheter berörs ofta fler än ett departement och det krävs samordning och likvärdig prioritering mellan departementen för att nödvändiga författningsändringar ska komma till stånd.

Några har framhållit att uppdragsgivaren ibland tenderar att förbise att vid myndighetssamverkan i den digitala förvaltningen behöver frågor om reglering kring digital informationshantering i princip alltid omhändertas. Rättsliga frågor behöver lösas i ett tidigt skede i utvecklingsprocessen för att åstadkomma rättsligt stöd för det digitala informationsutbyte som planeras. Av denna anledning är det önskvärt att departementen redan från början, när ett uppdrag bereds, tänker i digitala processer. Om så inte sker riskerar det att gå åt onödigt mycket tid för att i efterhand lösa rättsliga frågor om t.ex. förutsättningarna för digitalt informationsutbyte. Alternativt hindras effektiva och ändamålsenliga digitala processer eftersom de får brytas med manuella mellanled.

Flera av dem som deltagit i kartläggningsarbetet reagerar på att de nya författningar som tas fram sällan är anpassade till digitala processer. Man kan i någon mån hävda att lagstiftningsprodukter, trots att utgångspunkten är teknikneutralitet, i de flesta fall fortfarande utgår i från analoga förfaranden i stället för digitala.

6. Några inledande reflektioner över kartläggningsresultatet

6.1. Offentlig förvaltning i hela dess vidd

Utredningens uppdrag är inte begränsat till viss verksamhet, viss organisation eller viss information inom förvaltningen. Utan att här gå in i någon närmare beskrivning av den svenska förvaltningen i hela dess vidd finns det därför anledning att inledningsvis i korta ordalag beskriva den spännvidd som såväl kartläggningsresultatet som uppdraget i stort omfattar.

Den pågående och förmodade framtida digitaliseringen av offentlig förvaltning omfattar för det första vitt skilda verksamheter. De statliga myndigheternas respektive uppdrag är i flera avseenden av väsentligt skild karaktär och sträcker sig sammantaget över ett mycket brett område. Därtill har kommuner och landsting andra typer av uppdrag. Vid sidan av obligatoriska angelägenheter som t.ex. skolverksamhet och socialtjänst skiljer det sig också i viss utsträckning åt vilken verksamhet som bedrivs i olika kommuner. Såväl statliga som kommunala myndigheter och landsting samt regioner har för det andra också vitt skilda organisatoriska förutsättningar, inte minst när det gäller storlek och resurser. I den offentliga förvaltningen hanteras för det tredje information av vitt skilda slag. Det handlar om allt från uppgifter som rör rikets säkerhet, uppgifter som av annan anledning är särskilt skyddsvärda från verksamhetssynpunkt eller känsliga personuppgifter, till offentliga uppgifter av harmlöst slag. Ur ett förvaltningsrättsligt perspektiv berör digitaliseringen både myndigheternas ärendehantering, service gentemot privatpersoner, företag och organisationer liksom det faktiska handlande som utförs i verksamheten, exempelvis vid användande av trygghetstekniker i vården och omsorgen.

En allmän reflektion över kartläggningsresultatet är också att den teknikutveckling och teknikanvändning som pågår eller planeras hos myndigheterna också innefattar en stor spännvidd, allt från att vissa nu står i begrepp att gå ifrån en pappershantering vid ärendehandläggning till att undersöka tillämpningsområden för avancerad teknik med artificiell intelligens (AI).

Samtidigt som vi strävar efter att uppmärksamma problem och lämna förslag till åtgärder eller lösningar som är gemensamma för hela eller stora delar av den offentliga förvaltningen innebär den sammantagna spännvidd som här har beskrivits att såväl problembeskrivningar som bedömningar och förslag kommer att behöva nyanseras i olika delar av betänkandet. Här kan också nämnas att utredningen använder begreppet offentlig förvaltning med avseende på förvaltningsmyndigheter (statliga, kommunala och landstingskommunala) och domstolar. I de fall frågor rör andra aktörer eller hela den offentliga sektorn, dvs. all offentligt finansierad verksamhet, framgår det särskilt.

6.2. Detaljerad reglering

Av kartläggningen framgår det tydligt att myndigheter, och olika aktörer som i olika avseenden samverkar med myndigheter, ställs inför en mängd rättsliga frågor i samband med att digital teknik används eller införs på olika områden inom förvaltningen. Snabbheten i den tekniska utvecklingen och den förväntan på samhällsutveckling som följer med denna innebär att de rättsliga frågorna kopplade till förvaltningens digitalisering också ökar såväl i antal som i komplexitet och behöver besvaras i allt snabbare takt. Myndigheterna har också generellt sett en omfattande regelmassa att beakta i samband med varje digitaliseringsåtgärd.

Olika röster har i kartläggningsarbetet fört fram att regleringen i dag är detaljerad, och varken är anpassad eller hinner anpassas i den takt som behövs för att i tid svara upp mot de förväntningar som olika aktörer har på att förvaltningens verksamheter ska utvecklas i takt med teknik- och samhällsutvecklingen i övrigt. En inledande reflektion är att det allmänt sett synes vara problematiskt med rättslig styrning genom detaljerad reglering i lagform på områden som står under snabb utveckling.

Enligt såväl vår samlade erfarenhet som kartläggningsresultatet rör det sig påfallande ofta om dataskyddsregleringen eller om sekretessregleringen i mer vidsträckt bemärkelse, innefattande även de sekretessgenombrott eller uppgiftsskyldigheter som kan tillämpas myndigheter emellan, när det görs gällande att juridiken på ett onödigt sätt hämmar eller hindrar digital utveckling i förvaltningen. De rättsliga hinder eller svårigheter som har beskrivits för oss under kartläggningen ger inte på något sätt uttryck för att grundläggande skyddsbestämmelser i svensk grundlag, EU:s stadga om de mänskliga rättigheterna eller Europakonventionen skulle utgöra onödiga rättsliga hinder för digital utveckling. Det rör sig snarare om uttryck för att den nationella regleringen inom dessa rättsområden är detaljerad och att det i den specifika nationella rätten finns regler som förefaller vara onödigt begränsande eller hindrande.

För att lagstiftningen nu och fortsättningsvis inte i onödan ska hämma eller hindra en önskvärd utveckling är ett alternativ att öka takten i lagstiftningsarbetet för att i tid och vid varje tillfälle åstadkomma nödvändiga och önskvärda förändringar i en fortsatt detaljerad nationell lagstiftning. Ett annat alternativ är att försöka åstadkomma en mer generisk reglering inom de ovan beskrivna områdena, dvs. sträva mot en reglering som inte innehåller lika detaljerade bestämmelser. Vi återkommer till frågorna i kapitel 12.

Vi har under kartläggningen också tagit till oss det perspektivet att en omfattande mängd detaljerade regler som styr digital informationshantering inom förvaltningen medför, och måste medföra, ett resurskrävande arbete för att analysera varje digitaliseringsåtgärd i förhållande till den detaljerade och omfattande regleringen. Den tidsåtgången skulle också kunna minska med mer generella regler, bl.a. med hänsyn till att en högre grad av gemensamma förutsättningar för myndigheter skulle skapa bättre möjligheter för en mer enhetlig tolkning och tillämpning av regleringen. Här finns anledning att understryka att digital informationshantering, exempelvis digitala informationsutbyten mellan myndigheter, vanligen ställer krav på en väsentligt större exakthet redan från början än vad som har behövts i en manuell eller analog miljö, där rutiner och andra förfaranden har kunnat bestämmas och anpassas efter hand. I en samverkande digital förvaltning finns med andra ord ett begränsat utrymme för att tolkning och tillämpning av rättsregler ska kunna skilja sig åt mellan myndigheter eller verksamheter.

6.3. Teknikneutral reglering

De allra flesta författningar reglerar i dag områden som också på något sätt styrs av eller genomförs genom informations- och kommunikationsteknik. På området för digitalisering av den offentliga förvaltningen ligger det också i sakens natur att det förhåller sig på det sättet. Här finns inte utrymme för någon närmare redogörelse för hela den offentliga förvaltningens teknikanvändning men i den utsträckning det är relevant för utredningens överväganden och förslag återkommer vi i det följande till närmare beskrivningar av viss teknik.

Även om det finns ett samband mellan författningar och tekniska förutsättningar har riksdag och regering länge sökt utforma föreskrifter på ett sätt som är neutralt i förhållande till både den teknik som finns tillgänglig och används just vid tillfället för författningens tillkomst liksom okända framtida digitala lösningar. Fördelen med ett sådant förhållningssätt är att regleringen blir mer långsiktigt hållbar i den bemärkelsen att den inte behöver anpassas eller reformeras i samma tempo som den tekniska utvecklingen, vilket i många avseenden inte vore möjligt med tanke på den noggrannhet som lagstiftningsarbete kräver och den tidsåtgång som detta medför.

Här finns också anledning att särskilt belysa frågan om vad som egentligen avses med en teknikneutral reglering. En sådan reglering är ofta neutral i den bemärkelsen att den inte pekar ut en viss teknisk lösning, t.ex. e-post, i författningens ordalydelse. Under kartläggningen har emellertid vid ett flertal tillfällen uppkommit diskussioner om att en till synes teknikneutral reglering ofta innebär att traditionella förfaranden och processer som innefattar pappershantering utgör utgångspunkten för de handlingsdirektiv som författningen anger. Det kan bl.a. röra sig om att regleringen styr att viss information under ett visst skede ska överföras från en aktör till en annan, exempelvis genom att ange en process bestående av anmälan respektive ansökan eller att på annat sätt ange handlingsdirektiv om att information i ett visst skede ska överföras. Sådana bestämmelser kan visserligen sägas vara neutrala i förhållande till vilken teknik som används vid det förfarande som regleras. Informationshantering med digitala medel väcker emellertid frågor även rörande dessa typer av bestämmelser, eftersom den digitala tekniken

möjliggör en helt annan typ av hantering av information än vad som var möjligt när processerna reglerades.

Enligt vår bedömning kan en teknikneutral reglering nu och i framtiden inte utgå från att papper är informationsbäraren och att postgång används för förmedling av information. Även de gällande författningar som kan framstå som teknikneutrala kan därför behöva förändras i anledning av digitaliseringen. Behovet av att författningar som nu och i framtiden tas fram beaktar att den verksamhet som regleras kommer att stödjas eller utföras genom digitala eller automatiserade processer återkommer vi till i kapitel 7.10.

Det finns också nackdelar med en långtgående ansats att hålla författningsregleringen teknikneutral i så stor utsträckning som möjligt. Att en sådan teknikmässigt fristående författning medför svårigheter för tillämparen som ska applicera de neutrala reglerna på en många gånger komplex teknisk verklighet måste här framhållas som den största nackdelen med den teknikneutrala ansatsen i lagstiftningsarbetet. En alltigenom teknikneutral reglering riskerar också att försvåra dess förutsebarhet, till nackdel såväl för tillämpande myndigheter som för enskilda. Otydliga rättsliga förutsättningar för också med sig exempelvis risker för rättsosäkerhet när varje myndighet för varje utvecklingsarbete finner sina egna rättsliga lösningar. Det uppstår också risker för onödiga kostnader, eller avsaknad av effektiva lösningar, om eller när systemen i efterhand inte visar sig hållbara från rättslig synvinkel. Domstolspraxis skulle i viss utsträckning kunna läka de brister som en teknikneutral reglering innebär, men sådan praxis förekommer i påfallande låg utsträckning avseende den typ av rättsfrågor som här aktualiseras. Det finns dessutom sällan tid att invänta en eventuell framväxt av rättspraxis eftersom reformer eller andra regeringsuppdrag till myndigheter ofta förutsätter att det snabbt genomförs ett utvecklingsarbete i myndighetens it-system.

Samtidigt som teknikneutraliteten i författningar innebär att svåra rättsliga frågor lämnas åt enskilda rättstillämpare vid myndigheter som står inför ett digitaliseringsarbete, innebär sådan verksamhetsutveckling att avsevärda resurser läggs ned på utvecklingsinsatsen. Att under de förhållandena lämna det fulla ansvaret för att dra rättsliga slutsatser av en neutral lagstiftning ställer omfattande krav på den som har till uppgift att stå för juridiska bedömningar i

ett sådant digitaliseringsarbete. I kapitel 6.5 utvecklas vilka svårigheter som, bl.a. med hänsyn till den teknikneutrala regleringen, är förenade med inte minst juristens roll i digitala utvecklingsarbeten.

I våra fortsatta överväganden och förslag tas frågan om teknikneutralitet genomgående i beaktande. I de förslag som lämnas kommer utredningen att sträva efter att uppnå de fördelar som en teknikneutral reglering syftar till att åstadkomma. Den reglering som föreslås ska alltså vara långsiktigt hållbar och i princip inte innehålla detaljerade regler som knyter an till specifika tekniska lösningar som är kända och används i dag. Med andra ord ska förslagen inte vara fastlåsta vid dagens tekniska lösningar och därigenom hindra en fortsatt utveckling mot användandet av sådana trygga, innovativa och effektiva lösningar i förvaltningen som ännu inte är kända. Samtidigt strävar vi efter att uppnå målsättningen att lämna förslag och att motivera dessa på ett sätt som dels ska ge ett konkret rättsligt stöd till vägledning för tillämparen, dels tillvaratar enskildas intressen av bl.a. transparens och förutsebarhet.

6.4. Lagliga och lämpliga digitala tjänster

En allmän utgångspunkt är att förvaltningens digitaliseringsarbeten i första hand ska resultera i tjänster som är användarvänliga och som genererar nytta för privatpersoner eller företag eller för förvaltningens verksamhet. Med andra ord är det inte tillräckligt att det finns rättsliga förutsättningar för att ta fram digitala tjänster som uppfyller de krav som följer av reglering, det behöver finnas rättsliga förutsättningar för att ta fram lämpliga tjänster. Annars finns risk för att förvaltningen lägger tid och resurser på att utveckla tjänster som inte ger nytta.

Vilka tjänster som är lämpliga i den bemärkelsen att de genererar nytta för allmänheten och förvaltningens verksamheter kommer att förändras över tid. Det bör dock framhållas att flertalet sådana tjänster redan i dag utgör något helt annat än en ersättning för den kommunikation med och inom förvaltningen som tidigare och traditionellt sett har ägt rum genom pappershantering. I det följande (se kapitel 8) går utredningen närmare in på hur digitala tjänster skiljer sig från kommunikation genom pappershantering och potentialen för bl.a. ökad service gentemot privatpersoner och företag.

Därtill kommer att digitala tjänster skapar förutsättningar för ökad automation i förvaltningen (se kapitel 7), med de möjligheter till effektivitetssprång som detta innebär.

Om den fulla potentialen i förvaltningens digitaliseringsåtgärder ska kunna tas till vara behöver det därför finnas rättsliga förutsättningar för en informationshantering som utgår från nya möjligheter, inte från traditionella förfaranden som omsätts i en helt motsvarande digital informationshantering. Denna slutsats utgör en utgångspunkt för utredningens fortsatta analyser, bedömningar och förslag.

6.5. Juridisk metod i utvecklingsarbeten

Under utvecklingsarbeten behöver frågor av rättslig karaktär diskuteras på ett tvärfunktionellt sätt och angripas från olika perspektiv av arkivarier, jurister, säkerhetsansvariga, tekniker, verksamhetsutvecklare och flera andra professioner. Ur ett rent rättsligt perspektiv behöver frågor analyseras med flera (se bl.a. kapitel 4) författningar i åtanke. Det innebär att såväl specifika regler om myndigheters verksamhet som generella offentligrättsliga regler måste beaktas. Inte sällan behöver därför flera jurister med olika kompetens involveras i den rättsliga analysen. Ska tjänster upphandlas från privata leverantörer krävs därtill ofta ytterligare kompetens med avseende på kravställning och upphandling av it.

Det räcker emellertid inte att utgå från juristers bedömningar av vad som utgör gällande rätt vid de analyser som görs i samband med utvecklingsarbeten. Andra yrkeskategorier kan, som framgått ovan, från sitt perspektiv tillföra kunskap om att en digital informationshantering kan ordnas mer effektivt eller säkert med ett helt annat tillvägagångsätt än vad som varit utgångspunkten när gällande rätt togs fram. Befintliga regler som styr en verksamhet har nämligen, som framgått, många gånger tillkommit med utgångspunkt i en traditionell och pappersbaserad process för ärendehandläggning eller annan informationshantering. I den utsträckning det finns rättsregler som styr den processen kan dessa bestämmelser behöva förändras i anledning av digitaliseringen.

Det framgår av kartläggningen att det påfallande ofta därtill behövs en analys avseende om det befintliga legala stödet är tillräckligt när en myndighets verksamhet utvidgas. Som exempel kan nämnas att en myndighet står i begrepp att genom ett utvecklingsarbete ta på sig ett nytt åtagande att exempelvis tillhandahålla information till andra myndigheter. Den typen av åtaganden behöver på något sätt framgå av den skriftliga rättsordningen1 för att grundläggande krav på bl.a. legalitet ska anses vara uppfyllda. Även sekretesslagstiftningen bygger på att myndigheters rutinmässiga utbyten av sekretessbelagda uppgifter normalt ska vara författningsreglerade.2Under pågående utvecklingsarbete är det vanligt förekommande att en eller flera samverkande myndigheters åtagande anges i ett regeringsuppdrag, t.ex. i myndigheternas regleringsbrev. När ett utvecklingsarbete är färdigt och resultatet ska övergå i drift och förvaltning hos någon myndighet eller flera i samverkan, men det inte sedan tidigare framgår i rättsordningen att myndigheten eller myndigheterna har det aktuella uppdraget, kan emellertid ett nytt legalt stöd för uppdraget behöva tas fram.

En sådan metod för rättslig analys under utvecklingsarbeten som här översiktligt har beskrivits ställer höga krav på såväl jurister som andra tjänstemän (eller konsulter) i andra yrkeskategorier. Den ställer också krav på samarbete mellan myndigheter och Regeringskansliet för att åstadkomma nödvändiga och önskvärda författningsändringar i takt med pågående utvecklingsarbeten. Utredningen återkommer därför i betänkandet till frågor om bl.a. organisatoriska förutsättningar för att bedriva rättsutveckling i takt med samhälls- och teknikutveckling (se kapitel 12). Det står också klart att det krävs noggranna överväganden inför bl.a. utkontraktering till privata leverantörer och tecknande av it-avtal. Utredningen återkommer till dessa frågor i kapitel 10 och 11.

1 Jfr legalitetsprincipens krav på normmässig förankring för den verksamhet myndigheten bedriver. Det kan vara fråga om reglering i lag eller förordning, t.ex. myndighetens instruktion, men också om ett förvaltningsbeslut från regeringen, t.ex. i myndighetens regleringsbrev. 2 Det förekommer emellertid att myndigheter rutinmässigt utbyter information utan att detta framgår uttryckligen av författning. Se även Lenberg m.fl., Offentlighets- och sekretesslagen (12 maj 2017, Zeteo), kommentaren till 10 kap. 27 § under rubriken Rutinmässigt utlämnande av uppgifter.

6.6. EU och utrymmet för nationell reglering

En allmän fråga som väckts inom ramen för utredningen är hur stort handlingsutrymme det egentligen finns att behålla eller införa nationella rättsregler för styrning eller stöd avseende förvaltningens digitala informationshantering och digitaliseringsåtgärder, med beaktande av de rättsakter och övriga initiativ som utarbetas inom EU. Under kartläggningen har det också lyfts fram att särskilda svårigheter vid digital samverkan, även nationellt mellan svenska myndigheter, kan uppstå när myndigheter i skilda verksamheter har att följa olika EU-rättsakter. Det finns därför anledning att här inledningsvis kort beskriva vissa utgångspunkter med anledning av EU-rätten.

Frågan om vilken kompetens EU har att anta rättsakter skiljer sig åt mellan olika områden. Enligt principen om tilldelade befogenheter3 ska unionen endast handla inom ramen för de befogenheter som medlemsstaterna har gett unionen i fördragen för att nå de mål som fastställs där. Unionens befogenheter kan delas upp i exklusiva befogenheter, befogenheter som delas med medlemsstaterna och befogenheter att vidta åtgärder för att stödja, samordna eller komplettera medlemsstaternas åtgärder.4 Här går vi inte närmare in på de olika områdena men konstaterar att det skiljer sig åt inom olika rättsområden vilket utrymme för lagstiftning som förbehålls EU respektive medlemsstaterna. Det finns även rättsakter som vilar på särskilda EU-rättsliga grunder. Det gäller exempelvis rättsakter om skydd för personuppgifter.5 Rätten till skydd av personuppgifter har även fått status som en självständig rättighet i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna.6

Antagna EU-rättsakter ska tillämpas vid svenska myndigheter, antingen direkt i den mån regleringen antagits i form av en förordning eller efter genomförande i svensk rätt om rättsakten antagits i form av ett direktiv. Bland rättsakter av generell betydelse för den svenska och digitalt samverkande förvaltningen bör t.ex. nämnas

3 Artikel 5.2 i fördraget om Europeiska unionen. EUT C 202, 7.6.2016, s. 18. EUR-Lex (FEUF). 4 Se Fördelning av befogenheter inom Europeiska unionen. EUR-Lex. 23 mars 2010 (senast ändrad den 26 januari 2016). 5 Artikel 16 FEUF. 6 EUT C 83, 30.3.2010, s. 389.

NIS-direktivet7 med bestämmelser om informationssäkerhet, dataskyddsförordningen8 med bestämmelser om skydd för personuppgifter och eIDAS-förordningen9 med bestämmelser om krav på ömsesidigt erkännande av anmälda e-legitimationer och krav på tillhandahållande av betrodda tjänster och en rättslig ram för sådana tjänster. Även Inspire-direktivet10 och Tullkodexen11 kan här nämnas som exempel på rättsakter som kräver vissa digitala förfaranden och som ska tillämpas av vissa svenska myndigheter eller verksamheter.

Utredningen har givetvis att förhålla sig till de givna förutsättningarna vad gäller fördelning av befogenheter mellan Sverige och EU när författningsändringar övervägs. Utrymmet för nationell rätt varierar därmed beroende på hur befogenheterna fördelas mellan EU och medlemsstaterna. I de avseenden vi i det följande överväger författningsändringar tar vi med oss det som ovan beskrivits om utrymmet för nationell rätt.

Utöver de rättsakter som antagits inom EU har också andra initiativ tagits med bäring på den digitala förvaltningen. Här bör särskilt EU:s handlingsplan för e-förvaltning nämnas.12 I handlingsplanen anges ett antal principer, däribland ”Digitalt som standard”. Den principen innebär att offentliga förvaltningar bör leverera sina tjänster digitalt (inklusive maskinläsbara uppgifter) som förstahandsalternativ, samtidigt som andra kanaler hålls öppna för personer som inte är uppkopplade, av eget val eller av nödtvång. Offentliga tjänster bör också tillhandahållas via en enda kontaktpunkt (”one-stop-shop”) och via olika kanaler.

7 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. 8 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 9 Europaparlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. 10 Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire). 11 Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen. 12 Meddelande från kommissionen till europaparlamentet, rådet, europeiska ekonomiska och sociala kommittén samt regionkommittén av den 19 april 2016, EU:s handlingsplan för e-förvaltning för 2016–2020, Snabbare digital omvandling av förvaltningar (COM [2016] 179 final). Se även www.eu2017.ee/news/insights/tallinn-declaration-egovernment-ministerial-meeting-duringestonian-presidency

Ytterligare en av de principer som nämns i den EU-gemensamma handlingsplanen är ”The Once-Only Principle” (TOOP). Principen innebär att offentliga förvaltningar bör säkerställa att medborgare och företag endast behöver lämna samma uppgifter en gång på ett ställe i den digitala förvaltningen. Om myndigheten i fråga har rätt att vidareanvända dessa uppgifter internt ska de vidta åtgärder, med iakttagande av bestämmelser om dataskydd m.m., så att det inte medför några ytterligare bördor för medborgare och företag.

Även om handlingsplanen med bl.a. de angivna principerna inte har kommit till rättsligt bindande uttryck har den bäring även på svenska initiativ, varför den behöver tas i beaktande i våra överväganden.

6.7. Tydliga rättsliga hinder, rättslig osäkerhet eller avsaknad av reglering

Det finns flera aspekter i gällande rätt som kan anses hindrande eller hämmande för digital utveckling inom förvaltningen. I avsnitt 6.2 ovan beskriver vi översiktligt att kartläggningen visar på hindrande eller hämmande reglering bl.a. när det gäller sekretessregleringen och regleringen om skydd för personuppgifter. Även vad gäller exempelvis krav på undertecknande och vissa bestämmelser som kräver viss form när information hanteras i en ärendeprocess ger kartläggningsresultatet uttryck för att regleringen kan vara såväl tydligt hindrande som onödigt hindrande.

Gällande rätt kan emellertid hindra eller hämma digital utveckling inom förvaltningen även när det inte finns klara och tydliga rättsliga begränsningar. En påtaglig mängd av de rättsfrågor som redan har väckts med anledning av hittillsvarande utveckling av den digitala förvaltningen saknar givna svar i författning eller andra etablerade rättskällor. Med andra ord kan de rättsliga frågorna inte klart och entydigt besvaras med att det antingen finns tydliga och konkreta hinder i gällande rätt, som enkelt kan undanröjas i den mån de är onödiga, eller att åtgärden är klart och entydigt förenlig med gällande rätt. En sådan rättslig osäkerhet kan också hindra eller fördröja digitalisering inom förvaltningen. Som framgår i kapitel 5.11.2

visar det sig t.ex. inte sällan i myndighetsgemensamma utvecklingsarbeten att myndigheternas jurister gör olika tolkningar och bedömningar av samma rättsliga frågor när rättsläget är oklart.

Kartläggningen visar också att avsaknad av rättsregler leder till en avsevärd osäkerhet i tillämpningen. Med avsaknad av rättsregler menar vi dels frånvaro av styrande rättsregler som ger handlingsdirektiv för digitaliseringsåtgärder, dels även i någon utsträckning avsaknad av rättsregler som ger ett klart legalt stöd för vissa av förvaltningens digitaliseringsåtgärder. Som exempel kan här nämnas avsaknaden av reglering för styrning och stöd avseende vad målsättningen om digitalt som förstahandsval vid förvaltningens kommunikation med privatpersoner och företag egentligen innebär. Vi ser att även den osäkerhet som uppstår i frågor där rättsregler saknas kan hindra eller fördröja en digital utveckling som annars vore samhällsnyttig och önskvärd. Det förtjänar också att framhållas att flera aktörer som utredningen haft kontakt med, i kartläggningsarbetet och i övrigt, har resonerat kring och framhållit vikten av att privatpersoner och företag behöver känna tillit till den digitala förvaltningen.

Inför våra fortsatta överväganden och förslag tar vi med oss de ovan beskrivna aspekterna av på vilket sätt gällande rätt kan hindra eller hämma digital utveckling inom förvaltningen; dvs. genom tydliga rättsliga hinder, rättslig osäkerhet eller avsaknad av reglering.

6.8. De politiska målen

Politisk styrning innebär att tillgodose medborgarnas önskemål och preferenser genom att förverkliga politiska mål. Målen för förvaltningspolitiken och it-politiken är av särskilt intresse för oss. Den statliga förvaltningspolitiken bedrivs med målet en innovativ och samverkande statsförvaltning som är rättssäker och effektiv, har väl utvecklad kvalitet, service och tillgänglighet och som därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete.13 Regeringens mål för digitaliseringen av den offentliga förvaltningen är en enklare vardag för medborgare, en öppnare förvaltning som stödjer

13Offentlig förvaltning för demokrati, delaktighet och tillväxt, prop. 2009/10:175, bet. 2009/10:FiU38, rskr. 2009/10:375.

innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.14 Sverige ska också, enligt målet för it-politiken, vara bäst i världen på att använda digitaliseringens möjligheter.15

De angivna målen utgör enligt Utredningen om effektiv styrning av nationella digitala tjänster snarare mål för regeringens arbete och politiken som helhet, än sådana mål som myndigheterna förväntas uppnå. Utredningen har därför föreslagit att riksdagen ska anta ett nytt mål för den offentliga förvaltningens digitalisering som ska ligga till grund för regeringens redovisning till riksdagen och styrningen av de offentliga myndigheterna. Utredningen föreslår också ett digitaliseringsmål för de statliga myndigheterna.16

När det gäller den offentliga sektorns kontakter med privatpersoner och företag anser regeringen att digitalt ska vara förstahandsval. Detta är grunden i regeringens satsning Digitalt först. Digitalt som förstahandsval innebär att den offentliga förvaltningen, när det är lämpligt, ska välja digitala lösningar vid utformningen av sin verksamhet. Samtidigt ska säkerheten och skyddet för den personliga integriteten säkerställas. Med det i beaktande ska det vara enkelt att digitalt komma i kontakt med det offentliga Sverige.17

I kapitel 6.6 har den EU-gemensamma handlingsplanen för e-förvaltning presenterats. Den politiska inriktningen att åstadkomma en digitalt tillgänglig förvaltning har också nyligen stärkts inom EU genom en gemensam ministerdeklaration.18 Genom deklarationen har medlemsstaterna förklarat att steg ska tas för att bl.a. säkerställa att privatpersoner och företag ska kunna komma i digital kontakt med förvaltningen. Regeringen har också i en skrivelse till riksdagen utvecklat den politiska inriktningen för hur Sverige ska bli bäst i världen på att använda digitaliseringens möjligheter.19

14Budgetpropositionen för 2018, prop. 2017/18:1, utg. omr. 2, 6.2 Mål. 15Budgetpropositionen för 2012, prop. 2011/12:1, utg.omr. 22, bet. 2011/12:TU1, rskr. 2011/12:87. 16 Utredningen om effektiv styrning av nationella digitala tjänsters delbetänkande digital-

forvaltning.nu (SOU 2017:23), s. 113 f., och slutbetänkande reboot – omstart för den digitala förvaltningen (SOU 2017:114).

17Prop. 2017/18:1, utg. omr. 2, 6.2 Mål. 18 Se Tallindeklarationen om e-förvaltning av den 6 oktober 2017 på www.eu2017.ee/news/insights/tallinn-declaration-egovernment-ministerial-meeting-duringestonian-presidency 19 Regeringens skrivelse Hur Sverige blir bäst i världen på att använda digitaliseringens möjlig-

heter – en skrivelse om politikens inriktning (skr. 2017/18:47).

6.9. Behövs fler regler för styrning och stöd av den digitala förvaltningen?

Som framgår i kapitel 4 ska redan i dag ett stort antal författningar tillämpas i samband med digitalisering av verksamhet och anknytande informationshantering i den offentliga förvaltningen. Att mängden, ofta komplexa, regler i sig medför svårigheter för tillämpare och beslutsfattare framgår av den kartläggning som vi har genomfört och är också erfarenhetsmässigt känt. Det kan vidare med fog invändas att förvaltningen inte ska styras i detalj genom reglering, utan att tillit ska sättas till att myndigheter bäst själva utför sina respektive uppdrag och väljer formen för detta inom givna ramar. Mot den bakgrunden skulle det kunna invändas att det vore olämpligt att införa ytterligare bestämmelser som ska tillämpas i samband med förvaltningens digitaliseringsåtgärder liksom löpande användning av informations- och kommunikationsteknik.

En utgångspunkt för utredningen är emellertid att möjliggöra ett större steg mot en framtida trygg, innovativ och effektiv digital förvaltning. För detta krävs en viss rättslig stabilitet som den fortsatta utvecklingen av den digitala förvaltningen kan vila på. Att åstadkomma en sådan, ur rättssäkerhetssynpunkt, nödvändig stabilitet bedömer vi inte vara möjligt genom att enbart undanröja eller anpassa gällande regler. En begränsning till den typen av åtgärder och författningsändringar åstadkommer varken de handlingsdirektiv eller ger det rättsliga stöd som vi bedömer behövs. Det är också av stor vikt för tilliten till den digitala förvaltningen att enskilda genom lagstiftningen har möjlighet att få såväl en rättvisande bild av hur förvaltningen faktiskt sköts som insyn i densamma.

Den pågående digitaliseringen av förvaltningen med bl.a. ökande automation, kommer enligt vår bedömning att innebära påtagliga förändringar av själva verksamheten, inte bara det sätt som verksamheten utövas på. Även ur ett konstitutionellt perspektiv finns det därför enligt vår bedömning anledning att överväga hur ansvar och risker som hör samman med dessa förändringar bör fördelas och i vilken utsträckning det bör göras genom rättsregler. Samtidigt behöver vi givetvis beakta att den lagstiftning som ska tillämpas i samband med åtgärder som rör förvaltningens digitalisering inte ska hindra eller hämma fortsatt utveckling.

6.10. Betänkandets fortsatta disposition

Våra närmare analyser, bedömningar och förslag framgår i kapitel 7–13. I kapitel 7, 8 och 10 presenteras utredningens prioriterade områden för författningsförslag. Författningsförslagen rör god offentlighetsstruktur vid vissa automatiserade förfaranden i förvaltningen och ansatsen om Digitalt först vid förvaltningens kommunikation med enskilda. De rör också en tystnadsplikt för privata leverantörer som behandlar myndigheters uppgifter för enbart teknisk bearbetning eller lagring och en sekretessbrytande bestämmelse för att myndigheter i samband med utkontraktering av teknisk bearbetning eller lagring ska kunna lämna ut vissa sekretessbelagda uppgifter till privata eller offentliga leverantörer. Områdena har valts ut efter de närmare överväganden som beskrivs i respektive kapitel. Övergripande för dessa områden gäller dock att vi funnit dem centrala för att myndigheter fortsatt ska prioritera digitalisering av sin verksamhet och våga ta effektivitetssprång genom att använda ny teknik till gagn för såväl enskilda som samhället i stort. Samma områden är också centrala för att säkerställa transparenta, säkra och rättssäkra förfaranden, så att enskilda kan känna tillit till den digitala förvaltningen och välja enkla digitala lösningar för kontakter med förvaltningen. Förvaltningens digitalisering kan knappast heller diskuteras utan att frågor om informationssäkerhet belyses. Det gör vi i kapitel 9.

Ur olika perspektiv står frågor om samverkan i fokus för vårt uppdrag. Samverkan inom förvaltningen, mellan myndigheter och i förhållande till regeringskansli, inte minst när det gäller frågor om lagstiftning, är högst relevanta för denna utredning. Samverkan i förhållande till privata leverantörer av it-drift och andra it-baserade funktioner har också kommit att utkristallisera sig som ett fokusområde, när myndigheter inte alltid har möjlighet att med egen kompetens effektivt utveckla de digitala förfaranden som används eller som är påkallade för fortsatt digitalisering i förvaltningen. Förutom i kapitel 10 belyses detta närmare i kapitel 11 där vi behandlar några frågor om it-avtal och personuppgiftsbiträdesavtal.

De författningsförslag och andra förslag på åtgärder som lämnas inom ramen för denna utredning är emellertid endast att se som ett steg i det fortsatta arbetet med att åstadkomma en rättsutveckling

som möter den önskade digitala utvecklingen i förvaltningen. Åtgärder från såväl riksdag som regering pekar mot att förvaltningens digitaliseringsarbete nu ska genomdrivas med ökad intensitet. Det medför också behov av fortsatt lagstiftningsarbete. I kapitel 12 återknyter vi till frågor om fortsatt rättsutveckling liksom de analyser vi gjort när det gäller bl.a. lagstiftning som rör informationsförsörjning, informationsutbyten och ärendeprocesser, liksom frågor som rör tillhandahållande av öppna data och elektroniskt utlämnande av allmän handling.

Slutligen redovisas i kapitel 13 våra överväganden och förslag i den delen av uppdraget som rör rapportering av förvaltningens arbete med it och digitalisering.

7. Automation i förvaltningen

7.1. Kartläggningsresultatet och behovet av automation i förvaltningen

7.1.1. En ökad grad av automation

En fråga som ibland ställs gäller den närmare inriktningen för den digitala förvaltningen. Vart är vi på väg? En allmän reflektion efter att ha fått ta del av underlag och tankar från ett flertal myndighetsrepresentanter är att förvaltningen går mot en ökad grad av automation. Frågor om bl.a. digitalisering avseende informationsförsörjning eller informationsutbyten mellan myndigheter eller digital kommunikation med enskilda står i fokus för myndighetssamverkan, men utgör också ett medel för en ökad digitalisering av myndigheters kärnverksamhet, t.ex. ärendehandläggning.

Under kartläggningen har vi funnit att en påtaglig del av myndigheterna nu undersöker möjligheten att öka graden av automation i sina respektive verksamheter. Bland aktörer som strävar mot detta återfinns myndigheter som redan har automatiserat vissa ärendeprocesser och beslutsfattande och som nu överväger om detsamma är möjligt också inom andra områden. Möjligheter till exempelvis automatiserat beslutsfattande undersöks även hos myndigheter som hittills inte har använt den beslutsformen. Här finns möjligheter till effektivitetssprång i förvaltningen, men också risker som behöver belysas och hanteras rättsligt.

Att förvaltningen i flera avseenden behöver använda sig av kända tekniker, med beredskap för kommande, för att på ett tryggt och effektivt sätt fullgöra sin verksamhet står klart. Detta har bl.a. sin förklaring i att det på flera områden inte finns resurser för t.ex. mänsklig handläggning av ärenden inom de frister som behövs för att förfarandena ska vara rättssäkra ur en tidsaspekt. Behovet av att använda digitaliseringens möjligheter för att möta krav på att

myndigheters verksamhet bedrivs effektivt1 kan enligt utredningen också förutses öka med tanke på digitaliseringen av samhället i stort.2Exempelvis har förvaltningen anledning att ha beredskap för att privata tjänster tas fram för att automatiserat inleda ärenden hos myndigheter.3 Förvaltningen behöver mot denna kortfattade bakgrund ha rättsliga förutsättningar för att kunna använda de möjligheter till digitalisering inbegripande automation av förfaranden som kan förenas med, eller stärka, de centrala värdegrunder som beskrivits i kapitel 4.

Det finns anledning att framhålla att vi inom ramen för denna rättsligt orienterade utredning utgår från de politiska mål och inriktning som riksdag och regering givit (se bl.a. kapitel 6.8, 9.3.1 och 10.1.2). Både nationellt och inom EU förekommer därtill politiska initiativ med innebörd att den offentliga förvaltningen ska leda vägen för den digitala omvandlingen genom att möjliggöra tekniska genombrott och tidigt ta ny teknik i bruk.4 Detta sätter ljuset på att det parallellt med den ökade digitaliseringen i form av automation i förvaltningen också kommer att finnas ett växande behov av ett stabilt informationssäkerhetsarbete som ett fundament i myndigheternas informationshantering (se vidare i kapitel 9).

Med automation inom förvaltningen5 kan flera aspekter avses. Det finns därför anledning att inledningsvis beskriva några olika typer av automation (se kapitel 7.2). Viss teknikutveckling introduceras i kapitel 7.3.

7.1.2. God offentlighetsstruktur och rättssäkerhet

Såväl rättsliga hinder i gällande rätt som oklara rättsförhållanden kan komma att hindra eller hämma en utveckling mot en ökad grad av automation i en digital förvaltning. Under kartläggningen har ett

1 1 § första stycket lagen (1996:1059) om statsbudgeten och 3 § myndighetsförordningen (2007:515). 2 Se bl.a. Digitaliseringskommissionens slutbetänkande För digitalisering i tiden (SOU 2016:89), s. 104 f. med där gjorda hänvisningar. 3 I Sverige finns t.ex. redan en app för hjälp att överklaga felparkeringsbot. Se Göran Lindsjö,

En AI-redo statsförvaltning, mars 2017, s. 23 på

http://digitaltforst.se/wp-content/uploads/2017/03/En-AI-redo-statsförvaltning.pdf 4 Se bl.a. regeringens digitaliseringsstrategi För ett hållbart digitaliserat Sverige – en

digitaliseringsstrategi. Se även noter från Tallinn Digital Summit 29 september 2017,

Conclusions of the Prime Minister of Estonia Jüri Ratas, på www.eu2017.ee/sites/default/files/inline-files/TallinnDigitalSummit_Conclusions_0.pdf 5 I doktrin är förvaltningsautomation eller ”Verwaltungsautomation” vedertagna begrepp.

antal frågor och reflektioner framkommit som på en övergripande nivå kan sägas utgöra en rättslig osäkerhet avseende hur den allt mer digitala förvaltningen ska kunna säkerställa möjligheter till öppenhet och insyn, vilket ytterst kan sägas utgöra en garanti för att förvaltningens förfaranden både är och kan visas vara rättssäkra. Detta är, enligt såväl vår bedömning som vad flera gett till känna under kartläggningen, avgörande för att enskildas tillit till den digitala förvaltningen ska bestå vid en ökad grad av automation. Om insynsmöjligheterna efterhand visar sig brista riskerar detta inte bara leda till negativa konsekvenser för enskilda eller för samhället i stort, utan också hindra den fortsatta digitaliseringen. Den nu beskrivna rättsliga osäkerheten bedöms av oss ha en klart hämmande inverkan på förvaltningens fortsatta digitalisering.

Särskilt när digitala funktioner saknar sin direkta motsvarighet i en traditionell och manuell hantering har vi uppfattat att myndigheter upplever det svårt att var och en för sig bedöma rättsläget. Här kan som exempel nämnas att det vid ett automatiserat beslutsfattande, utöver den ärenderelaterade information som t.ex. ges in vid en ansökan och beslutet i sig, tillkommer algoritmer och datorprogram6 med anknytande dokumentation av de krav som ställs på hur dessa implementeras i datormiljön. Rättslig tydlighet om vilka krav som ställs på myndigheter att upprätthålla bl.a. god offentlighetsstruktur i den digitala miljön efterfrågas även, och kanske särskilt, i de fall insynsintressen hamnar eller riskerar att hamna i konflikt med behov av säker slutenhet.7 Här avses närmast den avvägning som behöver göras i förhållande till intressen av sekretess till skydd för bl.a. myndigheters verksamhet, intressen av skydd för personuppgifter och immaterialrättsligt skydd.

Svårigheterna att bedöma vad som krävs i fråga om att åstadkomma god offentlighetsstruktur vid automatiserade förfaranden förstärks när myndigheter inte har möjlighet att med egen kompetens utveckla de digitala förfaranden som används eller kommer att behöva användas för fortsatt digitalisering i förvaltningen. Inte sällan torde nämligen privata leverantörer komma att stå för dessa funktioner, vare sig det handlar om att myndigheter gör inköp eller

6 Se kapitel 7.4.1 om begreppen. 7 Jfr begreppets användning i Katastrofkommissionens betänkande Tsunamibanden (SOU 2007:44), s. 169.

om olika former av utkontraktering.8 Utan tydlighet i regleringen blir det svårt för en myndighet att vid en upphandling ställa uttryckliga krav på att leverantören t.ex. måste tillgodose vissa insynsmöjligheter. Som ovan framgått riskerar också immaterialrättsliga intressen att komma i konflikt med insynsintressen, särskilt om avtalsförhållandena inte är klara på förhand.

De oklarheter som har uppmärksammats för oss gör att vi ser behov av en närmare analys av om gällande rätt nu och inför framtiden möjliggör en tillräckligt god offentlighetsstruktur för att säkerställa insyn i hur förvaltningens verksamhet bedrivs vid automatiserade förfaranden, särskilt när algoritmer och anknytande datorprogram får en allt mer framträdande roll i förvaltningens verksamhet. Analysen, liksom våra bedömningar och förslag, följer i kapitel 7.4–7.8. Ytterligare frågor som gäller den digitala förvaltningens öppenhet, bl.a. genom tillhandahållande av öppna data, analyseras i kapitel 12.

Kartläggningsresultatet visar även på myndigheters osäkerhet liksom uttryckliga hinder i fråga om rättsliga förutsättningar för övergång till förfaranden där stora datamängder används i förening med artificiell intelligens och maskininlärda algoritmer (se kapitel 7.3.2 för förklaring av begreppen). I kapitel 7.8 går vi närmare in på den tekniken.

7.1.3. Behov av automationsanpassad lagstiftning

För att det ska vara möjligt att fullt ut ta till vara på digitaliseringens möjligheter genom att t.ex. digitalisera ärendeprocesser har vi under kartläggningen fått presenterat för oss ett flertal exempel på rättsregler som behöver ändras. I förlängningen, om automationsgraden ökar i den utsträckning som vi förutspår, kommer det att finnas behov av anpassning av en påtaglig del av de rättsregler om bl.a. ärendeprocesser som förvaltningen tillämpar. Vi har med beaktande av omfattningen av kartläggningens resultat och tiden som stått till vårt förfogande av naturliga skäl inte haft utrymme att gå på djupet i alla de rättsliga frågor och exempel vi fått på lagstiftning som hindrar eller kan hindra digitalisering av bl.a. ärendehantering inom

8 Här och i det följande har vi valt att i första hand använda det svenska begreppet utkontraktering i stället för begreppet outsourcing. Se vidare om begreppet i kapitel 10.1.1.

specifika sektorer, verksamheter eller myndigheter. I kapitel 12 återkommer vi dock till dessa frågor. I det sammanhanget överväger vi också frågan om hur det kan skapas bättre förutsättningar för att ta om hand sådana behov av författningsändringar i den tid och takt som är lämplig för att förvaltningens önskade digitala utveckling inte ska hindras eller hämmas i onödan av rättsliga skäl.

I vilken utsträckning gällande rätt med materiella bestämmelser som t.ex. tillämpas vid beslutsfattande bör ändras inför övergång till automatiserade förfaranden belyses i kapitel 7.9. I kapitel 7.10 diskuteras behovet av att bedöma konsekvenser för förvaltningens digitalisering när ny lagstiftning tas fram.

Här i kapitel 7 uppehåller vi oss särskilt vid rättsliga förutsättningar för automation i förvaltningen och i huvudsak dess ärendeprocesser, sett ur ett mer övergripande rättssäkerhetsperspektiv. Eftersom det ligger i vårt uppdrag att belysa hela förvaltningens förutsättningar är detta en naturlig utgångspunkt.

7.2. Förvaltningens verksamhet

7.2.1. Ärendehantering

Att anställda eller uppdragstagare i offentlig förvaltning använder datorstöd i form av ordbehandlingsprogram, e-post eller ärendehanteringssystem vid kommunikation med enskilda eller för dokumentation av uppgifter i ärenden och beslut framstår i dag som en självklarhet. Det är med andra ord numera få av oss som reflekterar närmare över den automation som den formen av it-stöd innebär för förvaltningen. Myndigheternas förfaranden vid ärendehandläggning är emellertid redan i dag påtagligt mer automatiserade än så. De myndigheter som tillhandahåller digitala tjänster för att privatpersoner och företag ska kunna inleda ett ärende har i samband härmed också skapat förutsättningar för att i vart fall inleda myndighetens handläggning av ärendet på ett helt automatiserat sätt. Ofta innebär detta att bl.a. diarieföring och första åtgärder för registrering av grundläggande uppgifter i myndighetens ärendehanteringssystem sköts helt automatiserat.

En inledande automatiserad ärendehandläggning kan, direkt eller i ett senare skede, övergå till att en mänsklig handläggare tar vid och med hjälp av ett maskinellt användarstöd fortsätter att hantera

ärendet och fatta beslut. Manuella förfaranden kan med andra ord kompletteras av automatiska. Beslut som fattas av människor kan exempelvis vara mer eller mindre tekniskt understödda, bl.a. när det gäller förvalda beslutsformuleringar. Det kan därför finnas anledning att tala om maskinellt understödda beslut även när mänskliga handläggare svarar för själva beslutsfattandet. Flertalet ärendetyper handläggs dock genom helt automatiserade förfaranden och avslutas med ett automatiserat beslutsfattande, bl.a. på skatte- och socialförsäkringsområdet. I de enskilda fallen tar alltså ingen enskild befattningshavare aktiv del i beslutsfattandet, utan förfarandet kan betecknas som ett helt automatiserat beslutsfattande. Att en ärendetyp som utgångspunkt handläggs automatiskt och avslutas med helt automatiserade beslut medför dock vanligen att funktioner behöver finnas för urval av vissa ärenden som inte kan hanteras helt automatiserat utan behöver övergå till manuell handläggning.

Vid automatiserade beslut finns normalt också automatiska funktioner för att underrätta parten om beslutet, men underrättelsen kan skickas antingen genom digitala förfaranden eller genom traditionell papperspost (se även kapitel 8.3.6). Även när en mänsklig handläggare står för beslutsfattandet förekommer det att användarstödet har mer eller mindre automatiserade funktioner för expediering.

7.2.2. Service

Att enskilda och företrädare för företag och organisationer själva kan söka efter information som myndigheter lämnar på sina webbsidor är ett numera högst vanligt tillvägagångssätt, men som ändå innebär att förvaltningen lämnar en form av automatiserad service.

Nya tekniker för lämnande av service som också väcker nya rättsliga frågor är emellertid högst aktuella. I kapitel 8.4.5 och 12.2.9 berör vi rättsfrågor om bl.a. språk, tolkning och översättning, liksom frågan om när handlingar blir att anse som allmänna i situationer där stöd och service lämnas till enskilda redan innan ett ärende hunnit inledas (t.ex. via ett eget utrymme, se vidare kapitel 8.4). Den service som lämnas redan i skedet innan en handling, t.ex. en ansökan, lämnas in till en myndighet kan dock samtidigt sägas vara en förutsättning för att uppgifterna i ärendet ska hålla en sådan kvalitet och

vara ordnade i sådan strukturerad form att den fortsatta handläggningen och beslutsfattandet i önskad grad kan automatiseras. Automationen kräver med andra ord att större vikt läggs vid myndighetens service gentemot enskilda innan ett ärende inleds, än vad som varit fallet vid traditionell handläggning av pappersbaserade anmälningar eller ansökningar.

Den ovan beskrivna vikten av att service ges redan innan ett ärende inleds i förvaltningslagens (2017:900) mening kan i sin tur väcka frågor om hur långt myndigheternas åtaganden enligt gällande rätt egentligen sträcker sig. Frågorna avser om eller när den service som myndigheten överväger att ge innan ett ärende inleds i något fall går utöver vad som är påkallat enligt gällande rättsordning, och därför skulle kräva särskilt stöd i författning eller genom t.ex. regeringsbeslut för att legalitetsprincipen ska vara uppfylld (se vidare kapitel 8.4.3 om legalitetsprincipen när digitala tjänster med eget utrymme används och kapitel 6.5 om metod för rättslig analys). Denna frågeställning kan aktualiseras vid utveckling av enkla och informativa tjänster för enskilda. I skedet innan exempelvis en bygglovsansökan ges in skulle det i tjänsten kunna lämnas förslag på hur en tomt kan bebyggas utan att den enskilde själv matar in egna uppgifter för beslutsunderlag. Någon generell lösning på denna typ av rättsfrågor har vi inte funnit inom de tidsramar som stått till utredningens förfogande utan stannar här vid att belysa att även ur denna aspekt kommer digitaliseringen och automationen i förvaltningen att föra med sig behov av överväganden om fortsatt rättsutveckling.

7.2.3. Faktiskt handlande

Myndigheternas faktiska handlande (i förvaltningsrättslig mening) har tidigare i stor utsträckning varit åtskilt från frågor om automation. Ett faktiskt handlande har nämligen till sin natur länge varit sådant att det endast kunnat utföras av en människa. Som exempel på faktiska handlanden kan nämnas en lärare som står i ett klassrum och undervisar eller en chaufför som kör en spårvagn, dvs. förfaranden som inte innefattar ärendehandläggning eller beslutsfattande i förvaltningsrättslig mening. Framtida tekniker förutspås emellertid i hög grad kunna ersätta mänskliga förfaranden. Det kan

röra sig om t.ex. självkörande fordon eller olika former av sensorer eller trygghetstekniker.9

I takt med ökad digitalisering och användning av nya tekniska möjligheter väcks det också nya rättsliga frågor, inte minst mot bakgrund av att ett automatiserat förfarande för med sig att hela den regelmassa som beskrivs översiktligt i kapitel 4 (om bl.a. god offentlighetsstruktur, informationssäkerhet, skydd för personuppgifter och sekretess för uppgifter) blir tillämplig.

Här kan som exempel nämnas frågor som uppstått i samband med användandet av digitala trygghetstekniker i socialtjänsten. En sådan teknikanvändning kan redan i dag i viss utsträckning sägas ersätta ett faktiskt handlande eller mänskliga ögon. Samtidigt har svåra rättsliga frågor lämnats till rättstillämpare, däribland frågan om regeringsformens skydd mot betydande intrång i den personliga integriteten10 medför ett behov av särskilt lagstöd för användande av trygghetstekniker hos personer som själva inte är helt beslutsförmögna.

Vi ser inte möjlighet att prioritera närmare analys och eventuellt författningsförslag på det ovan beskrivna specifika området inom ramen för vårt uppdrag. Exemplet belyser emellertid väl de särskilda svårigheter som uppstår för rättstillämpare vid överväganden om automation på områden för faktiskt handlande inom förvaltningen, som hittills inte bedrivits på annat sätt än genom mänskliga förfaranden. Exemplet belyser också att lagstiftare och andra beslutsfattare i förvaltningen bör ha särskild beredskap och förståelse för att digitalisering och automation på områden för faktiskt handlande inom förvaltningen, som hittills förbehållits mänskliga förfaranden, i förlängningen kan kräva lagstiftningsåtgärder för att inte digitaliseringen ska hindras eller hämmas på grund av avsaknad av reglering.11

7.2.4. Ett kunskapsperspektiv

En förvaltning som är digital medför att de uppgifter som hanteras dels håller hög kvalitet även för statistik, dels kan länkas samman på

9 Se bl.a. Digitaliseringskommissionens slutbetänkande För digitalisering i tiden (SOU 2016:89) s. 104 f. med där gjorda hänvisningar. 102 kap. 6 § andra stycket regeringsformen. 11 Här kan nämnas att ”bruk av varslings- og lokaliseringsteknologi” har getts ett uttryckligt stöd i den norska loven om pasient- og brukerrettigheter.

nya sätt. I en digital förvaltning hanteras också stora digitala informationsmängder. Dessa förutsättningar ger i sin tur nya möjligheter att analysera informationen och därigenom få ny kunskap om förvaltningens verksamhet. Genom möjligheten att spåra och följa uppgifter kan t.ex. genomströmningstider och annan information om förvaltningens ärendehantering tas fram. Flödesstatistik av detta slag kan bland annat användas för att göra analyser av effektivitet. Den kan också ge mer tillförlitliga resultatmått. Sådan statistik kan tas fram både på nationell nivå och brytas ned på myndigheter eller mindre organisatoriska enheter, vilket bland annat ger ökade möjligheter att göra jämförelser. I förlängningen kan bl.a. bättre underlag skapas för regeringens styrning av förvaltningen. Det blir lättare att identifiera och bedöma var och hur resurserna ska användas och vilka konsekvenser eventuella resursförändringar kan förväntas få. Därigenom ökar möjligheterna att med träffsäkerhet genomföra reformer. Myndigheternas interna kvalitetsarbete och verksamhetsuppföljning underlättas också. Det kan även bli lättare att utvärdera lagändringar, till exempel hur en ny lag har tillämpats.

De uppgifter som samlas in och lagras i offentlig förvaltning kan också spela en central roll för den kunskapsutveckling som forskningen bidrar till. Nya tekniska möjligheter och stora datamängder kan användas för att få svar på frågor om samhällsförändring över tid och med stöd av analyser förutse framtida samhällsutveckling. Hur förutsättningarna för registerbaserad forskning kan förbättras analyseras inte närmare i denna utredning utan inom ramen för uppdraget i Forskningsdatautredningen.12

Genom att använda de möjligheter till analys som en strukturerad och digital informationshantering medger kan alltså kunskapen om förvaltningens verksamhet öka. Den kunskapen kan också återföras till verksamheten och användas för att stödja personal som har att hantera ärenden eller fatta beslut, eller på annat sätt vara till nytta för de enskilda som kommer i kontakt med förvaltningen. Här kan t.ex. det försäkringsmedicinska beslutsstödet nämnas. Beslutsstödet ger läkare stöd och rekommendationer vid sjukskrivningsbedömningar. Genom att beslutsstödet visar upp viss information direkt för användaren när en viss diagnoskod skrivs in i det system som läkaren använder får denne del av kunskap som han eller hon kanske inte

12Personuppgiftsbehandling för forskningsändamål (dir. 2016:65).

visste fanns eller annars hade fått ägna tid åt att eftersöka. Informationen kan därigenom sägas bli en del av läkarens kunskapsunderlag men det är fortfarande läkaren som avgör hur det enskilda fallet ska hanteras.

Ett annat exempel är s.k. learning analytics, som innebär att mäta, samla, analysera och rapportera data om bl.a. hur elever eller studenter lär sig och vad de lär sig. Genom analyserna kan underlag tas fram för att tidigare kunna ge stöd till de elever som behöver det. Sådana analyser kan också användas som underlag för att t.ex. utveckla nya läromedel.

Samtidigt som digital informationshantering i förvaltningen ger förbättrade möjligheter till kunskap uppkommer också nya rättsliga frågeställningar. Under kartläggningen har vi uppmärksammats på att det t.ex. inte alltid är så lätt att avgöra vad som är en statistikuppgift eller vad som är en personuppgift. När ny statistik behöver sammanställas av uppgiftsmängder som kommer från olika källor kan det exempelvis vara problematiskt att överblicka om det kan gå att härleda underlaget tillbaka till en viss person.

Frågor om förutsättningar för att använda stora datamängder gör sig bl.a. gällande vid överväganden om att skapa maskininlärda algoritmer (se närmare beskrivning i kapitel 7.3.2) och utföra avancerade analyser. Ibland kan uppgifter som har rensats från personuppgifter eller i vart fall rensats från direkta personuppgifter användas för analyserna, men ibland kan det vara just uppgifter om individer som är av intresse för forskning eller för att med stöd av de nya tekniska möjligheterna kunna förbättra för den enskilda individen ifråga. Vi återkommer till vissa av dessa frågeställningar i kapitel 7.8.

7.3. Teknikutvecklingen

7.3.1. Vårt uppdrag

Det ligger i vårt uppdrag att analysera den pågående digitala utvecklingen utifrån ett rättsligt perspektiv för att skapa en förståelse för vilka områden och företeelser som kommer att kräva lagstiftningsåtgärder så att förvaltningen ska kunna ta till vara digitaliseringens möjligheter. I våra direktiv beskrivs det också som angeläget att den offentliga förvaltningens verksamhet bygger på anpassade och långsiktigt hållbara rättsliga regler som ger stöd för digital utveckling,

samtidigt som de säkerställer behovet av informationssäkerhet och skydd av den personliga integriteten, liksom allmänhetens rätt till insyn och tillgång till god offentlig service.

Vi har inte möjlighet att inom ramen för utredningen lämna någon fullständig beskrivning av teknikutvecklingen. I det följande beskrivs emellertid kortfattat några områden för snabb teknikutveckling som är av betydelse för våra fortsatta rättsliga analyser, nämligen artificiell intelligens (AI) och maskininlärning, ”sakernas internet” (Internet of Things, IoT) och blockkedjeteknik. Teknikerna kan också i olika avseenden vara förenade med varandra.

7.3.2. Artificiell intelligens och maskininlärda algoritmer

Artificiell intelligens (AI) kan på en övergripande nivå beskrivas vara intelligens som uppvisas av maskiner. Det är också namnet på det forskningsområde som studerar hur man skapar datorer och datorprogram med intelligent beteende.13 Inom AI finns flera olika delområden. Här bör bl.a. maskininlärning nämnas, där logiken inte längre är statisk, dvs. exakt programmerad på förhand, utan (förenklat beskrivet) tränas på stora datamängder med syfte att själv förstå samband mellan datapunkter. Allteftersom processorkraften ökar kan allt mer komplexa tillämpningar göras med artificiell intelligens. Vi återkommer i kapitel 7.8 till hur AI-system med maskininlärda algoritmer kan användas, bl.a. för att på nytt sätt analysera och bearbeta stora datamängder.

Vid tillämpning av AI och maskininlärda algoritmer kan vad som i kapitel 7.4.1 beskrivs vara olika former av indata hanteras i stor mängd och i många lager. Det kan röra sig om att det beslutsunderlag som processas och bedöms kan innehålla långt fler uppgifter (data) än vad en mänsklig handläggare kan hantera. Området för system som hanterar många lager av indata, ibland upp till miljontals datapunkter, och som med hjälp av maskininlärning uppdaterar sina algoritmer, benämns djupinlärning.14

Flera bakomliggande faktorer har samverkat för att utvecklingstakten inom AI nu ökat högst påtagligt. Förutom forskning har

13 https://sv.wikipedia.org/wiki/Artificiell_intelligens 14 Systemen i sig benämns neurala nätverk.

många yttre förhållanden möjliggjort framstegen, exempelvis tillgång till större beräkningskraft, större lagringsutrymmen och större datamängder. Framför allt har tillgången till mera data varit avgörande för utvecklingen av många tillämpningar. 15

Kartläggningsarbetet visar att offentlig förvaltning i flera avseenden står i begrepp att använda AI i sin verksamhet. Tekniken kan användas t.ex. i form av en chatbot (dialogrobot) för att ge service till allmänheten genom fråga-svar-funktioner på en myndighets webbplats. AI har också potential att ge stor nytta om tekniken används vid urval eller som beslutsunderlag eller beslutsstöd vid ärendehandläggning eller faktiskt handlande. Det kan t.ex. röra sig om kvalificerade beslutsstöd vid diagnosticering inom sjukvården, stöd för korrekta utbetalningar från välfärdssystemen eller stöd i den brottsbekämpande verksamheten. Det synes också förekomma att myndigheter använder eller planerar att använda denna teknik för att fatta helt automatiserade beslut vid ärendehandläggning.

Med maskininlärda algoritmer tillkommer ett moment som inte motsvaras av programmering av traditionella algoritmer. För rättssäkra förfaranden krävs nämligen att en maskininlärd algoritm under en period tränas, innan den tas i drift för att leverera antingen beslut eller beslutsunderlag. Vi återkommer bl.a. i kapitel 7.8 till vilka ytterligare rättsliga dimensioner som den nya tekniken för med sig. Det förtjänar också att framhållas att det nu inte finns någon teknik för s.k. generell artificiell intelligens eller ”superintelligens” som klarar av att utföra vilken intellektuell uppgift som helst.

7.3.3. Sakernas internet

Med ”sakernas internet” (Internet of Things, IoT) menas föremål som har försetts med inbyggd teknik som sensorer, programvara och internetuppkoppling vilket gör att sakerna kan kopplas samman fysiskt eller via trådlösa nätverk med andra föremål eller system för att utbyta data.

Användning av uppkopplade föremål blir allt vanligare inom det offentliga. Det kan röra sig om digitala tekniker i äldrevården, exempelvis blöjor med fuktsensorer. Det kan också röra sig om sensorer som mäter luftkvalitet eller kartlägger rörelsemönster i stadsmiljö. I

15 Göran Lindsjö, a.a. s. 3 f.

regel samlar föremålen in data i realtid vilket också innebär att det offentliga, med stöd av dessa uppgifter, får möjlighet att vidta relevanta åtgärder i realtid. Äldre kan med hjälp av den beskrivna tekniken med fuktsensorer slippa få sin nattsömn störd i onödan. Uppgifter om vilken kvalitet luften håller skulle t.ex. kunna användas för beslut om att det vid vissa tidpunkter är förbjudet för dieselfordon att köra på vissa gator i staden, medan förbudet direkt hävs när luftkvaliteten visar sig vara bättre. Sakernas internet har också potential att förenkla myndigheters tillsynsverksamhet. Inom livsmedelsbranschen skulle t.ex. smarta kylskåp och elmätare automatiskt kunna förmedla temperaturuppgifter till relevant tillsynsmyndighet, som efter analys av informationen skulle kunna besluta att vidta åtgärder. Det krävs dock att det finns ett förtroende för tekniken och att uppgifterna är korrekta.

Förutom frågor om hur en förvaltning som är uppkopplad mot digitala föremål kan säkerställa insyn vid den verksamhet som bedrivs, väcks, i den mån informationen som samlas in omfattar personuppgifter, frågor om bl.a. skydd för personuppgifter och personlig integritet. Frågor om insynsmöjligheter analyseras närmare i kapitel 7.6 och 7.7.

7.3.4. Blockkedjeteknik

Under kartläggningen och i anledning av utredningens hearing har vi uppmärksammats särskilt på teknikutvecklingen avseende s.k. blockkedjor.16 Tekniken nämns ofta i samband med framtida betalningslösningar. Den första tillämpningen av blockkedjetekniken utgör också basen för den elektroniska valutan bitcoin. Blockkedjetekniken omtalas också i termer av att göra det möjligt att säkerställa att ett dokument inte förvanskats. Detta bör enligt vår bedömning vara av intresse för den digitala förvaltningen, både vid ärendehandläggning och i administrativ verksamhet.

Blockkedjetekniken kombinerar kända tekniska byggstenar från datavetenskap och kryptografi på ett nytt sätt. Förenklat beskrivet fungerar en blockkedja så att ett digitalt informationsinnehåll, t.ex. ett elektroniskt dokument, ges en unik kod (ett s.k. hashvärde) med

16 Inte sällan används det engelska uttrycket Blockchain.

hjälp av en kryptografisk algoritm.17 Det ursprungliga dokumentet kan bevaras i ett exemplar hos innehavaren samtidigt som denna unika kod (hashvärdet) som representerar data sparas och förmedlas vidare i en blockkedja. Koderna aggregeras matematiskt ihop i block som länkas samman i en kedja där efterföljande block matematiskt knyts ihop med den unika koden (hashvärdet) från det föregående blocket. Det blir därför omöjligt att lägga in ny information i tidigare block i kedjan utan att alla de efterföljande länkade blocken också ändras. Tekniken bygger även på att blockkedjan utgör en ”distribuerad bokföring” som är just distribuerad och kontrolleras på många platser (hos alla deltagande intressenter). En tillförlitlighet skapas genom att integriteten på den matematiskt länkade kedjan måste godkännas och kontrolleras i en vidare krets än hos en enstaka aktör om t.ex. nya tillägg ska göras.

Med blockkedjetekniken skapas även nya möjligheter till hantering och spårbarhet av original i digitala miljöer. Enligt vad som har uppgetts för oss kan en applikation använda en blockkedja för att lagra referenser till en ursprungsfil, lagra vem som är nuvarande ägare av den samt kontrollera alla förändringar av den. Förändringar kan t.ex. vara tillägg, makulering eller överlåtelse till ny innehavare.

Den teknik som beskrivits för oss innebär att alla som har tillgång till blockkedjan och får en kopia av ursprungsfilen, liksom ägarens unika kod, kan kontrollera och verifiera original och innehavare om eller när sådan kontroll efterfrågas. Tekniken medger däremot inte att det genom dessa unika koder går att återskapa innehållet i själva dokumentet. Det är med andra ord bara innehavaren av den ursprungliga filen med informationsinnehåll som kan läsa eller sprida innehållet i dokumentet.

De befintliga lösningar med användning av blockkedjeteknik som vi nu har fått beskrivna för oss innefattar också en digital underskrift med e-legitimation eller motsvarande för att verifiera kopplingen till den fysiska person som är utställaren av dokumentet. Detta bl.a. med tanke på att det straffrättsliga skyddet för urkunder ska tas till vara. Vid en internationell utblick förefaller också tekniken med blockkedjor i förening med biometriska förfaranden för att säkerställa koppling till fysisk person vara föremål för undersökning.

17 Till exempel SHA-256. Den unika koden har också beskrivits som att varje dokument ges ett unikt digitalt fingeravtryck, se Lantmäteriets rapport Framtidens husköp i blockkedjan på www.lantmateriet.se/contentassets/6874bc3048ab42d6955e0f5dd9a84dcf/blockkedjanframtidens-huskop.pdf

Vi återkommer till användningen av blockkedjeteknik främst i kapitel 11.6.1, där digitala avtal behandlas, och i kapitel 12, där bl.a. former för informationshantering i ärendeprocesser diskuteras.

7.4. Särskilt om automation av ärendehantering

7.4.1. Ärendeprocessen

I det förevarande kapitel 7 om automation i förvaltningen behandlas som framgått inte bara frågor som rör myndigheternas ärenden i förvaltningsrättslig mening. En betydande del av myndigheternas verksamhet cirkulerar emellertid kring ärendehandläggning och ärendehantering, varför det finns anledning att här uppehålla sig vid ärendeprocessen.

Ordet ”ärende” saknar en formell definition inom förvaltningsrätten. Under kartläggningen har framkommit att termen fortfarande, och kanske i ökad grad genom digitaliseringen, utgör en källa till missförstånd mellan olika yrkesgrupper. En registrator, en handläggare och en systemvetare menar ofta olika saker när de talar om ”ärenden”.

Enligt förvaltningsrättslig praxis anses ett typiskt myndighetsärende omfatta en kedja av aktiviteter som utmynnar i ett beslut med någon form av rättsverkan mot den som är part i ärendet. Även förvaltningslagens inriktning på att värna om den enskildes rättssäkerhet talar för ett sådant synsätt. Det är emellertid tydligt att gränsen mellan vad som är ärenden och vad som är annan förvaltningsverksamhet i viss mån är flytande.18 Gränserna för vad som utgör ett specifikt ärende kan också behöva omprövas när nya möjligheter till informationshantering står till buds och ett specifikt ställningstagande hamnar i ett större sammanhang, dvs. sätts i en större kontext i en digitalt hanterad ärendeprocess jämfört med traditionell pappersaktshantering. Från den enskildes synpunkt kan det ”ärende” som privatpersonen eller företagaren önskar få behandlat vid en eller flera myndigheter också vara bredare än vad som avhandlas i ett enskilt beslut.19 Digitaliseringen medför också behov

18 Trygve Hellners och Göran Malmqvist, Förvaltningslagen med kommentarer, Norstedts Juridik, 2010, s. 38 f. 19 E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66), bl.a. i betänkandets bilaga 6.

av att reflektera särskilt över tidpunkten för när ett förvaltningsrättsligt ärende anses inlett (se vidare kapitel 8).

En del av svårigheten att definiera ordet ”ärende” består av att det används för att beteckna både de aktiviteter som utförs (själva ärendeflödet eller ärendeprocessen) och den dokumentation som uppstår till följd av aktiviteterna. Det finns dock anledning att skilja mellan ärendeprocessen och dokumentationen.20

En ärendeprocess i en digital miljö kan beskrivas som att ett visst beslutsunderlag, t.ex. uppgifter i en individuell ansökan (vanligen betecknade indata) matas in i ett it-system som styrs av datorprogram. Med ett datorprogram förstås en eller en serie av algoritmer som är kodade, dvs. funktioner för att visualisera det problem som algoritmen eller algoritmerna har löst och andra styrfunktioner för datorn. En algoritm är enligt en klassisk definition en noggrann plan eller metod för att stegvis göra något.21

Som framgår närmare i kapitel 8.2 kan vi å ena sidan skönja ett ökat intresse av att enskilda har kontroll över information som rör dem (ibland används begreppet ”My data” i detta sammanhang). Å andra sidan ser vi tendenser att vilja minska kraven på att den enskilde själv behöver lämna in olika uppgifter till myndigheter som beslutsunderlag. Detta dels av intresset att ge service till den enskilde (principen om ”en uppgift en gång” ) , dels av intresset att beslutsunderlag ska innehålla uppgifter av bästa möjliga kvalitet (genom att hämtas direkt från den ”bästa källan”). Att låta uppgifter av bästa möjliga kvalitet utgöra underlaget kan sägas vara en förutsättning för, eller i vart fall underlätta, fortsatt automatiserat förfarande vid ärendehandläggning och beslutsfattande.

Digitaliseringen och den ökade graden av automation kommer med andra ord att föra med sig att beslutsunderlag i minskad grad kommer att avse uppgifter som den enskilde själv har angett i ansöknings- eller anmälningsformulär. I ökad grad kommer i stället beslutsunderlaget att inhämtas från andra databaser som anropas och, i fall det finns, läser eller inhämtar sådant underlag (ytterligare indata). Det kan röra sig om anrop till andra databaser inom en myndighet eller externa databaser, tillgängliga via internet eller genom särskilda åtkomstmöjligheter. Tekniskt kan information

20 Se även Johan Eriksson, Öppna myndigheten, information och ärenden i e-förvaltningen, SKL Kommentus AB 2014. 21 www.csc.kth.se/utbildning/kth/kurser/DD1340/inda09/algorithms/algoritmer/

finnas även i andra typer av digitala källor än databaser, t.ex. i filer eller sensorsystem. Vi återkommer till ytterligare överväganden med anledning av den förskjutning avseende hur beslutsunderlag inhämtas som här kort beskrivits, bl.a. i kapitel 7.6.3.

När det sammantagna beslutsunderlaget, vare sig det inhämtats från den enskilde eller från andra källor, har processats, genereras ett beslut eller i andra fall kanske snarare ett beslutsstöd (utdata).

7.4.2. Dokumentation

Krav på dokumentation av beslutsunderlag finns bl.a. i förvaltningslagen (se kapitel 7.6.2.). Noterbart är dock de pågående förändringar i förvaltningens informationsförsörjning för att nå digitaliseringens fulla potential som kortfattat har beskrivits i det föregående avsnittet. Som framgått är det alltså inte givet att digitalisering av ett förfarande innebär att den digitala informationsförsörjningen helt kommer att motsvara t.ex. en pappersbaserad anmälan eller ansökan med uppgifter som lämnas av den enskilde. Vi ser i stället att graden av inhämtande av beslutsunderlag från andra digitala källor kan förutses öka. En särskild bestämmelse om dokumentation avseende beslutsunderlag som inhämtas från andra databaser finns i 4 kap. 3 § offentlighets- och sekretesslagen (2009:400). I kapitel 7.6.3 går vi närmare in på denna bestämmelse.

Ytterligare en reflektion kring vilka förändringar som digitaliseringen av förvaltningen för med sig är att det inte alltid är de uppgifter som i pappersmiljön har dokumenterats på särskilda handlingar som efterfrågas som beslutsunderlag när nya former för informationshantering övervägs. Det kan i stället vara andra uppgifter eller andra typer av uppgifter som nu får betydelse. Snarare än ett visst dokument kanske det är en enstaka uppgift, eller i stället en uppgift om att ett visst processteg har tagits, som är av intresse för en myndighets fortsatta åtgärder. Den förskjutningen får betydelse även ur ett rättsligt perspektiv. Vi återkommer till frågor om vilken rättsutveckling som kan behövas i anledning av detta, bl.a. i kapitel 12 när det gäller hur processer är reglerade.

Utöver beslutsunderlaget i ett specifikt ärende tillkommer i den digitala miljön ett antal dokument eller informationsbärare som saknar motsvarighet i den analoga miljön. Dessa typer av dokument

förhåller sig inte heller direkt till det enskilda ärendet.22 Framtagande av algoritmer och anknytande datorprogram inleds vanligen med en kravspecifikation från beställaren, innefattande s.k. verksamhetsregler bestående av dels rättsregler, dels andra krav på användning av standarder och dylikt som ska följas, utöver den tekniska uppgift som ska lösas. Tekniska designdokument kan därefter tas fram med dels beskrivning av idéer för t.ex. problemlösning i form av algoritmer, dels hur dessa ska omsättas i programkod (ibland beskrivs även t.ex. val av programspråk). Det förekommer dock att dessa typer av designdokument saknas vid s.k. agil utveckling.23 Genom kodning översätts algoritmen till ett givet programspråk och datorprogrammet tar sin form. Datorprogrammet, innefattande bl.a. de algoritmer som ingår, kan därmed beskrivas vara en dokumentation i sig.24 Särskilda dokument som beskriver hur implementationen i algoritmer och datorprogram gått till, dvs. en särskild dokumentation med beskrivning av vad som faktiskt blev gjort, förekommer i varierad grad.

När det inledningsvis beskrivna beslutsunderlaget har processats och utmynnat i ett beslut ska detta beslut dokumenteras på särskilt sätt enligt författningskrav (se bl.a. kapitel 7.6.2), medan det däremot verkar finnas få rättsregler som ställer särskilda krav på dokumentationen avseende beslutsstöd (se dock kapitel 7.6.3 om krav på registrering och dokumentation av allmän handling i offentlighets- och sekretesslagen och arkivregleringen).

22 Jfr förslag till skyldighet att hålla systemdokumentation tillgänglig för allmänheten i Datalagskommitténs betänkande Integritet Offentlighet Kommunikationsteknik (SOU 1997:39), s. 569 f. 23 Agil systemutveckling är ett samlingsnamn för ett antal systemutvecklingsmetoder som kan användas vid programvaruutveckling, även kallade lättrörliga metoder eller iterativa metoder. Det engelska ordet ”agile” betyder smidig, vig, lättrörlig. 24 Med ett datorprogram förstås, här enkelt beskrivet, en eller en serie av algoritmer, funktioner för att visualisera det problem som algoritmen eller algoritmerna har löst och andra styrfunktioner för datorn.

7.5. Rättssäkra automatiserade förfaranden i en öppen digital förvaltning

7.5.1. Rättsutveckling i takt med samhälls- och teknikutveckling

I kapitel 4 har vi konstaterat att rättssäkerheten kan stärkas med digitala medel. Vi har också tagit vår utgångspunkt i att god offentlighetsstruktur är en nödvändig grund för en öppen digital förvaltning, liksom att god informationssäkerhet krävs för att möta nya risker som digitaliseringen för med sig. Där har vi också översiktligt beskrivit att lagstiftningen behöver stå i samklang med den önskade utvecklingen och att såväl reglering om skydd för personuppgifter som sekretessreglering kan behöva anpassas.

Men hur ska förvaltningen i sin helhet, dvs. såväl tillämpande myndigheter som lagstiftande organ, gå till väga för att i samverkan med varandra åstadkomma rättssäkra automatiserade förfaranden i en öppen digital förvaltning? Vi gör inte anspråk på att inom ramen för denna utredning kunna komma med fullständiga svar på den frågan utifrån alla tänkbara situationer som kan uppstå eller kommer att uppstå när förvaltningen i olika avseenden övergår från manuella förfaranden till helt eller delvis automatiserade sådana. Vi strävar emellertid mot att både i de överväganden vi gör och i samband med att vi motiverar våra förslag till författningsändringar metodmässigt beskriva och bedöma behovet av rättsutveckling i takt med den teknik- och samhällsutveckling vi ser. Vår förhoppning är att den ansatsen ska kunna underlätta vid de överväganden som behöver göras även efter utredningens arbete och vara till nytta även i samband med fortsatt rättsutveckling.

Inledningsvis vill vi här belysa att vissa risker som förvaltningens automationsåtgärder kan medföra behöver adresseras och omhändertas ur ett rättsligt perspektiv så att de fördelar, även ur rättssäkerhetssynpunkt, som dessa automationsåtgärder för med sig kan tas till vara. I följande avsnitt (kapitel 7.6–7.9) belyser vi närmare dels de behov av författningsändringar som vi ser som nödvändiga i ett första steg, dels ytterligare åtgärder för att åstadkomma rättssäkra automatiserade förfaranden i en öppen digital förvaltning.

7.5.2. Omhändertagande av risker för rättsosäkerhet

Översättning av rättsregler till algoritmer eller datorprogram

Automation i samband med myndigheters ärendehantering kräver i hög grad ännu mänskliga direktiv i bemärkelsen att det är människor som, åtminstone initialt, i olika avseenden genom traditionell programmering styr hur datorerna ska fungera. För att möjliggöra ett automatiserat beslutsfattande krävs exempelvis att tjänstemän vid myndigheten, eller upphandlade konsulter, utifrån gällande författningar och andra styrdokument utformar en eller flera algoritmer som programkod. Den programmeringen föregås alltså av eller innefattar en översättning av rättskällor och, i varierad grad beroende på förhållandena, även annat underlag. Vid en sådan översättning tolkas författningstext, förarbeten, rättspraxis och doktrin och sätts samman till närmare regler som kan programmeras.

Datorrelaterad regelutformning i betydelsen omvandling av rättsregler till algoritmer med anknytande datorprogram är inte en nyhet i förvaltningen,25 men fortfarande ett högst aktuellt exempel på när automationen riskerar att medföra rättsosäkerhet. Om den lagstiftning som ska tillämpas vid helt eller delvis automatiserat beslutsfattande är vag eller oprecis kommer en hög grad av utfyllnad att äga rum vid översättningen till programkod. Det innebär att det, i vart fall när det gäller hittills använd teknik, blir fråga om en fixering eller likriktning genom datorrelaterad reglering i stället för genom rättsregler.

Det har diskuterats om de datorprogram som här är aktuella därför borde ha en särskild förvaltningsrättslig status i form av förvaltningsbeslut som kan överklagas eller vara inordnade i normgivningshierarkin. De algoritmer eller datorprogram som används i förvaltningen vid helt eller delvis automatiserat beslutsfattande har emellertid såvitt känt för utredningen inte vid något tillfälle hanterats som sådana normer som följer av bemyndiganden och som ska kungöras eller publiceras i myndigheternas författningssamlingar. Den process som utförs när rättsreglerna ska tolkas och konkretiseras till algoritmer eller datorprogram behöver dock uppmärk-

25 Se vidare t.ex. Magnusson Sjöberg, Cecilia, Rättsautomation – Särskilt om statsförvaltningens

datorisering. Norstedts Juridik, 1992.

sammas i syfte att minimera risker för att regeringsformens bestämmelser om normgivningskompetens (se 8 kap. regeringsformen) träds för när i den processen.26

Nu står ny teknik som ovan beskrivits redan för dörren. Här avses närmast den form av artificiell intelligens som består av självlärande system. Både traditionellt programmerade algoritmer och maskininlärda sådana behöver därför hållas i åtanke vid våra fortsatta överväganden.

Möjligheter och utmaningar

Automatiserade förfaranden vid ärendehandläggning och beslutsfattande innebär inte enbart risker ur rättssäkerhetssynpunkt. I flera avseenden kan automatiserade förfaranden i stället skapa möjlighet till ökad rättssäkerhet, främst ur perspektivet förutsebarhet vid tillämpningen så till vida att ökad enhetlighet uppnås. Med automationen kan t.ex. risker för mänsklig godtycklighet undanröjas, liksom risker för att det inom en myndighet växer fram olika lokala kulturer där utfallen i besluten varierar beroende på av vem eller var inom organisationen de har fattats. På en övergripande nivå leder automatiserade förfaranden därför generellt sett till en mer likställd hantering jämfört med en manuell hantering av många olika handläggare vid en myndighet. Därför medför automationen i det avseendet en stärkt rättssäkerhet. Att automation medför snabbare förfaranden bidrar även detta till ökad rättssäkerhet för den enskilde.

Ett helt automatiserat beslutsfattande har såvitt känt för utredningen hittills främst kommit i fråga inom områden där den materiella rätten inte lämnar särskilt stort utrymme för bedömningar vid beslutsfattandet. En förklaring till detta är att de algoritmer som hittills används i svensk förvaltning till sin natur är deterministiska, dvs. de lämnar inte något utrymme för skönsmässiga bedömningar. Till exempel kan här nämnas beslutsfattande inom tandvårds- eller föräldrapenningsområdena där utfallet av beslut i princip inte skulle variera om besluten i stället hade fattats av mänskliga handläggare.

Automation inom områden där gällande rätt lämnar ett påtagligt utrymme för skönsmässighet vid beslutsfattande skulle emellertid i efterhand kunna visa sig vara till nackdel för en enskild, t.ex. om

26 A.a.

denne hade kunnat åberopa vissa särskilda omständigheter vilka inte kunde beaktas av den statiska algoritmen. Om bedömningsutrymmet i den materiella rätten inte kan användas för flexibla bedömningar inom ramen för ett automatiserat förfarande riskerar därför utfallet av ett individuellt beslut att bli mindre rättssäkert trots den generellt sett ökade likställigheten. Den nu beskrivna risken för kvalitetsbrister i beslut som fattas automatiserat har adresserats på olika sätt i de förfaranden som hittills automatiserats i förvaltningen. I förordningen (2001:650) om vägtrafikregister finns exempelvis särskilda regler om omprövning av beslut som har fattats automatiserat.27 I kapitel 7.9.1 belyser vi närmare vilka överväganden om anpassning av materiell rätt som vi bedömer bör göras vid övergång från manuella till automatiserade förfaranden, i första hand avseende beslutsfattande.

Användandet av ny teknik som t.ex. AI-system med maskininlärda algoritmer kan i framtiden komma att undanröja vissa av de ovan beskrivna riskerna för rättsosäkerhet vid tillämpning av automatiserat beslutsfattande, främst risken för att inte individuella faktorer kan beaktas vid ett enskilt beslut. När sådan teknik kommer att användas medför det emellertid också att nya typer av risker behöver hanteras för att rättssäkra förfaranden ska kunna garanteras. I detta sammanhang diskuteras inte minst risken för att maskininlärda algoritmer ”smittas” med felkällor eller felaktiga utgångspunkter, med risk för såväl rättsosäkra som diskriminerande förfaranden.28 Även risker för att algoritmerna medvetet manipuleras för att orsaka ekonomisk eller personlig skada behöver beaktas.29

I takt med att förvaltningen tar i bruk allt mer tekniskt avancerade modeller för analys och stöd för mänskliga beslut kommer också frågan om ansvarstagande att behöva belysas, inte minst om eller när beslutsstöden blir så tekniskt avancerade att det snarare är ansvaret för funktionen i de algoritmer eller datorprogram som används som behöver diskuteras, än ansvaret för de enskilda besluten där de automatiskt genererade beslutsunderlagen används.

27 18 kap. 5 och6 §§ förordningen om vägtrafikregister (2001:650). 28 Se Joyce Chou m.fl., How to recognize exclusion in AI, Microsoft 2017. 29 Se Daniel Klinedinst m.fl., 2017 Emerging Technology Domains Risk Survey, CMU/SEI-2017-TR-008, Software engineering institute, Carnegie Mellon University, October 2017, https://resources.sei.cmu.edu/asset_files/TechnicalReport/2017_005_001_505319.pdf

De närmare åtgärder som av informationssäkerhetsskäl30 behöver vidtas för att möjliggöra förvaltningens användning av den nya tekniken belyses inte närmare inom ramen för denna rättsligt orienterade utredning, men vikten av ett parallellt arbete med informationssäkerhet vid överväganden om ökad grad av automation i förvaltningen behöver framhållas. Vi belyser också frågor om de rättsliga förutsättningarna för en god informationssäkerhet i kapitel 9.

Säkerställande av möjligheter till insyn är dock enligt vår bedömning, ur rättsligt perspektiv, en av de grundläggande förutsättningarna för att förvaltningen ska kunna hantera rättsliga utmaningar i samband med automationsåtgärder och också kunna visa för allmänheten att de risker som finns tas om hand. På det sättet utgör god offentlighetsstruktur genom säkerställande av insynsmöjligheter en grundläggande förutsättning för att säkerställa rättssäkra automatiserade förfaranden inom förvaltningen.

7.6. Gällande rätt om insyn i algoritmer och beslutsunderlag

7.6.1. Dataskyddsförordningen

Automatiserat individuellt beslutsfattande, inbegripet profilering

Enligt dataskyddsförordningen har den enskilde rätt att inte bli föremål för ett beslut som enbart grundas på automatiserad behandling, inbegripet profilering, om beslutet kan ha rättsliga följder för den enskilde eller på liknande sätt i betydande grad påverkar honom eller henne.31 Sådant automatiserat beslutsfattande kan emellertid vara tillåtet, t.ex. enligt unionsrätten eller nationell rätt som fastställer lämpliga åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen.32

Profilering innebär varje form av automatisk behandling av personuppgifter när uppgifterna används för att bedöma vissa personliga egenskaper, i synnerhet för att analysera eller förutsäga

30 För informationssäkerhet som avser digital information används ibland begreppet cybersäkerhet. Cybersäkerhetsbegreppet är vanligt förekommande i en internationell kontext. Här använder vi dock främst begreppet informationssäkerhet. 31 Artikel 22.1, se även skäl 71. 32 Artikel 22.2.b.

personens arbetsprestationer, ekonomiska situation, hälsa, personliga preferenser, intressen, pålitlighet, beteende, vistelseort eller förflyttningar.33

Automatiserade beslut kan fattas med eller utan profilering. Omvänt kan profilering användas utan att det leder till ett automatiserat beslut. Ett beslut kan också grundas på profilering utan att beslutet enbart är baserat på automatiserad behandling, dvs. ett delvis automatiserat beslutsfattande.

Rättsliga frågor om innebörden av bestämmelsen om automatiserat beslutsfattande har i varierande utsträckning diskuterats sedan det tidigare dataskyddsdirektivet från 1995 trädde i kraft.34Diskussionerna har nu förts med förnyat intresse, bl.a. mot bakgrund av de sanktioner som kan följa om personuppgifter behandlas i strid med dataskyddsförordningen.

En av de frågor som har diskuterats är om sådana automatiserade processer som resulterar i ett stöd för beslut i individuella fall men inte genererar ett faktiskt beslut, med andra ord ett delvis men inte helt automatiserat beslutsfattande, faller utanför de ovan nämnda specifika krav som förordningen ställer upp beträffande automatiserade beslut. Det förefaller som att det finns få avgöranden i europeisk domstolspraxis där dessa frågor har belysts eller prövats i domstolar runt om i Europa trots att dataskyddsdirektivet varit i kraft i över 20 år.35

Mot den beskrivna bakgrunden är det välkommet att den s.k. artikel 29-gruppen36 nu lämnat en särskild vägledning om automatiserat individuellt beslutsfattande, inbegripet profilering. I vägledningen anges att med beslut som enbart grundas på automatiserad behandling avses att det inte finns någon mänsklig inblandning i

33 Artikel 4.4, se även skäl 72. Se även information på Datainspektionens webbplats www.datainspektionen.se/dataskyddsreformen/dataskyddsforordningen/de-registreradesrattigheter/automatiserad-behandling/ 34 EG:s dataskyddsdirektiv (95/46), som genomförts i svensk rätt genom personuppgiftslagen (1998:204). Se även Wachter, Sandra m.fl., Why a Right to Explanation of Automated Decision-Making

Does Not Exist in the General Data Protection Regulation, December 28, 2016. International Data

Privacy Law, 2017. Available at SSRN: https://ssrn.com/abstract=2903469 35 A.a. 36 För att dataskyddsdirektivet (95/46) skulle tillämpas på ett enhetligt sätt i medlemsstaterna bildades den så kallade artikel 29-gruppen. Gruppen har fått sitt namn av artikel 29 i dataskyddsdirektivet och i artikel 30 finns bestämmelser om gruppens uppgifter.

beslutsprocessen. Den personuppgiftsansvarige37 kan dock inte kringgå de särskilda reglerna om helt automatiserat individuellt beslutsfattande genom att införa en mänsklig inblandning som inte är meningsfull.38

I ett annex till vägledningen lämnar artikel 29-gruppen rekommendationer om hur personuppgiftsansvariga kan gå till väga för att möta de krav som följer av förordningen. I fråga om lämpliga skyddsåtgärder vid helt automatiserat beslutsfattande anges bl.a. att den personuppgiftsansvarige kan överväga regelbundna kvalitetskontroller av sina system för att säkerställa att enskilda behandlas rättvist och inte diskrimineras, tillsyn och tester av sina algoritmer som t.ex. utvecklats genom maskininlärning, särskilda åtgärder för dataminimering, anonymisering eller pseudonymisering av uppgifter och att den enskilde tillerkänns vägar för att uttrycka sin mening och få mänsklig kontakt.

I rekommendationerna anges också att personuppgiftsansvariga kan utforska möjligheter till certifieringsmekanismer eller uppförandekoder för tillsyn av processer som involverar maskininlärning, liksom översyn av etiska kommittéer eller liknande för att värdera risker och nytta med den profilering som avses.39

Information och tillgång till personuppgifter

Den personuppgiftsansvarige måste enligt dataskyddsförordningen informera de registrerade om att automatiserat beslutsfattande används. Denna rätt till information innebär bl.a. att den personuppgiftsansvarige ska lämna information om förekomsten av beslut som enbart grundas på automatiserad behandling. I dessa fall ska den personuppgiftsansvarige också lämna meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.40

En rättsfråga som diskuteras inom EU är vilka närmare explicita eller underförstådda krav förordningen egentligen ställer i fråga om

37 Med personuppgiftsansvarig menas en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter; se artikel 4.7 dataskyddsförordningen. 38 Se artikel 29-gruppen, Guidelines on Automated individual decision-making and Profiling for

the purposes of Regulation 2016/679, 17 EN WP 251, Adopted on 3 October 2017 s. 9 f. om

beslut som enbart grundas på automatiserad behandling. 39 A.a. s. 30. 40 Artikel 13.2.f och 14.2.g. Se även a.a. s. 23 f.

rätten för den enskilde att få en förklaring av ett individuellt beslut som fattats automatiserat. Vissa har menat att förordningens reglering medför en särskild rätt att få en förklaring av såväl det individuella beslutet som detaljer om det bakomliggande förfarande som lett fram till det, medan andra hävdar att enskilda enligt förordningen enbart har rätt att få övergripande information om logiken bakom besluten i generell bemärkelse.41 Frågan har besvarats i linje med det sistnämnda alternativet av artikel 29-gruppen.42

Den enskilde har också bl.a. rätt till tillgång till personuppgifter och meningsfull information om logiken bakom samt betydelsen och de förutsedda följderna av sådan behandling för den registrerade.43 Rätten till tillgång är mycket snarlik den ovan beskrivna rätten till information, men en skillnad är att rätten till information ska tillgodoses innan en behandling av personuppgifter påbörjas medan rätten till tillgång ska mötas först efter den enskildes begäran. Även när det gäller rätten till tillgång har det förts diskussioner om hur långt denna rätt till tillgång egentligen sträcker sig, bl.a. när det gäller underliggande algoritmer och programkod, respektive hur den rättigheten förhåller sig till bl.a. immaterialrättslig skyddsreglering.44

Artikel 29-gruppen klargör i den ovan nämnda vägledningen att också rätten till tillgång innebär en mer övergripande rättighet, snarare än en rätt till en förklaring av ett specifikt beslut. Skälen i förordningen ger också uttryck för ett visst skydd för personuppgiftsansvariga vad gäller immateriella rättigheter eller affärshemligheter. Dessa rättigheter behöver dock sättas i förhållande till den aktuella kontexten och balanseras mot enskildas rätt till information.45 Skyldigheten att ge den registrerade information om och tillgång till de personuppgifter som behandlas ska enligt förslaget till kompletterande dataskyddslag inte heller gälla personuppgifter som på grund av sekretess eller tystnadsplikt inte får lämnas ut till den registrerade.46

41 Se Bryce Goodman och Seth Flaxman, European Union regulations on algorithmic decision-

making and a “right to explanation”, augusti 2016, Oxford Internet Institute. Jfr Wachter,

Sandra m.fl. a.a. 42 A.a. s. 13 f. 43 Artikel 13.2.f och14.2.g. 44 Artikel 15.1.h och skäl 63. 45 A.a. s. 24. 46 Se förslag till 5 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, Ny dataskyddslag, prop. 2017/18:105.

När det gäller rätten till information rekommenderar artikel 29gruppen att den personuppgiftsansvarige kan överväga bl.a. visualisering eller ikoner som informerar den enskilde om profilering och automatiserat beslutsfattande. Meningsfull information om logiken som är involverad bör i de flesta fall innebära att den personuppgiftsansvarige tillhandahåller information om vilka kategorier av uppgifter som används i en profil, källan till de uppgiftsmängderna, hur profilen är uppbyggd (inklusive statistik som används i profilen), varför profilen är relevant för den automatiserade beslutsprocessen och hur den används för ett beslut som rör den enskilde.47

När det gäller rätten till tillgång rekommenderar artikel 29-gruppen bl.a. att det generellt sett kommer att vara mer relevant att lämna information om vilka kategorier av uppgifter som har använts eller kommer att användas vid profileringen eller beslutsprocessen och varför dessa tillämpas, än att tillhandahålla en komplex matematisk förklaring om hur algoritmer eller maskininlärning fungerar. Det sistnämnda bör dock också tillhandahållas om det är nödvändigt för att experter närmare ska kunna verifiera hur processen för beslutsfattande fungerar. Personuppgiftsansvariga kan vidare vilja överväga att implementera mekanismer som möjliggör för enskilda att kontrollera sin profil, inklusive detaljer om uppgifter och källor som använts för att utveckla den.48

Övrig dataskyddsreglering

Utöver de bestämmelser som presenterats ovan gäller även de generella reglerna i dataskyddsförordningen vid automatiserat beslutsfattande. Här kan bl.a. nämnas kraven på att behandlingen av personuppgifter ska vara laglig, korrekt och öppen,49 att ändamålsbegränsningar ska beaktas,50 principerna om dataminimering, korrekthet och lagringsminimering,51 att rättslig grund krävs för behandling52 och att laglig

47 Se artikel 29-gruppen, a.a. s. 28. 48 A.a. s. 29. 49 Artikel 5.1.a. 50 Artikel 5.1.b och 6.4. 51 Artikel 5.1.c-e. 52 Artikel 6.1, här framför allt c och e och förslag till 2 kap. 1 och2 §§ lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, prop. 2017/18:105.

behandling av känsliga personuppgifter fordrar särskilt stöd,53 rätten till rättelse, radering och begränsning av behandling,54 rätten att göra invändning mot profilering,55 vikten av att iaktta särskild restriktivitet när det gäller behandling av barns personuppgifter56 och att konsekvensbedömning avseende dataskydd torde krävas vid varje form av automatiserat beslutsfattande, dvs. även när beslutsfattandet är delvis men inte helt automatiserat.57

Regeringen har vidare föreslagit att dataskyddsförordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpningsområde, t.ex. i verksamhet som rör nationell säkerhet.58

Vid sidan av dataskyddsförordningen innehåller EU:s dataskyddsreform ett separat dataskyddsdirektiv som behandlar dataskyddet vid bl.a. brottsbekämpning, lagföring och straffverkställighet.59 Direktivet innehåller reglering av samma eller liknande karaktär som dataskyddsförordningen men är anpassat för den särskilda verksamhet som bedrivs på området för brottsbekämpning och brottmålshantering. Utredningen om 2016 års dataskyddsdirektiv har föreslagit att direktivet i huvudsak ska genomföras i svensk rätt genom en ny ramlag, brottsdatalagen. Lagen kompletteras med en förordning som genomför vissa detaljbestämmelser i direktivet.60 Utredningen har också föreslagit de anpassningar som krävs med anledning av ramlagen i de registerförfattningar som ingår i utredningens uppdrag, bl.a. polisdatalagen (2010:361). De särskilda registerförfattningarna på direktivets område föreslås gälla utöver brottsdatalagen. Det innebär att registerförfattningarna innehåller bestämmelser som är preciseringar, undantag eller avvikelser från bestämmelserna i brottsdata-

53 Artikel 9 och förslag till 3 kap. 1 § lagen med kompletterande bestämmelser till EU:s dataskyddsförordning, a. prop. 54 Artikel 16–18. 55 Artikel 21.1. 56 Skäl 38. 57 Artikel 35.3.a och artikel 29-gruppen, a.a.s. 27. 58 1 kap. 2 § förslag till lag med kompletterande bestämmelser till EU:s dataskyddsförordning, a. prop. 59 Europaparlamentets och rådets direktiv (EU) 2016/680 av den 27 april 2016 om skydd för fysiska personer med avseende på behöriga myndigheters behandling av personuppgifter för att förebygga, förhindra, utreda, avslöja eller lagföra brott eller verkställa straffrättsliga påföljder, och det fria flödet av sådana uppgifter och om upphävande av rådets rambeslut 2008/977/RIF (dataskyddsdirektivet). 60Brottsdatalag (SOU 2017:29).

lagen. Vidare innebär det att bestämmelserna i registerförfattningarna ska läsas tillsammans med regleringen i brottsdatalagen och tolkas i ljuset av denna reglering.61

I dataskyddsdirektivet på det brottsbekämpande området föreskrivs att det ska införas förbud mot automatiserade beslut, såvida inte sådana beslut är tillåtna enligt unionsrätten eller nationell rätt och det är föreskrivet lämpliga skyddsåtgärder för den enskilde.62Skyddsåtgärderna ska åtminstone ge den enskilde rätt till personlig kontakt med någon hos den personuppgiftsansvarige. Skyddsåtgärderna ska vidare innefatta särskild information till den registrerade och rätt till personlig kontakt för att möjliggöra för honom eller henne att framföra synpunkter, att få beslutet förklarat för sig och att överklaga beslutet. Automatiserade beslut får inte grundas på känsliga personuppgifter, om inte lämpliga skyddsåtgärder har vidtagits. Profilering som leder till diskriminering av fysiska personer på grundval av känsliga personuppgifter ska förbjudas.63

Utredningen om 2016 års dataskyddsdirektiv har anfört att det inom ramlagens tillämpningsområde i dag inte förekommer några automatiserade beslut, men att det med teknikutvecklingen inte kan uteslutas att det i framtiden kommer att finnas sådana. Den svenska ramlagen på direktivets område bör enligt utredningen innehålla en bestämmelse om automatiserade beslut eftersom direktivet sätter gränser för sådana beslut. Automatiserade beslut som enbart grundar sig på känsliga personuppgifter bör enligt utredningen förbjudas.64

Våra inledande överväganden

Som framgått ovan har det under lång tid förelegat en rättslig osäkerhet rörande dataskyddsregleringens bestämmelser om automatiserat beslutsfattande. Det är därför välkommet att artikel 29-gruppens vägledning klargör flera frågor inför att dataskyddsförordningen ska börja tillämpas. De rekommendationer som lämnas utöver vägledningen ger också en god bild över personuppgiftsansvarigas praktiska möjligheter att ordna sin personuppgiftsbehandling för att

61Brottsdatalag – kompletterande lagstiftning (SOU 2017:74), s. 328 f. 62 Artikel 11 dataskyddsdirektivet. 63 Skäl 38. 64 2 kap. 19 § förslag till brottsdatalag och SOU 2017:29 s. 287 f.

dels kunna följa förordningens krav, dels kunna visa att man följer dem. De rekommendationer som artikel 29-gruppen har lämnat är emellertid inte rättsligt bindande.

Det kvarstår vidare vissa frågor om hur den särskilda artikeln om automatiserat beslutsfattande ska tillämpas av svensk förvaltning. Det gäller t.ex. frågan om vad som i förordningens mening anses utgöra ett ”beslut”. Vad som utgör beslut enligt dataskyddsförordningen, med dess breda tillämpningsområde, är givetvis inte knutet till svensk förvaltningsrätt. Att i vart fall de slutliga beslut som fattas inom förvaltningen omfattas av begreppet ”beslut” bedömer vi stå klart. Vilka, om några, beslut under handläggningen som omfattas är däremot inte lika givet. Det är med andra ord oklart om förordningens särskilda artikel om automatiserat beslutsfattande ska tillämpas vid t.ex. förfaranden för automatiserat urval eller kontroll, med andra ord profilering, som inte renderar något slutligt beslut i förvaltningsrättslig mening.

Det är också oklart vilken räckvidd förordningens särskilda bestämmelse om automatiserat beslutsfattande har när personuppgifter i och för sig förekommer i samband med ett beslut som är slutligt, men där själva beslutsunderlaget utgörs av annan information än personuppgifter. Det kan t.ex. röra sig om ett beslut om fastighetstaxering som t.ex. innehåller personuppgifter i form av kontaktuppgifter och fastighetsbeteckning, men där uppgifterna som utgör beslutsunderlaget har ingen eller mycket liten koppling till den enskildes (dvs. den registrerades) personliga egenskaper eller förhållanden. Ett sådant, om än slutligt och automatiserat, beslut kan i vart fall inte sägas innefatta någon profilering. Den enskildes insynsintresse i fråga om den bakomliggande logik som har styrt beslutet kan dock vara lika stort oavsett om förordningens bestämmelse ska tillämpas eller inte. Frågan är emellertid om det insynsintresset tillgodoses med stöd av dataskyddsförordningen eller med stöd av annan nationell rätt.

Det finns också anledning att särskilt reflektera över räckvidden i dataskyddsförordningens bestämmelser. En central iakttagelse är att förordningens bestämmelser syftar till att skydda fysiska personers grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. De rättigheter till bl.a. insyn som stipuleras genom bestämmelserna om informationsskyldigheter och rätt till

tillgång till uppgifter tillerkänns därför enbart den eller de registrerade. Förordningen ger med andra ord inte stöd för en bredare insyn i hur förvaltningens verksamhet bedrivs. Möjligheter till insyn i förvaltningens verksamhet för journalistisk granskning, granskning av Riksrevisionen, Riksdagens ombudsmän (JO) och Justitiekanslern liksom allmänhetens möjligheter till insyn följer i stället av nationell rätt.65

Det står också klart att vid processer som inte innefattar behandling av personuppgifter blir förordningen inte tillämplig. Automatiserade förfaranden i förvaltningen som inte innefattar personuppgiftsbehandling kan t.ex. röra förvaltningsbeslut baserade på miljöinformation som varken direkt eller indirekt relaterar till någon enskild person. Inom exempelvis utvecklingsområdet ”smarta städer”66 och samhällsbyggnadsprocessen torde det också komma att aktualiseras att myndigheter i sina automatiserade processer fattar förvaltningsrättsliga beslut baserat på data som inte relaterar till individer eller alls innefattar behandling av personuppgifter. Däremot är även den typ av beslut som rör stadens utformning och funktioner av påtaglig betydelse för utvecklingen av ett hållbart samhälle, och därmed också viktiga för många människor.

En utgångspunkt för utredningen är att den tekniska utvecklingen inom förvaltningen inte får leda till en försvagning av offentlighetsprincipen. Den utgångspunkten bottnar i tidigare gjorda rättspolitiska uttalanden.67 Dataskyddsförordningens stärkta insynsmöjligheter för den enskilde som registrerats inverkar enligt oss inte på den utgångspunkten. Även allmänhetens insyn, dvs. möjligheten för alla och envar att få insyn i myndigheternas verksamhet behöver alltså fortsatt säkerställas och inte vara beroende av tekniken för informationshantering.68

65 Artikel 85 och 86 dataskyddsförordningen. 66 En smart och hållbar stad beskrivs bl.a. på www.smartastader.com vara en innovativ stad som använder informations- och kommunikationstekniker och andra medel för att förbättra livskvaliteten, effektiviteten hos stadsfunktioner och -tjänster och konkurrenskraften, samtidigt som den säkerställer att den uppfyller nuvarande och framtida generationers behov med hänsyn till ekonomiska, sociala och miljömässiga aspekter. 67 Se bl.a. Offentlighets- och sekretesskommitténs delbetänkande Ordning och reda bland

allmänna handlingar (SOU 2002:97), s. 94.

68 Jfr även artikel 86 i dataskyddsförordningen.

7.6.2. Partsinsyn och förvaltningslagen

Partsinsyn

Den som är part i ett mål eller ärende hos en myndighet eller en domstol har en principiell rätt till partsinsyn i förfarandet och rätt att ta del av den information som tillförs målet eller ärendet under handläggningen. Myndigheter är i varierande utsträckning skyldiga att se till att en part får del av sådan information. Generella bestämmelser finns i förvaltningslagen.69 Sekretess hindrar inte insyn från den som är part och som på grund av sin partsställning har rätt att ta del av handlingar och material i målet eller ärendet.70 För att partens möjlighet till insyn enligt denna reglering ska gälla ska det emellertid vara fråga om uppgifter ”i” målet eller ärendet.71 Insynen får bara begränsas under förutsättning att det av hänsyn till allmänt eller enskilt intresse är av synnerlig vikt att en sekretessbelagd uppgift i en handling i målet eller ärendet inte lämnas ut till parten. Sekretess hindrar dock aldrig en part från att ta del av en dom eller ett beslut i målet eller ärendet.

Förvaltningslagen om automatiserade beslut, dokumentation av beslutsunderlag och beslutsmotivering

I förvaltningslagen framgår det uttryckligen att ett beslut kan fattas automatiserat.72 Det explicita författningsstödet är nytt i förhållande till 1986 års förvaltningslag. I propositionen med förslag till ny förvaltningslag konstaterade regeringen att automatiseringen av beslut under senare år kommit att bli en allt vanligare företeelse inom delar av den förvaltning som hanterar ett mycket stort antal ärenden årligen, t.ex. i Försäkringskassans verksamhet. Genom att det i förvaltningslagen slås fast att beslut kan fattas automatiserat tydliggörs att det inte behövs en reglering i en specialförfattning för att en

6910 och 25 §§förvaltningslagen. Se även t.ex. 10 och 12 §§förvaltningsprocesslagen (1971:291) och 45 kap. 9 § rättegångsbalken som innehåller bestämmelser om partsinsyn. 7010 kap. 3 § offentlighets- och sekretesslagen (2009:400). 71 Eva Lenberg m.fl., Offentlighets- och sekretesslagen (12 maj 2017, Zeteo), kommentaren till 10 kap. 3 § offentlighets- och sekretesslagen. 7228 § förvaltningslagen.

myndighet ska kunna använda denna beslutsform. Regeringen anförde vidare att regleringen därmed också skapar bättre förutsättningar för en fortsatt utveckling av den digitala förvaltningen.73

Utöver den nya regleringen om form för beslutsfattande, uppställer förvaltningslagen olika former av dokumentationskrav. Här bör särskilt nämnas kravet på anteckningar och andra typer av dokumentation när en myndighet får uppgifter på något annat sätt än genom en handling, om de kan ha betydelse för ett beslut i ärendet. Det ska framgå av dokumentationen när den har gjorts och av vem.74 Det kan t.ex. vara fråga om information som någon ger muntligt eller som skaffas fram genom undersökningar eller besiktningar av personer, föremål, fastigheter eller miljöer.75

Det ovan beskrivna dokumentationskravet motiveras av att beslutsunderlaget i ett ärende måste vara komplett, identifierbart och lättillgängligt för att möta grundläggande krav på rättssäkerhet och effektivitet. En enskild ska genom att t.ex. använda sin rätt till partsinsyn kunna försäkra sig om att myndigheten inte bara har tagit ställning till allt material som har tillförts ett ärende utan att den också har bevarat det. För myndigheten är det viktigt att ha kontroll över beslutsunderlaget, bl.a. för att den ska kunna fullgöra sin kommunikationsskyldighet. Även utomstående som har bidragit med material måste kunna vara säkra på att materialet tagits om hand på ett korrekt sätt av myndigheten. Tillgång till allt material som har tillförts ett ärende är också en förutsättning för den prövning som en överinstans ska göra med anledning av ett överklagande av ett beslut eller för sådan tillsyn som utövas av t.ex. JO och Justitiekanslern.76

Här bör också nämnas att förvaltningslagen innehåller en bestämmelse med krav på en klargörande motivering av ett beslut som kan antas påverka någons situation på ett inte obetydligt sätt, om det inte är uppenbart obehövligt med sådan motivering.77 Kravet på att en motivering av ett beslut ska vara klargörande innebär att en part ska ges möjlighet att förstå hur myndigheten har resonerat i det enskilda fallet.

73En modern och rättssäker förvaltning - ny förvaltningslag, prop. 2016/17:180, s. 179 f. Se även

Budgetpropositionen för 2018, prop. 2017/18:1 Utgiftsområde 2 s. 94.

7427 § förvaltningslagen. 75Prop. 2016/17:180 s. 314. 76 A. prop. s. 174. 7732 § förvaltningslagen.

Motiveringsskyldigheten innebär att myndigheten måste ange de skäl som har bestämt utgången i ärendet. Skälen måste presenteras på ett sådant sätt att de blir begripliga för den enskilde. Den klargörande motiveringen ska innehålla uppgifter om vilka föreskrifter som har tillämpats och vilka omständigheter som har varit avgörande för myndighetens ställningstagande. I beslutsmotiveringen ska alltså det författningsmässiga stödet för beslutet anges. Kravet på redovisning av omständigheter innebär ett krav på att redovisa vilka fakta som myndigheten har tillmätt betydelse och hur den har värderat dessa.

I förarbetena nämns bl.a. att motiveringsskyldigheten kan begränsas på grund av att motivering ibland är uppenbart obehövligt. Det kan t.ex. gälla när en myndighet meddelar ett beslut som helt tillgodoser den enskildes önskemål på grundval uteslutande av den enskildes egna uppgifter, och det inte finns någon enskild motpart som kan ha ett intresse av att ta del av en motivering för att överväga ett överklagande.78 Vissa ytterligare undantag görs i frågan om när en motivering helt eller delvis får utelämnas, men som huvudregel ska en myndighet ändå kunna ge en motivering i efterhand om någon enskild begär det och det behövs för att han eller hon ska kunna ta till vara sin rätt.79 Att skälen för ett avgörande ska framgå gäller också i dömande verksamhet.80

Våra inledande överväganden

Det saknas förarbetsuttalanden som anger hur bestämmelsen i förvaltningslagen om att beslut kan fattas automatiserat förhåller sig till dataskyddsförordningen. Mot bakgrund av regeringens tydliga avsikt att skapa bättre förutsättningar för en fortsatt utveckling av den digitala förvaltningen bedömer vi dock att det uttalade stödet för automatiserat beslutsfattande i förvaltningslagen som utgångspunkt borde innebära att automatiserat beslutsfattande inom förvaltningen även ska anses tillåtet enligt dataskyddsförordningen.81

78 A. prop. s. 320 f. 79 32 § andra och tredje stycket förvaltningslagen. 80 17 kap. 7 § första stycket 5 och 30 kap. 5 § första stycket 5 rättegångsbalken, 30 § andra stycket förvaltningsprocesslagen och 28 § lagen (1996:242) om domstolsärenden. 81 Här avses förhållandet till artikel 22.2.b i dataskyddsförordningen.

Några särskilda åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen med avseende på just automatiserade beslut har emellertid inte införts i förvaltningslagen.82Förvaltningslagen innehåller dock generellt tillämpliga bestämmelser om bl.a. rätt att lämna uppgifter muntligt i ett ärende, om det inte framstår som obehövligt, och bestämmelser om omprövning samt rätt att överklaga beslut.83 I kapitel 7.9.1 återkommer vi till ytterligare överväganden om på vilket sätt reglering i den materiella rätt som ska tillämpas vid beslutsfattande kan inverka på frågan om det är tillåtet eller lämpligt att beslut fattas automatiserat.

Några ytterligare inledande reflektioner från vår sida är att förvaltningslagen varken kräver att datorprogram (inkluderande algoritmer) som används vid automatiserat beslutsfattande dokumenteras, tillförs beslutsunderlaget i de enskilda förvaltningsärenden där de kommer till användning eller framgår av beslutsmotiveringen. Dessa tillkommer i stället snarast som ett eget lager av funktionalitet mellan å ena sidan de författningar med anknytande källmaterial som tillämpas och å andra sidan det beslutsunderlag i form av fakta som har tillförts ärendet (se beskrivning i kapitel 7.4.2). I linje med detta tillerkänns inte part någon särskild rätt att få insyn i hur myndigheten använder bakomliggande algoritmer med anknytande datorprogram enligt den uttryckliga rätten till partsinsyn (jfr dock kapitel 7.6.3 om handlingsoffentlighet och våra där gjorda överväganden om datorprogram som allmän handling).

Vad som däremot kan utläsas av förvaltningslagen och dess förarbeten är vikten av ordning och reda när det gäller beslutsunderlag i enskilda fall, såväl när det gäller sakliga uppgifter som när det gäller möjlighet att spåra var de kommer ifrån. Detta framgår bl.a. genom en bestämmelse om att det ska framgå vem som har dokumenterat uppgifterna när en myndighet får uppgifter på något annat sätt än genom en handling.84

82 Jfr artikel 22.2.b dataskyddsförordningen. 8324 och 3648 §§förvaltningslagen. 8427 § förvaltningslagen.

7.6.3. Handlingsoffentlighet och arkivlagstiftning

Vad utgör en allmän handling?

I såväl offentlighets- och sekretesslagen som arkivlagen (1990:782) finns regler om att myndigheterna på olika sätt ska registrera och beskriva sina allmänna handlingar.85 Bestämmelsernas syfte är att garantera allmänhetens rätt att få tillgång till allmänna handlingar. För att offentlighetsprincipen praktiskt sett ska kunna fungera på det sätt som är avsett i tryckfrihetsförordningen har det ansetts nödvändigt att myndigheterna håller sina allmänna handlingar registrerade eller i vart fall så ordnade att det går att konstatera vilka allmänna handlingar som finns.86

Vad som är allmän handling framgår av 2 kap. tryckfrihetsförordningen.

Med handling förstås framställning i skrift eller bild samt upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas endast med tekniskt hjälpmedel.87 Framställningar i skrift eller bild utgör handlingar i traditionell bemärkelse, dvs. framställningar som kan uppfattas visuellt utan tekniska hjälpmedel. Det är alltså fråga om alla former av pappersbaserade skriftliga uppteckningar, t.ex. tabeller, blanketter och protokoll, men även kartor, ritningar och olika slags bilder t.ex. fotografier eller röntgenbilder. En upptagning innebär att informationen i en framställning inte kan uppfattas eller förstås utan tekniskt hjälpmedel.

Handlingen är allmän, om den förvaras hos en myndighet och är inkommen till eller upprättad hos myndigheten.88 Termen förvaras har i tryckfrihetsförordningens bemärkelse en betydelse som skiljer sig från ordets innebörd enligt vanligt språkbruk. Utgångspunkten är att handlingen ska finnas inom myndighetens lokaler, men exempelvis en handling i form av ett färdigt dokument som finns i en tjänstemans förvar utanför myndighetens väggar anses även den förvarad av myndigheten. För upptagningar gäller att de endast anses

85 Se särskilt 4 kap. 2 § och 5 kap. 1 §offentlighets- och sekretesslagen, 6 § 2 arkivlagen, 6 kap. 5 § RA-FS 2008:4 och 5 kap. RA-FS 2009:1. 86 Avsnittet bygger i stor utsträckning på Alf Bohlin, Offentlighetsprincipen, Norstedt Juridik, 2015, Tsunamibanden (SOU 2007:44), s. 83 f. och Ordning och reda bland allmänna

handlingar (SOU 2002:97), s. 57 f.

872 kap. 3 § första stycket tryckfrihetsförordningen. Observera att ändringar i bl.a. 2 kap. tryckfrihetsförordningen föreslås i Ändrade mediegrundlagar, prop. 2017/18:49. Ändringarna innebär bl.a. ändrade beteckningar på lagrum. 882 kap. 6 § och 2 kap. 7 § första styckettryckfrihetsförordningen.

förvarade av en myndighet om upptagningen är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas. För sammanställning av uppgifter ur en upptagning för automatiserad behandling, där upptagningen utgör allmän handling, gäller därutöver inskränkningen att sammanställningen endast anses förvarad hos myndigheten om myndigheten kan göra den tillgänglig med rutinbetonade åtgärder.89

Genom formuleringen av sistnämnda inskränkning har lagstiftaren uttryckt att en så kallad färdig elektronisk handling anses förvarad hos myndigheten oavsett om den kan tas fram med rutinbetonade åtgärder eller om det krävs mer omfattande åtgärder. Med uttrycket färdig elektronisk handling avses sådana elektroniska handlingar där utställaren, myndigheten eller den som lämnat in handlingen till myndigheten, har gett dem ett bestämt, fixerat, innehåll som går att återskapa gång på gång. Som typiska exempel på sådana handlingar kan, förutom e-postmeddelanden, nämnas promemorior och protokoll i elektronisk form.

I förarbetena till lagändringen90 anförde regeringen att det inte var tillfredsställande att en sådan handling skulle anses förvarad hos en myndighet endast om den kunde tas fram med rutinbetonade åtgärder. Det skulle i praktiken innebära att det kunde finnas färdiga elektroniska handlingar hos myndigheterna som inte rättsligt sett ansågs förvarade, och därför inte ansågs vara allmänna, därför att myndigheterna organiserat sina datasystem på sådant sätt att det inte gick att återfinna handlingen med rutinbetonade åtgärder. Detta ansågs av regeringen oacceptabelt från offentlighetssynpunkt. Om en färdig elektronisk handling ska anses förvarad hos en myndighet eller inte bör enligt förarbetsuttalandet i stället avgöras utifrån om den rent faktiskt är tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar, oavsett om det krävs endast rutinbetonade åtgärder för att ta fram den eller mer omfattande insatser från myndighetens sida.

892 kap. 3 § andra stycket tryckfrihetsförordningen. Ytterligare en begränsning gäller för en elektronisk sammanställning innehållande personuppgifter, dvs. all slags information som direkt eller indirekt kan hänföras till en fysisk person. En sådan sammanställning anses inte alls förvarad hos myndigheten om myndigheten saknar befogenhet enligt lag eller förordning att göra den tillgänglig (2 kap. 3 § tredje stycket tryckfrihetsförordningen). 90Offentlighetsprincipen och informationstekniken, prop. 2001/02:70, s. 18 f.

Sammanställningar av uppgifter ur dataregister, som inte av utställaren getts en bestämd, fixerad form som kan återskapas gång på gång, är i stället ett typexempel på vad som inte brukar omfattas av begreppet färdiga elektroniska handlingar. Skyldigheten för myndigheter att tillhandahålla sådana sammanställningar bör enligt samma förarbetsuttalande även i fortsättningen begränsas utifrån vad som är möjligt att åstadkomma med rutinbetonade åtgärder.

För att en handling som anses förvarad hos en myndighet ska vara allmän fordras som nämnts att den antingen har inkommit till myndigheten eller upprättats där. En handling anses inkommen till en myndighet när den har anlänt till myndigheten eller kommit behörig befattningshavare till handa. I fråga om en upptagning gäller i stället att den anses inkommen när annan har gjort den tillgänglig för myndigheten på sätt som innebär att myndigheten kan ta del av den med tekniskt hjälpmedel.91 Handlingar som utväxlas inom samma myndighet anses inte inkomna till myndigheten, om inte avsändande respektive mottagande organ utgörs av olika verksamhetsgrenar inom myndigheten och kan anses självständiga i förhållande till varandra.92

Även termen upprättad har i tryckfrihetsförordningen fått en innebörd som avviker något från vanligt språkbruk. En handling anses enligt tryckfrihetsförordningen upprättad först när den antingen expedierats eller när det ärende till vilket den hänför sig har slutbehandlats hos myndigheten. Hör inte handlingen till något visst ärende, anses den upprättad när den har justerats av myndigheten eller på annat sätt färdigställts.93 Innan sådana handlingar föreligger i sitt definitiva skick utgör de alltså myndighetsinternt material. För diarier, journaler och sådana register eller andra förteckningar som förs löpande gäller däremot att de anses upprättade redan när de har färdigställts för anteckning eller införing.94 Gemensamt för dessa handlingar är därför att de blir allmänna på ett mycket tidigt stadium, under förutsättning att de också anses förvarade hos myndigheten. E-postloggar har t.ex. ansetts vara sådana handlingar som utgör denna typ av register.95

912 kap. 6 § tryckfrihetsförordningen. 922 kap. 8 § tryckfrihetsförordningen. 932 kap. 7 § första stycket tryckfrihetsförordningen. 94 2 kap. 7 § andra stycket 1 tryckfrihetsförordningen. 95RÅ 1998 ref.44.

Det förtjänar att kort nämnas att det även för allmänna handlingar gäller begränsningar i insynsrätten. Uppgifter i allmänna handlingar kan omfattas av sekretess, vilket innebär att de inte är offentliga i denna del.

Våra inledande överväganden

Den ovan redovisade presentationen gör inte anspråk på att vara fullständig men kan förhoppningsvis tjäna som en illustration av den typ av komplicerade rättsliga överväganden som måste göras för att avgöra om, och i så fall när, ett visst elektroniskt material är att anse som allmän handling eller inte. Något slutligt och för hela förvaltningen i alla situationer allmängiltigt ställningstagande i t.ex. frågan om datorprograms (inkluderande algoritmers) offentligrättsliga status kan därför inte presenteras. Ett datorprogram som tagits i bruk inom en myndighet måste dock anses utgöra en upprättad handling, som är att anse som allmän om det också förvaras hos myndigheten.96

Gränsdragningen mellan vad som är en färdig elektronisk handling respektive en sammanställning är emellertid många gånger problematisk. Det gäller vare sig det rör sig om sakliga uppgifter (data) eller beståndsdelar i ett program såsom en algoritm. Sannolikt skulle en algoritm i något fall kunna anses ha fått en bestämd, fixerad form av utställaren och därmed anses utgöra en färdig allmän handling i sig. I andra fall skulle en algoritm som beskrivs i programkod kunna vara att anse som en osjälvständig del av programmet, som därmed endast vid förfrågan skulle kunna bli aktuell att sammanställa som en allmän handling under förutsättning att det är möjligt att åstadkomma med rutinbetonade åtgärder.

Till det anförda måste läggas en särskild problematik som uppstår med tolkning och tillämpning av termen förvarad när en myndighet anlitar en utomstående leverantör. Avtalen med tjänsteleverantören om vad som ska finnas tillgängligt för en myndighet, i kombination med faktiska tekniska förutsättningar, synes kunna få avgörande betydelse för frågan om vad som ska anses utgöra allmän handling vid utkontraktering.97

96 Jfr RÅ 2004 ref. 74. 97 Jfr t.ex. kammarrättens dom av den 27 november 2013 i mål nr 2823-13, i fråga om uppgifter som en myndighet inte, enligt kontraktet, hade rätt att få tillgång till.

Sammantaget kan det konstateras att det fortfarande finns besvärliga definitionsproblem vad gäller handlingsoffentligheten i digitala miljöer, inte minst vad gäller datorprograms mindre beståndsdelar.98Rätten att ta del av allmän handling ger emellertid enligt vår bedömning inte en heltäckande möjlighet till insyn i förvaltningens verksamhet när datorprogram, inbegripet algoritmer, används vid automatiserade förfaranden.

Offentlighets- och sekretesslagen om beskrivning och registrering av allmänna handlingar

I såväl offentlighets- och sekretesslagen som arkivlagen finns flera regler om att myndigheterna på olika sätt ska registrera och beskriva sina allmänna handlingar.99

Allmänna handlingar ska som huvudregel enligt offentlighets- och sekretesslagen registreras så snart de har kommit in till eller upprättats hos en myndighet.100 Skyldigheten att registrera allmänna handlingar är inte ovillkorlig. Om det inte gäller sekretess för uppgifter i de allmänna handlingarna får en myndighet i stället för registrering välja att hålla handlingarna så ordnade att det utan svårighet kan fastställas om en handling har kommit in eller upprättats. En ovillkorlig registreringsskyldighet omfattar därmed bara de handlingar som det gäller sekretess för.

När elektroniska handlingar skapas i tekniska system finns det normalt olika former av automatiserade funktioner, t.ex. loggar, eller kataloger, för att kunna finna handlingarna. Beroende på om de automatiserade funktionerna skapar register som uppfyller kraven i offentlighets- och sekretesslagen kan dessa funktioner vara tillräckliga också för att uppfylla registreringskraven.101 De uppgifter som ska framgå av registreringen är datum då handlingen102 kom in eller upprättades, diarienummer eller annan beteckning handlingen

98 Se motsvarande slutsats i SOU 2007:44 och jfr t.ex. SOU 1997:39. 99 Se särskilt 4 kap. 2 § och 5 kap. 1 §offentlighets- och sekretesslagen, 6 § 2 arkivlagen, 6 kap. 5 § RA-FS 2008:4, 5 kap. RA-FS 2009:1. 1005 kap. 1 § första stycket offentlighets- och sekretesslagen. 101 Eva Lenberg m.fl., a.a., kommentaren till 5 kap. 1 § offentlighets- och sekretesslagen. 102 Här synes i digitala miljöer fortfarande avses färdiga elektroniska handlingar, vår anmärkning. Jfr SOU 1997:39.

fått vid registreringen, i förekommande fall uppgifter om handlingens avsändare eller mottagare och i korthet vad handlingen rör. Uppgifter om avsändare eller mottagare och i korthet vad handlingen rör ska utelämnas eller särskiljas om det behövs för att registret i övriga delar ska kunna hållas tillgängligt för allmänheten.103

Här bör även nämnas att Datalagskommittén år 1997 lämnade ett förslag till bestämmelse om skyldighet för myndigheter att hålla systemdokumentation tillgänglig för allmänheten. Systemdokumentationen skulle beskriva hur sådana program som fattar automatiserade beslut är konstruerade. Bestämmelsen borde enligt förslaget införas i dåvarande sekretesslagen (1980:100) där övriga regler om myndigheternas skyldigheter att registrera och dokumentera fanns. Myndigheterna borde däremot inte åläggas en skyldighet att lämna ut datorprogram i elektronisk form, särskilt med beaktande av säkerhetsaspekter och upphovsrätt.104 Utredningens föreslog att den aktuella bestämmelsen skulle ha följande lydelse.

Systemdokumentation

12 § En myndighet som i sin myndighetsutövning använder tekniska hjälpmedel för att fatta automatiserade beslut skall hålla systemdokumentation tillgänglig för allmänheten. Av dokumentationen skall framgå

1. ändamålet med systemet,

2. vilka uppgifter som används i systemet,

3. varifrån och hur de uppgifter som används i systemet hämtas,

4. hur aktuella rättsregler har omvandlats till logiska regler i systemet,

5. vem som hos myndigheten kan lämna närmare upplysningar om hur systemet fungerar. Dokumentationen får dock inte innehålla upplysningar som kan leda till att sekretessbelagda uppgifter om systemet röjs.

Förslaget har inte lett till lagstiftning.

Dokumentation enligt arkivlagen

Även arkivregleringen innehåller krav på dokumentation.105 Riksarkivets föreskrifter innebär relativt detaljerade dokumentationskrav vad gäller elektroniska handlingar. Med elektronisk handling

1035 kap. 2 § offentlighets- och sekretesslagen. 104SOU 1997:39 s. 569 f. 105 Se särskilt 2 § arkivlagen, 6 kap. 5 § RA-FS 2008:4 och 5 kap. RA-FS 2009:1.

avses i Riksarkivets föreskrifter en upptagning för automatiserad behandling i enlighet med 2 kap. 3 § tryckfrihetsförordningen.

En myndighet ska enligt Riksarkivets föreskrifter bl.a. dokumentera sina elektroniska handlingar för att handlingarna ska kunna framställas, överföras, hanteras, förvaras och vårdas på ett tillfredsställande sätt under den tid som de ska bevaras.106 Dokumentationens disposition, omfattning och detaljnivå ska anpassas till den typ av elektroniska handlingar som avses. Om det krävs för förståelsen ska dokumentationen förses med innehållsförteckning, läsanvisning samt beskrivning av den eller de metoder som har använts vid framtagning av dokumentation. Dokumentationen ska fortlöpande kompletteras och hållas aktuell. Sambanden mellan elektroniska handlingar och dokumentation ska upprätthållas över tid.107

Dokumentationen ska bl.a. innehålla en översiktlig beskrivning, redogörelse för informationsinnehåll, redogörelse för indata och utdata, redogörelse för registrerings- och uttagsmöjligheter, beskrivning av relationer mellan olika delar, beskrivning över hur koder och förkortningar har använts, beskrivning av rutiner och funktioner, beskrivning av lagrade data såsom struktur, samband och definitioner, redogörelse för ändringar, redogörelse för informationskvalitet, redogörelse för användningen av standarder samt i förekommande fall avvikelser från standarder, dokumentation av strategi för bevarande, dokumentation av test och utvärdering vid driftsättning, dokumentation rörande informationssäkerhet och dokumentation rörande den gallring som sker av elektroniska handlingar. 108

Våra inledande överväganden

Vi noterar inledningsvis att såväl offentlighets- och sekretesslagens krav på beskrivning och registrering som arkivlagstiftningens krav på dokumentation, här främst redovisat genom en kort redogörelse av Riksarkivets föreskrifter, hänför sig till allmän handling som utgångspunkt för det som ska registreras respektive dokumenteras. De svårigheter som vi ovan redogjort för vad gäller att avgöra den offentligrättsliga statusen för sammanställningar av uppgifter ur

106 5 kap. 1 § RA-FS 2009:1. 107 5 kap. 2och3 §§ RA-FS 2009:1. 108 5 kap. 4 § RA-FS 2009:1.

elektroniska handlingar i digital miljö blir därmed av betydelse även i fråga om dessa registrerings- och dokumentationsskyldigheter. Det föreligger alltså fortfarande en rättslig osäkerhet med avseende på vad som utgör en allmän handling när det gäller datorprogram och i än högre grad när det gäller dess mindre beståndsdelar i form av algoritmer.

Som framgått ovan kan algoritmer eller datorprogram i vissa fall utgöra färdiga elektroniska handlingar, som träffas av befintliga krav på registrering eller dokumentation enligt offentlighets- och sekretesslagen eller arkivregleringen. I andra fall kan en algoritm som beskrivs i programkod kunna vara att anse som en osjälvständig del av programmet, som därmed endast vid förfrågan skulle kunna bli aktuell att sammanställa som en allmän handling (under förutsättning att det är möjligt att åstadkomma med rutinbetonade åtgärder). De sistnämnda algoritmerna träffas inte direkt av de befintliga registrerings- och dokumentationskraven. Kraven kan nämligen inte förstås på annat sätt än att de enbart träffar färdiga elektroniska handlingar. Som ovan framgått förstärks också problematiken när det är fråga om algoritmer eller anknytande datorprogram som tillhandahålls av utomstående leverantörer.

Till detta bör läggas att Riksarkivets föreskrifter inte är direkt bindande i förhållande till kommuners hantering av allmänna handlingar.109 Under kartläggningen har det därtill blivit känt för oss att föreskrifterna som rör arkiv inte heller alltid beaktas från början när ett nytt it-system eller datorprogram tas i bruk, trots de olägenheter som uppstår när frågor om möjligheter till långtidsbevarande inte omhändertas redan när ett nytt system planeras.

7.6.4. Offentlighets- och sekretesslagen om beslutsunderlag

Dokumentation av beslutsunderlag

I 4 kap. 3 § offentlighets- och sekretesslagen finns en särskild bestämmelse om dokumentation av beslutsunderlag som tillkom i mitten på 1970-talet. Den anger att om en myndighet för handläggning av ett mål eller ärende använder sig av en upptagning för automatiserad behandling, ska upptagningen tillföras handlingarna i

109 Samverkan äger dock rum mellan Riksarkivet, Sveriges Kommuner och Landsting (SKL) kommuner och landsting, bl.a. genom samrådsgruppen för kommunala arkivfrågor.

målet eller ärendet i läsbar form, om det inte finns särskilda skäl mot det. Bestämmelsen innebär med andra ord en huvudregel om skyldighet att överföra uppgifter som en myndighet hämtar från t.ex. ett visst register till handlingarna i det enskilda målet eller ärendet. Regeln tar även sikte på sådana upptagningar som inte innefattar upplysning om enskild person. Som skäl för bestämmelsen anfördes att man inte i efterhand kan göra klart för sig vilka uppgifter som påverkade beslutet i ett mål eller ärende om inte alla uppgifter som hade betydelse för avgörandet ingår i akten. Det angavs vidare att eftersom ADB-register110 ofta ändras kontinuerligt, kunde deras innehåll vid viss tidpunkt vara svårt att fastställa. Bestämmelsens betydelse för att tillgodose offentlighetsprincipen framhölls också i förarbetena till densamma.111

Efter att ursprungligen varit placerad i dåvarande datalagen (1973:289) har bestämmelsen flyttats till den tidigare sekretesslagen och överförts till den nuvarande offentlighets- och sekretesslagen.112

Redan när den aktuella bestämmelsen infördes pekade flera remissinstanser på ekonomiska konsekvenser och att åtskilligt av vinsterna med nya datasystem skulle gå förlorat om myndigheterna tvingades överföra informationsmängder till akter (som då var pappersbaserade). Av det skälet infördes möjligheten till undantag. Det ankommer på myndigheten själv att avgöra i vilka fall man bör kunna underlåta att överföra en upptagning till handlingarna i målet eller ärendet i läsbar form. Det krävs dock att särskilda skäl föreligger. Som exempel på sådana skäl angavs i förarbetena att upptagningen finns lätt tillgänglig, t.ex. via bildskärm. Departementschefen förtydligade också att bestämmelsen endast avser upptagning som används i mål eller ärende. Till denna kategori borde normalt inte räknas exempelvis framställning av statistikprodukt.113

Förarbeten till 1986 års förvaltningslag hänvisar till den aktuella bestämmelsen. Där anges också att bestämmelsen ska tillämpas framför förvaltningslagens paragraf om skyldighet att dokumentera

110 ADB står för automatiserad/automatisk databehandling. 111 Se bl.a. Kungl. Maj:ts proposition med förslag till ändringar i tryckfrihetsförordningen,

m.m.,prop. 1973:33,s. 141.

112Personuppgiftslag, prop. 1997/98:44 s. 112 och Offentlighets- och sekretesslag, prop. 2008/09:150, s. 365. 113Prop. 1973:33 s. 141 f. Se även prop. 1997/98:44 s. 112 f. och prop. 2008/09:150 s. 365, där formuleringen ”upptagning för automatiserad behandling” valdes i stället för begreppet ”ADB-register” som ansågs föråldrat.

information om uppgifter som en myndighet får på annat sätt än genom en handling och som kan ha betydelse för utgången i ärendet.114

Våra inledande överväganden

Den särskilda bestämmelsen i offentlighets- och sekretesslagen om överföring av upptagning för automatiserad behandling i läsbar form i vissa fall har i stor utsträckning lämnats oförändrad sedan dess tillkomst i mitten på 1970-talet. Den förändring i lydelse som gjordes vid ikraftträdande av offentlighets- och sekretesslagen, när termen ADB-register utmönstrades till förmån för lydelsen upptagning för automatiserad behandling, kan i någon mån ha grumlat betydelsen av bestämmelsen eftersom det inte framgår lika tydligt att bestämmelsen syftar till att träffa situationer när information hämtas eller läses från andra register eller databaser.

Under senare tid har sammanlänkningen av databaser och andra delar av it-system inom förvaltningen i allt högre grad ökat, liksom nyttorna med att använda stora datamängder (med en annan term ”Big Data”) till underlag för beslut och för framtagande av t.ex. beslutsstöd för delvis automatiserat beslutsfattande. Detta och den allt mer samordnade informationsförsörjningen inom förvaltningen gör att bestämmelsen enligt vår bedömning fortfarande är högst relevant.115

Undantagsmöjligheten från kravet på att beslutsunderlag ska tillföras målet eller ärendet motiverades ursprungligen av kostnadsskäl med avseende på kostnader för att ta fram och bevara pappershandlingar i ärendeakter över uppgifter från olika datoriserade register. Kostnadsaspekten är enligt vår bedömning fortfarande av vikt vid val av hur uppgifter (data) bör lagras i förvaltningen. I nutid gäller det särskilt frågan om kostnader för att lagra stora volymer i varje enskilt ärende jämförd med kostnaden för lagring vid en central källa. Samtidigt behöver även bl.a. informationssäkerhetsaspekter beaktas vid val av lagringsplats. Behovet av att använda bestämmel-

114 Regeringens proposition 1985/86:80 om ny förvaltningslag, s. 66. 115 Tidigare har bestämmelsens relevans i förhållande till dokumentationsskyldighet enligt förvaltningslagen m.fl. författningar ifrågasatts, se bl.a. Elektronisk dokumenthantering (SOU 1996:40) s. 262 f.

sens undantagsmöjligheter för att undvika lagring av samma uppgifter på flera håll inom en myndighet eller i förvaltningen torde emellertid enligt vår bedömning snarare öka än minska. Fortfarande behöver det dock, särskilt av rättssäkerhetsskäl men också av allmänt insynsintresse, finnas möjligheter till insyn i de uppgifter som relaterar till ett enskilt mål eller ärende. Vi ser därför ett behov av att göra en närmare analys avseende om, och i förekommande fall hur, möjligheten till insyn i beslutsunderlaget i enskilda mål eller ärenden behöver klargöras eller stärkas.

7.7. God offentlighetsstruktur för insyn i förvaltningens ärendehantering

7.7.1. Behövs ny eller anpassad reglering?

Utredningens bedömning: En anpassning bör göras i den reg-

lering som säkerställer insynsmöjligheter när vissa automatiserade förfaranden används. Det gäller regler som säkerställer möjligheter till insyn dels i hur den digitala förvaltningen använder vissa algoritmer eller datorprogram vid mål- eller ärendehantering, dels i underlaget i enskilda mål eller ärenden.

En sådan anpassning undanröjer en rättslig osäkerhet som nu hindrar eller hämmar digitaliseringen samtidigt som offentlighetsprincipen säkerställs och rättssäkerheten stärks.

Skälen för utredningens bedömning

Insyn i den digitala förvaltningens verksamhet

Vår utgångspunkt är att graden av digitalisering och automation i förvaltningen ökar för att möta framtida samhällsutmaningar och för att upprätthålla en förvaltning som är trygg, innovativ och effektiv även i fortsättningen. För att tilliten till den digitala förvaltningen ska bestå vid en ökad grad av automation är det emellertid avgörande att möjligheter till öppenhet och insyn även i fortsättningen kan säkerställas.

En första fråga att ta ställning till är om insynsmöjligheterna förändras när manuella förfaranden automatiseras, och i sådant fall på vilket sätt.

Även vid automatiserade förfaranden gäller bestämmelserna i bl.a. förvaltningslagen som kräver att en myndighet måste ange de skäl som har bestämt utgången i ett enskilt ärende och att skälen måste presenteras på ett sådant sätt att de blir begripliga för den enskilde.116 Det kan hävdas att det oavsett teknik är detta resultat av myndigheternas regeltillämpning som är det viktiga, och att det är denna regeltillämpning som allmänheten med stöd av offentlighetsprincipen behöver kunna få insyn i och kontrollera. Det finns inte heller någon särskild mekanism för insyn för att kontrollera hur ett manuellt framställt beslut har tillkommit annat än i den mån det framgår av beslutsmotiveringen. De rutiner och hjälpverktyg som den enskilde tjänstemannen i övrigt använder vid regeltillämpning är t.ex. sällan föremål för allmänhetens insyn.117

Vid en manuell handläggning kan emellertid frågor ställas i efterhand till ansvarig tjänsteman, t.ex. vid tillsyn och myndigheters interna egenkontroller. Det är också möjligt att kontrollera t.ex. vilken utbildning den ansvarige beslutsfattaren har haft eller i övrigt vilka förutsättningar som förelåg när tjänstemannen fattade beslutet. För att säkerställa, och också visa, att inga ovillkorliga hänsyn tas i samband med mänskligt beslutsfattande finns också flertalet bestämmelser om jäv.118

I den mån datorprogram som används vid myndigheters automatiserade förfaranden innehåller felkonstruktioner vilket leder till felaktiga resultat skulle det kunna hävdas att de befintliga rättssäkerhetsgarantierna där oriktiga beslut kan angripas på vanligt sätt, t.ex. genom överklagande, fortfarande är tillräckliga. Under kartläggningen har vi emellertid fått exempel på fall där det visat sig svårt att i efterhand dels alls upptäcka, dels tränga in i och närmare kontrollera dessa felaktigheter. Det behöver vara möjligt för den enskilde som berörs av ett visst beslut, för tillsynsmyndigheter, journalister eller andra intressenter hos allmänheten och inte minst för myndighetens egen personal att finna eventuella brister i de

11632 § förvaltningslagen och prop. 2016/17:180. Se även 17 kap. 7 § första stycket 5 och 30 kap. 5 § första stycket 5 rättegångsbalken, 30 § andra stycket förvaltningsprocesslagen och 28 § lagen om domstolsärenden. 117 Se motsvarande resonemang i SOU 1997:39 s. 567. 118 Se t.ex. 1618 §§förvaltningslagen.

algoritmer eller anknytande datorprogram som används. Annars blir de formella möjligheterna att angripa fel genom överklagande av beslut kraftigt kringskurna.

Förvaltningens automationsåtgärder föranleder alltså vissa förändringar i möjligheten till insyn som behöver adresseras och belysas ur ett rättsligt perspektiv för att säkerställa fortsatt rättssäkra förfaranden.

Av våra inledande överväganden i kapitel 7.6 framgår sammanfattningsvis att den rätt till insyn i bl.a. logiken bakom ett automatiserat förfarande som föreskrivs i dataskyddsförordningen inte är heltäckande, vare sig när det gäller att tillgodose insynsintressen i enskilda ärenden eller allmänhetens generella insynsintressen. Den särskilda rätt till partsinsyn som följer av bl.a. förvaltningslagen ger inte heller rätt till insyn i de datorprogram (inklusive algoritmer) som används vid helt eller delvis automatiserat beslutsförfarande, eller särskilt upprättade krav- eller designdokument i den utsträckning sådana har tagits fram inom myndigheten.

Rättsläget är vidare i viss utsträckning oklart när det gäller den offentligrättsliga statusen för datorprogram och i än högre grad när det gäller dess beståndsdelar i form av framför allt algoritmer. Bedömningen av vad som utgör allmän handling i digital miljö får samtidigt helt avgörande betydelse för de nu gällande registrerings- och dokumentationsskyldigheterna som förvaltningen har att fullgöra i syfte att möjliggöra allmänhetens insyn. Särskilt när det är fråga om algoritmer eller anknytande datorprogram som tillhandahålls av utomstående leverantörer ger nuvarande rättsliga förutsättningar enligt vår bedömning inte fullgoda möjligheter till insyn för att följa förvaltningens verksamhet. För flera myndigheter behövs samtidigt samverkan med privata aktörer, vare sig det rör inköp eller utkontraktering, för att kunna ta tillvara digitaliseringens möjligheter eftersom vissa funktioner kräver specialistkompetens som inte varje myndighet kan sörja för på egen hand.

Den rättsliga osäkerhet gällande insynen i den allt mer automatiserade förvaltningen som beskrivits för oss under kartläggningen, och som vi i kapitel 7.1.2 bedömt ha en hämmande inverkan på förvaltningens fortsatta digitalisering med avseende på automationsåtgärder har sammanfattningsvis fog för sig även efter en analys av gällande rätt.

Därtill kan det enligt vår bedömning finnas skäl att stärka skyddet för enskilda genom att fastställa lämpliga skyddsåtgärder i nationell rätt på det sätt som föreskrivs i dataskyddsförordningen om automatiserat beslutsfattande. Våra ställningstaganden och förslag i det följande ska alltså också ses i förhållande till dataskyddsförordningens reglering om lämpliga åtgärder till skydd för enskilda.119

Sekretess

Det bör framhållas att det inte sällan kommer i fråga att någon form av sekretess gäller för myndigheters algoritmer eller datorprogram, liksom för särskild dokumentation kring framtagande av dessa i den mån sådana dokument skulle vara att anse som allmänna handlingar.

Det kan röra sig om sekretess för uppgifter som skulle kunna missbrukas om de blev allmänt kända, t.ex. uppgifter som ska hållas hemliga med hänsyn till myndighetens verksamhet för inspektion, kontroll eller annan tillsyn.120 Om en algoritm eller ett datorprogram som utgör allmän handling innehåller uppgifter som avslöjar de kontrollmetoder som myndigheten använder, t.ex. vilka uppgifter som jämförs för att kontrollera skattskyldiga eller hur urvalet av bidragsberättigade som ska granskas görs, kan den aktuella sekretessbestämmelsen vara tillämplig.

Det kan också röra sig om sekretess för uppgifter som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser system för automatiserad behandling av information.121 Även annan sekretessreglering kan aktualiseras.

Det förhållandet att sekretess kan gälla för algoritmer eller datorprogram inverkar emellertid inte på behovet av att upprätthålla god offentlighetsstruktur till gagn för en grundläggande möjlighet till insyn i förvaltningens förfaranden. Tvärtom gäller ovillkorliga krav på registrering av allmänna handlingar som omfattas av sekretess122med hänsyn till den särskilda vikten av att sådana handlingar hålls ordnade hos myndigheterna. Att sekretess kan gälla för de algoritmer eller datorprogram som vi nu närmare analyserar, stärker därför

119 Artikel 22.2.b dataskyddsförordningen, se även våra inledande överväganden i kapitel 7.6.2. 12017 kap. 1 § offentlighets- och sekretesslagen. 121 18 kap. 8 § 3 offentlighets- och sekretesslagen. 1225 kap. 1 § tredje stycket offentlighets- och sekretesslagen.

snarare än försvagar behovet av god offentlighetsstruktur. En sådan god struktur bidrar också till goda möjligheter för tillsyn och egenkontroll, särskilt i de situationer när allmänhetens möjligheter till insyn begränsas av sekretess.

Immaterialrätt

De immaterialrättsliga förutsättningar som kan finnas, framför allt i fråga om upphovsrätt för datorprogram, behöver också tas i beaktande vid överväganden om vilka möjligheter till insyn som finns och ska finnas i en digital förvaltning.

Upphovsmannens och rättighetsinnehavarens intressen skyddas av upphovsrättslagstiftningen och andra lagar som ansluter till upphovsrättens område.123 Upphovsrättsligt skydd förhindrar normalt sett inte ett utlämnande av allmänna handlingar.124 Utlämnandet betyder dock inte att den som tar del av handlingen kan vidareutnyttja den fritt, t.ex. tillgängliggöra handlingen på webben eller sälja kopior av handlingen, eftersom upphovsrätten kvarstår efter ett utlämnande. I offentlighets- och sekretesslagen finns vidare sekretessreglering som träffar uppgift i ett upphovsrättsligt skyddat verk som inte kan antas sakna kommersiellt intresse.125 De förslag som utredningen lämnar behöver därför stå i god balans med intresset av att värna även det immaterialrättsliga skyddet. Den balansen diskuteras i kapitel 11.4.3 om it-avtal, där också bl.a. lagen (1990:409) om skydd för företagshemligheter uppmärksammas.126

Myndigheters ansvar och möjligheter till egenkontroll

Som framgått i kapitel 7.5.2 följer också nya risker med modern teknik. Om brister i insynsmöjligheter består samtidigt som förvaltningen tar ett tekniksprång finns en påtaglig risk för att fel i bakomliggande funktioner inte alls uppmärksammas. Några situationer där felaktigheter visat sig förekomma i samband med automatiserade

1231 kap. 8 § tryckfrihetsförordningen. 12426 b § upphovsrättslagen (1960:729). 12531 kap. 23 § offentlighets- och sekretesslagen. 126 Regeringen har i lagrådsremiss En ny lag om företagshemligheter av den 8 februari 2018 föreslagit ny lagstiftning.

förfaranden har också beskrivits för oss under kartläggningen.127Samtidigt har vi förstått att det inte alltid varit möjligt för en myndighet att på egen hand kontrollera fel i bakomliggande beräkningar, på grund av att myndigheten inte haft tillgång till det datorprogram som använts eller för egen del haft tillräcklig möjlighet till insyn i den bakomliggande funktionaliteten. Det kan t.ex. ha berott på att myndigheten inte ställt särskilda krav i förhållande till leverantörer på att viss insynsmöjlighet ska finnas (se även kapitel 11.4.3 om it-avtal).

Vad som anförts ovan om bristande möjligheter för myndigheter att för egen del kunna ta del av hur de algoritmer eller datorprogram som används i verksamheten fungerar aktualiserar frågan om hur en myndighet kan säkerställa att ansvar kan tas för ärendehandläggning och beslutsfattande vid automatiserade förfaranden. Det gäller särskilt i de fall algoritmer med anknytande datorprogram som används tillhandahålls av annan.

Ytterligare en av de frågor som har lyfts för oss under kartläggningen är vem på myndigheten som kan eller bör anges som ansvarig för beslut som fattats automatiserat. Ytterst är myndighetschefen ansvarig för den verksamhet som bedrivs vid myndigheten. Men de ovan nämnda frågeställningarna visar på vikten av att det i myndigheten finns en tydlig, och i förhållande till enskilda och allmänhet, transparent fördelning avseende vem som har att ta ställning till om, och på vilket sätt, automatiserade förfaranden ska införas och hur de ska utformas. Den ansvarige vid myndigheten, ytterst myndighetschefen om delegation inte framgår av arbetsordning eller på annat sätt, behöver därförsäkerställa att det kommer att finnas tillräckliga möjligheter till insyn i den funktionalitet som ligger bakom automatiserade förfaranden så att det är möjligt att utöva ansvaret för den verksamhet som bedrivs och de beslut som fattas.

Här bör också nämnas att ansvarsfrågor rörande ökat automatiserat beslutsfattande i förvaltningen kan komma att angränsa till regeringsformens krav på att en förvaltningsuppgift som innefattar myndighetsutövning endast får överlämnas åt kommuner, andra juridiska personer och enskilda individer med stöd av lag.128 Detta utgör också ett skäl till varför myndigheter för egen del behöver ha förmåga att fullgöra sitt eget ansvar och inte passera gränsen för vad

127 Se t.ex. förvaltningsrätten i Uppsalas dom av den 28 juni 2017 i mål nr 1333-17. 12812 kap. 4 § regeringsformen.

som utan särskilt författningsstöd är tillåtet att överlämna till en utomstående aktör.

Utöver allmänhetens intresse av insyn i förvaltningens verksamhet kan mot den beskrivna bakgrunden också läggas intresset av att verksamhetsansvariga har fullgoda möjligheter att ta ansvar för den verksamhet som bedrivs, och de beslut som fattas, också genom automatiserade förfaranden. Vad som här diskuteras om behov av anpassad reglering för att säkerställa förmåga att ge tillräcklig insyn i den digitala förvaltningen bör därför även ses i ljuset av att skapa goda förutsättningar för förvaltningens egenkontroll och ansvarstagande vid automatiserade förfaranden, särskilt med ny teknik i åtanke.

Författningsändringar eller andra alternativ

Inför fortsatta ställningstaganden har vi övervägt om den rättsliga analys som ovan beskrivits i sig skulle kunna bidra till att myndigheter säkerställer insyn i den digitala förvaltningens verksamhet genom att bl.a. ställa krav på utomstående leverantörer och avtala om insynsmöjligheter. Kan med andra ord tillräckligt god offentlighetsstruktur och möjligheter till insyn i den digitala förvaltningen åstadkommas, utan att någon ny reglering föreslås vid sidan av den som gäller enligt t.ex. dataskyddsförordningen till skydd för den registrerade?

Det finns flera situationer där en sådan god offentlighetsstruktur med insynsmöjligheter behövs, under förutsättning att det inte gäller sekretess. Behovet gör sig gällande i alla typer av utvecklingsarbeten, vid helt myndighetsinterna sådana såväl som vid myndighetssamverkan. Behovet visar sig också vid inköp eller utkontraktering av olika slag. Det gör sig vidare gällande i såväl enskilda ärenden, som mer generellt när det gäller den bakomliggande funktionaliteten vid automatiserade förfaranden. Vi bedömer det dock sammantaget som osannolikt att krav som inte härrör från författning alltid skulle prioriteras i utvecklingsarbeten, vid inköp eller utkontraktering, särskilt inte om de i något fall kan komma att medföra kostnadsökningar utan att genast ge verksamhetsnytta.

Under kartläggningen har vi också, å ena sidan, fått kännedom om att i vart fall delar av förvaltningen nu intar en försiktig hållning

och avvaktar med automationsåtgärder givet det oklara rättsläget. Detta även efter de ändringar i förvaltningslagen om automatiserat beslutsfattande som genomförts i syfte att underlätta förvaltningens fortsatta digitalisering. Här märks med andra ord en vilja att juridiska överväganden och fortsatt lagstiftningsarbete ska gå före innan nya automatiserade förfaranden sjösätts. De hittillsvarande diskussionerna om automatiserat beslutsfattande var rättsenligt utan uttryckligt författningsstöd har också visat på att förekomsten av rättslig osäkerhet kan hindra eller fördröja en digital utveckling inom förvaltningen, på ett sätt som nu i efterhand har visat sig onödigt när förvaltningslagen ändrats och ger ett generellt stöd åt den automatiserade beslutsformen.

Å andra sidan ser vi också en risk för att andra incitament eller styrmedel än rättsregler snabbt kan driva utvecklingen i offentlig verksamhet vidare. En faktor som talar för detta är det tekniksprång som nu äger rum, bl.a. genom AI-system med maskininlärda algoritmer som har annan funktionalitet än de traditionellt programmerade algoritmerna. Om det inte står klart att grundläggande krav på god offentlighetsstruktur och möjlighet till insyn i verksamheten kan tillgodoses vid automation i förvaltningen samtidigt som t.ex. effektivitetsskäl driver utvecklingen snabbt framåt, finns risker för att nya funktioner byggs som i efterhand visar sig svåra eller kostsamma att ändra om rättsliga problem framkommer först efter hand.

Enligt vår bedömning bör inte grundläggande frågor om garantier för allmänhetens insyn och rättssäkra förfaranden vid förvaltningens automation lämnas åt enskilda rättstillämpare vid respektive myndighet att hantera. I linje med vad regeringen tidigare anfört129behöver förvaltningen från offentlighetssynpunkt garantera i vart fall förmåga att tillhandahålla viss information om bakomliggande funktionalitet vid automatiserade förfaranden. Särskilt när nu sådana förfaranden blir av allt större betydelse för förvaltningens verksamhet och ärendehandläggning.

Enligt vår bedömning är tiden mogen för att genom en proaktiv reglering ge ledning genom tydliga rättsregler som följer det konstitutionella förfarandet. På det sättet drivs utvecklingen framåt samtidigt som det undviks att funktioner och förfaranden tas fram som senare visar sig inte gå att förena med centrala rättsliga värden,

129Prop. 2001/02:70 s. 18 f.

med onödiga kostnader och väsentliga risker för såväl det allmänna som enskilda som följd.

Frågan om anpassning av regleringen om god offentlighetsstruktur för att ge möjlighet till insyn bör prioriteras. Den har potential att stödja den fortsatta digitaliseringen av den offentliga förvaltningen som helhet, genom att undanröja en rättslig osäkerhet som hindrar eller hämmar digitaliseringen samtidigt som offentlighetsprincipen säkerställs och rättssäkerheten stärks.

Varje myndighet som överväger att öka graden av automation i sin verksamhet behöver också överväga nyttan med åtgärden. På en övergripande nivå bedömer vi dock att en ny reglering som klargör vissa frågor om god offentlighetsstruktur för säkerställande av insynsmöjligheter också medför goda möjligheter till såväl effektivitetssprång i förvaltningens verksamhet som innovation i samhället i stort. Bland de områden som enligt vår bedömning kommer att präglas av en ökad grad av automation i framtiden, och som kommer att gagnas av den rättsliga tydlighet som här diskuteras, kan nämnas effektiva kontroller av utbetalningar i välfärdssystemen.

Det finns som beskrivits ovan en god rättslig struktur att utgå från när det gäller reglering som säkerställer insyn i hur förvaltningens verksamhet bedrivs. Vi ser inte anledning att frångå den strukturen eller göra några större eller genomgripande förändringar i regleringen. En anpassning bör dock göras i den reglering som säkerställer insynsmöjligheter när vissa automatiserade förfaranden används. Det gäller för det första, och som här ovan främst har berörts, möjligheterna till insyn i hur den digitala förvaltningen använder vissa algoritmer med anknytande datorprogram vid mål- eller ärendehandläggning. Det gäller för det andra även insynsmöjligheter i underlaget i enskilda mål eller ärenden.

7.7.2. Förmåga att ge insyn i vissa automatiserade förfaranden

Utredningens förslag: Det ska regleras i författning att en

myndighet ska se till att information kan lämnas om hur myndigheten vid handläggning av mål eller ärenden använder algoritmer eller datorprogram som, helt eller delvis, påverkar utfallet eller beslutet vid automatiserade urval eller beslut.

Skälen för utredningens förslag

Stärkt förmåga att ge insyn

Som framgått av de ovan redovisade bedömningarna (se kapitel 7.6 och 7.7.1) har allmänheten inte någon generell rätt eller möjlighet att få reda på hur förvaltningen använder algoritmer eller anknytande datorprogram. I stora delar av förvaltningen kanske det hittills inte heller har varit särskilt relevant att undersöka dessa funktioner närmare. Från offentlighetssynpunkt är det givetvis inte intressant hur ett ord- och textbehandlingsprogram eller ett registreringsprogram är funktionellt uppbyggt. Där är det normalt endast själva texten eller siffrorna som behandlas, eller med andra ord de sakliga uppgifterna som hanteras, som är intressanta att få insyn i. Det intresset tillgodoses också i gällande rätt.

Enligt vår bedömning är det främst av intresse att nu säkerställa att myndigheter kan lämna information om hur de vid handläggning av mål eller ärenden använder vissa algoritmer eller datorprogram som närmast ersätter mänskliga handläggare vid bedömningar i samband med ärendehantering (se vidare nedan för närmare avgränsning av vilka algoritmer eller datorprogram som avses). Ett sådant säkerställande av offentlighetsprincipen och förstärkning av rättssäkerhetsgarantierna i den digitala förvaltningen bedömer vi vara ett rättsligt fundament för att förvaltningen nu ska kunna ta effektivitetssprånget mot en ökad automation, och också kunna dra nytta av ny teknik som t.ex. AI-system med maskininlärda algoritmer. Det handlar med andra ord om att förvaltningen även i fortsättningen ska ha förmåga att kunna svara på frågor om hur verksamheten bedrivs, också när den inte längre sköts av mänskliga handläggare som själva kan svara på frågorna.

Intresset av att stärka förmågan att kunna ge insyn i hur förvaltningen använder sig av algoritmer med anknytande datorprogram gäller i och för sig redan för traditionellt programmerade algoritmer och datorprogram, där programutvecklaren har omvandlat rättsliga regler till logiska formler i programmet och i det sammanhanget varit tvungen att tolka vissa av reglerna.130 Det kan i dagsläget vara fråga om algoritmer eller datorprogram som t.ex. räknar ut skatter eller avgifter, eller som räknar ut hur mycket pengar en bidragsberättigad

130 Se Magnusson Sjöberg, Cecilia, a.a., s. 35.

person har rätt att få. Att proaktivt väga in detta intresse när användande av ny teknik övervägs i förvaltningen, samtidigt som en ökad grad av verksamheten kan förutspås bli automatiserad, är dock enligt oss ett än tyngre vägande skäl varför tiden nu är mogen för den reglering som diskuteras i detta kapitel.

I det föregående och nedan resoneras också om att förhållandet till dataskyddsförordningens reglering om automatiserade beslut är ett ytterligare skäl för utredningens förslag.

God offentlighetsstruktur genom förmåga att ge insyn i vissa automatiserade förfaranden

Intresset av att kunna kontrollera och få insyn i myndigheternas verksamhet även när den automatiseras motiverar enligt oss att allmänheten som utgångspunkt ska ha möjlighet att få svar på frågor om hur viss verksamhet vid myndigheterna bedrivs när den sköts av algoritmer eller datorprogram. Intresset av att kunna kontrollera och få insyn gör sig gällande även beträffande sådana algoritmer eller datorprogram som enligt gällande rätt inte skulle anses utgöra allmän handling. Det kunde därför vara aktuellt att undersöka ändringar i grundlagens reglering om handlingsoffentlighet för att säkerställa att algoritmer eller datorprogram som används vid vissa automatiserade förfaranden kommer att kunna granskas av allmänheten.

Det ligger emellertid inte inom ramen för vårt uppdrag att föreslå grundlagsändring. En grundlagsändring tar därtill särskild tid att genomföra, och vår bedömning är att den komplettering av gällande rätt som vi nu undersöker bör åstadkommas i närtid. En ändring i grundlagen bedöms inte heller vara nödvändig för att åstadkomma den goda offentlighetsstruktur som kan säkerställa att myndigheter förmår ge nödvändig insyn för granskning även av automatiserade förfaranden.

Även om utgångspunkten är att allmänheten ska ges insyn i förvaltningens verksamhet, kommer vidare som framgått ovan sekretess inte sällan att gälla för dessa algoritmer eller datorprogram liksom för särskild dokumentation kring framtagande av dessa i den mån det skulle vara fråga om allmän handling. Behovet av att åstadkomma god offentlighetsstruktur stärks emellertid snarare än minskar när det också finns intressen av slutenhet (se kapitel 7.7.1

om sekretess och upphovsrätt). I sammanhanget bör det även beaktas att de algoritmer eller datorprogram som vi nu diskuterar normalt kommer att vara komplexa och inte i första hand enkla för var och en ur allmänheten att sätta sig in i och förstå.

Den förmåga att även i fortsättningen säkerställa möjligheter till granskning och insyn i förvaltningens verksamhet som vi strävar efter att åstadkomma behöver därför enligt vår bedömning i viss utsträckning kunna kompletteras av en myndighets egenkontroll av de automatiserade förfarandena, av revision, tillsyn eller andra former av utomstående kontroll eller andra åtgärder för att kunna visa allmänheten att förfarandena är rättssäkra även när det inte är möjligt för var och en att ta del av själva algoritmerna eller programmen. Vi återkommer till den frågan i kapitel 7.8.3 när det särskilt gäller AI-system.

Vilka automatiserade förfaranden avses?

De algoritmer eller datorprogram som är särskilt intressanta ur insynssynpunkt är i första hand de som används vid helt automatiserat beslutsfattande, dvs. beslut som fattas helt utan mänsklig inblandning. Algoritmer eller datorprogram som lämnar förslag till beslut, så kallade beslutsstöd eller delvis automatiserade beslut, kommer emellertid såvitt vi bedömer att få en allt ökande betydelse i den digitala förvaltningen. Gränsdragningen mellan vad som kommer att anses som helt automatiserade förfaranden och sådant beslutsfattande som fattas av människor med understöd av datorgenererade förslag kommer inte att vara helt skarp. Enligt vår bedömning finns det också ett intresse av att säkerställa förmåga till insyn i de beslutsstöd som kommer att ligga till grund för beslutsfattande.

Det har inte legat inom ramen för denna utredning att kartlägga i vilken omfattning förvaltningen tillämpar särskilda automatiska förfaranden för urval och kontroll som t.ex. syftar till att i förväg bedöma vilken sannolikhet det finns för att en individ ska agera felaktigt. Här analyseras inte heller närmare hur sådana kontroller kan utföras på ett effektivt sätt utan att stå i konflikt med grundläggande bestämmelser om diskrimineringsförbudet i regeringsformen och om integritetsskydd i dataskyddsförordningen och i de

registerförfattningar som är aktuella.131 Vi ser dock behov av att också de algoritmer eller datorprogram som används vid den typen av urval, oavsett om det resulterar i något förvaltningsrättsligt beslut eller inte, omfattas av de här diskuterade möjligheterna att ge insyn.

Vi bedömer sammanfattningsvis att intresset av att myndigheter fortsatt ska säkerställa en förmåga att kunna lämna information om hur verksamheten bedrivs, även när den automatiseras, är särskilt angeläget vid handläggning av mål eller ärenden när myndigheter använder algoritmer eller datorprogram som påverkar automatiserade urval eller beslut.

Ett krav på funktion snarare än viss dokumentation

Den centrala frågan i sammanhanget är hur god offentlighetsstruktur kan åstadkommas som säkerställer grundläggande insynsmöjligheter, vilka i sin tur skapar tillit till den digitala förvaltningen vid de ovan beskrivna automatiserade förfarandena.

Vi ser inte behov av att i detalj reglera nya administrativa rutiner om vilken dokumentation som krävs för att tillgodose intressen av insyn i myndigheternas verksamhet när automatiserade förfaranden används. En sådan ansats skulle riskera att bli allt för administrativt betungande för myndigheterna. Det skulle vidare kunna bli kostsamt i onödan om krav på ingående dokumentation måste fullgöras och om detaljeringsgraden inte är anpassad för den enskilda situationen. Risken finns också att en detaljerad reglering om dokumentation i förlängningen inte visar sig gå i takt med teknikutvecklingen, på ett sätt som gör att det övergripande syftet med regleringen i form av att fortsatt upprätthålla goda insynsmöjligheter inte heller uppnås.

Det finns snarare behov av att säkerställa att en myndighet alltid har förmåga att kunna redogöra för hur den vid handläggning av mål eller ärenden använder vissa algoritmer eller datorprogram som är av avgörande betydelse, än behov av en viss specifik dokumentation i sig. Till skillnad från det förslag som lämnades av Datalagskommittén i Integritet Offentlighet Informationsteknik132 ser vi alltså inte anledning att föreslå någon generell bestämmelse som ålägger

131 Jfr förslagen i Integritetskommitténs slutbetänkande Så stärker vi den personliga integriteten (SOU 2017:52), s. 142 f. 132SOU 1997:39.

myndigheterna att ta fram och hålla viss specifik systemdokumentation tillgänglig. Vi inriktar oss i stället på att myndigheter även när förfaranden automatiseras ska ha fortsatt förmåga att kunna ge insyn i verksamheten. Det handlar alltså snarare om att en sådan funktion ska upprätthållas, än att viss dokumentation måste finnas.

Med beaktande av det ovan anförda bör det regleras att myndigheter alltid ska se till att ha förmåga att, på förfrågan, kunna lämna information om hur de vid handläggning av mål eller ärenden använder aktuella algoritmer med anknytande datorprogram. En sådan förmåga och funktion måste kunna krävas av den digitala förvaltningen för att säkerställa tilliten till automatiserade förfaranden. Vi föreslår därför att det ska komma till klart uttryck i författning att myndigheter ska kunna lämna sådan information om någon frågar efter den.

Regleringen bör dock inte utformas som ett mer vidsträckt krav än nödvändigt. Det är tillräckligt att en myndighet ser till att ha eller skaffar sig förmåga att kunna lämna övergripande redogörelser för hur de algoritmer med anknytande datorprogram som omfattas av den nya regleringen används av myndigheten vid frågor från t.ex. allmänheten. Samtidigt bör även här understrykas att sekretess kan hindra att myndigheten alls svarar på allmänhetens frågor som rör användningen av algoritmer eller datorprogram. I de situationerna är det tillräckligt att myndigheten innehar förmåga att lämna information för att kunna svara t.ex. tillsynsmyndigheter eller i samband med att myndigheten utövar egenkontroll avseende de aktuella algoritmerna eller datorprogrammen.

Sammanfattningsvis föreslår vi alltså att det i författning bör framgå att en myndighet ska se till att information kan lämnas om hur myndigheten vid handläggning av mål eller ärenden använder algoritmer eller datorprogram som, helt eller delvis, påverkar utfallet vid automatiserade urval eller beslutet vid automatiserade beslut.

Vårt förslag omfattar såväl algoritmer eller datorprogram som är att anse som allmänna handlingar, som sådana som annars inte utgör allmän handling. Vi föreslår inga ytterligare ändringar av gällande rätt i fråga om dokumentation genom beskrivning och registrering av allmänna handlingar (se kapitel 7.6.3), varför dessa bestämmelser alltjämt ska tillämpas i de fall algoritmer eller datorprogram utgör allmän handling.

Närmare om förslagets innebörd

I de fall en myndighet själv utvecklar eller handhar driften av de algoritmer med anknytande datorprogram som här avses kommer myndigheten normalt sett, genom sina tjänstemän, också ha förmåga att kunna redogöra för hur dessa används i myndighetens verksamhet. Om utomstående leverantörer anlitas kan det emellertid behöva ställas särskilda krav i förhållande till dessa, så att myndigheten får den information som behövs för att i sin tur ha förmåga att kunna redogöra för hur myndigheten använder algoritmerna eller datorprogrammen i sin verksamhet. Se också vidare i kapitel 11 i fråga om praktiskt stöd i bl.a. denna fråga när it-avtal tecknas.

En myndighets information bör vidare kunna vara mer eller mindre detaljerad, beroende på den aktuella situationen. En övergripande beskrivning av hur de algoritmer med anknytande datorprogram som omfattas av regleringen används av myndigheten ska emellertid alltid kunna lämnas. I de fall varken sekretess eller immaterialrättsliga förhållanden uppställer hinder kan därtill t.ex. programkoden med fördel hållas öppen (s.k. öppen källkod), till gagn för såväl insyn som de innovationsmöjligheter detta kan föra med sig. Vårt förslag innebär dock inte någon rättighet för allmänheten att ta del av programkod. I andra fall kan det röra sig om att de tekniska designdokument som tagits fram i samband med implementeringen av algoritmer och datorprogram också kan fungera som underlag när myndigheten fullgör den nu diskuterade bestämmelsen om förmåga att kunna lämna information. Detsamma gäller dokumentation som tagits fram för att möta offentlighets- och sekretesslagens eller arkivlagens bestämmelser om beskrivning eller registrering av allmän handling, i de fall algoritmer eller datorprogram anses utgöra sådan. Något absolut krav på att ta fram särskilda designdokument eller annan dokumentation är det dock inte fråga om, varför förslaget inte bedöms kunna hamna i konflikt med tillämpningen av agila metoder för utvecklingsarbete. Även affärsmässiga överväganden kan påverka på vilket sätt en myndighet väljer att fullgöra den nu aktuella förmågan att ge insyn i hur myndigheten använder algoritmer med anknytande datorprogram som tillhandahålls av utomstående leverantörer (se vidare kapitel 11.4.3 om it-avtal).

Det bör mot den beskrivna bakgrunden enligt vår mening lämnas åt tillämparen att närmare avgöra hur långtgående information som

bör kunna lämnas om användningen av en viss algoritm eller anknytande datorprogram. På så sätt riskeras inte heller att den reglering vi föreslår kommer i konflikt med upphovsrätt eller andra immateriella rättigheter, eller skapar konkurrensmässiga nackdelar eller onödiga hinder mot utkontraktering. På det sättet kan det också säkerställas att kravet på att kunna ge information i varje särskild situation balanseras mot exempelvis krav på säker slutenhet som kan föreligga av t.ex. sekretesskäl.

Förmågan att kunna lämna information om hur myndigheten använder algoritmer eller datorprogram vid mål- eller ärendehandläggning bör emellertid inte ses så snävt som att det alltid handlar om att kunna redogöra för den exakta tekniska utformningen av algoritmer eller datorprogram som sådana. I flera fall torde det vara av större eller lika stort värde att inneha förmåga att kunna svara på frågor om t.ex. vilka kategorier av indata som används vid det automatiserade förfarandet. Är det uppgifter som hämtats från enskilda, från internetbaserade källor, från databaser på annat håll inom förvaltningen eller från sensorer utplacerade i en viss stad? Detta för oss också vidare till frågan om vikten av att säkerställa möjligheten till insyn i beslutsunderlag i enskilda ärenden, se kapitel 7.7.3.

Syftet med den nu föreslagna författningsregleringen är att stärka den goda offentlighetsstrukturen vid myndigheternas användning av vissa automatiserade förfaranden. Behovet bottnar i att beslutsfattande och urvalsförfaranden i ökad grad sker helt eller delvis automatiserat med stöd av nya tekniker i stället för av mänskliga handläggare som själva kan svara på frågor om hur verksamheten bedrivs. För att uppnå det syftet krävs dock inte enligt oss att det införs några nya förfaranden med t.ex. möjlighet till domstolsprövning.

Förhållande till dataskyddsregleringen

I den utsträckning en myndighet använder algoritmer med anknytande datorprogram vid automatiserat individuellt beslutsfattande, inbegripet profilering, som omfattas av dataskyddsförordningen, utgör den av oss föreslagna regleringen om förmåga att kunna lämna information också en lämplig åtgärd till skydd för den registrerades

rättigheter, friheter och berättigade intressen.133 Vårt förslag tillkommer därför som en ytterligare säkerhetsåtgärd i förhållande till de allmänna rättssäkerhetsgarantierna som anges i t.ex. förvaltningslagen, vilket enligt vår bedömning stärker förvaltningens generella förutsättningar att använda sig av den automatiserade beslutsformen vid beslutsfattande. Se dock även överväganden i kapitel 7.9.1 om gällande rätt med materiella bestämmelser, om eventuella ytterligare behov av säkerhetsåtgärder i vissa fall.

7.7.3. Insyn i beslutsunderlaget i enskilda ärenden

Utredningens förslag: Uppgifter som utgör underlag i ett mål

eller ärende ska som huvudregel tillföras handlingarna i det målet eller ärendet, även när underlaget kommer från databaser eller andra digitala källor. En myndighet behöver dock inte tillföra underlaget till handlingarna i målet eller ärendet om det finns särskilda skäl mot det.

När en myndighet inte tillför underlaget till det enskilda målet eller ärendet ska myndigheten se till att information kan lämnas om vilken eller vilka databaser eller andra digitala källor som innehåller ett underlag för handläggningen av målet eller ärendet.

Skälen för utredningens förslag

Huvudregel om att underlag tillförs det enskilda målet eller ärendet

Vår utgångspunkt är att det finns anledning att hålla fast vid huvudregeln i 4 kap. 3 § offentlighets- och sekretesslagen om att uppgifter som utgör underlag i ett mål eller ärende ska tillföras handlingarna i det målet eller ärendet, även när underlaget kommer från olika databaser eller andra digitala källor,

t.ex.

filer eller sensorsystem, via

automatiserade förfaranden. Detta torde fortfarande normalt krävas för att myndigheten ska kunna bereda part insyn i utredningsmaterialet enligt 25 § förvaltningslagen. Regleringen i 4 kap. 3 § offentlighets- och sekretesslagen är vidare inte begränsad till att ge part insyn utan avser att säkerställa en allmän insynsmöjlighet i det

133 Artikel 22.1 och 22.2 b dataskyddsförordningen.

underlag som ligger till grund för myndigheters mål- och ärendehandläggning.

När huvudregeln tillämpas är det enligt oss inte aktuellt att överväga några ytterligare klargöranden avseende hur det ska vara möjligt att spåra uppgifternas härkomst, utan det bör också i fortsättningen anses tillräckligt att de sakliga uppgifter som utgör beslutsunderlag tillförs akten, som kan vara digital, i det mål eller ärende som handläggs.

Möjlighet till undantag

Huvudregeln bör enligt vår bedömning även fortsättningsvis kunna frångås om det finns särskilda skäl mot att tillföra underlag till handlingarna i målet eller ärendet i läsbar form. Som ett sådant särskilt skäl bör alltjämt kunna räknas att det finns andra tekniska möjligheter som gör att underlaget finns tillgängligt, så att exempelvis part kan se eller få tillgång till uppgifterna utan att en dubblett lagras i det enskilda ärendet.134

I tidigare förarbetsuttalanden har det uttalats att åtskilligt av vinsterna med nya datasystem skulle gå förlorade om myndigheterna skulle tvingas till en betydande och dyrbar hantering av kopior, då i pappersform. Argumentet gör sig fortfarande gällande, varför möjligheten till undantag också fortfarande behöver kunna användas om alternativet vore att myndigheterna skulle vållas betydande kostnader för dubbel elektronisk lagring av uppgifter.135

Behovet av att använda undantagsmöjligheten torde komma att öka i linje med att graden av inhämtande av beslutsunderlag från digitala källor kan förutses öka.136 Strävan går i flera avseenden mot att förenkla för enskilda så att dessa inte själva ska behöva fylla i och tillhandahålla alla uppgifter som behövs för att pröva en ansökan eller anmälan, utan i högre grad ges service genom att uppgifter samlas in från andra källor och presenteras digitalt på ett sätt som också underlättar för det fortsatta automatiserade förfarandet vid

134 Jfr prop. 1973:33 s.143. Se i detta sammanhang även våra bedömningar i kapitel 8.3.7 och 12.2.4 om att det, i samband med utarbetande av nya former för informationsförsörjning inom förvaltningen, finns skäl för att vissa grundläggande uppgifter inte ska behöva kommuniceras med enskilda enligt 25 § förvaltningslagen i varje enskilt ärende. 135 Se a. prop. s. 141 f. 136 Jfr dock även vad som angetts i kapitel 7.6.4 om behovet av att överväga lagringsplatser även utifrån t.ex. informations- och cybersäkerhetsintressen.

ärendehandläggning och beslutsfattande. I vissa ärenden torde det dessutom bli allt vanligare med stora datamängder som beslutsunderlag, t.ex. när det gäller geografisk information eller miljöinformation. Användande av ny teknik med möjlighet till hantering av stora datamängder får inte leda till onödiga kostnader för dubbel lagring av information.

Spårbarhet till beslutsunderlag

Vi ser inte anledning att frångå den bedömning som regeringen tidigare gjort om att den nu aktuella bestämmelsen i offentlighets- och sekretesslagen har företräde framför förvaltningslagens krav på dokumentation av beslutsunderlag.137 Konsekvensen blir emellertid att det enligt gällande rätt inte följer några uttryckliga krav på att kunna härleda beslutsunderlag från upptagningar för automatiserad behandling som inte tillförs det enskilda målet eller ärendet.

Även när underlag från en sådan upptagning som här avses inte tillförs dokumentationen i det enskilda målet eller ärendet behöver en myndighet alltid kunna redogöra för var beslutsunderlaget finns, för att rättssäkra förfaranden och insyn i handläggningen av mål och ärenden ska kunna garanteras. Det bör därför enligt vår bedömning framgå klart i författning att myndigheter ska kunna upprätthålla spårbarhet till ett beslutsunderlag. Vi föreslår för tydlighets skull att detta kommer till uttryck genom ett tillägg till befintlig reglering som anger att myndigheten i den aktuella situationen ska se till att information kan lämnas om vilken eller vilka databaser eller andra digitala källor, t.ex. sensorer, filer eller andra lagringsplatser, som innehåller ett underlag för handläggningen av målet eller ärendet. Vi föreslår också att det görs språkliga justeringar i nuvarande 4 kap. 3 § offentlighets- och sekretesslagen för att förtydliga att det är just möjligheterna till insyn i underlag i mål eller ärenden som behöver säkerställas.

Den förändring som vi föreslår bör enligt vår bedömning även fungera som en god grund för fortsatta överväganden om en modernisering av informationsförsörjningen i den digitala förvaltningen, där uppgifter i högre utsträckning kan lämnas en gång och återanvändas inom förvaltningen.

137 Se prop. 1985/86:80 s. 66.

Vi ser inte anledning att föreslå några detaljerade eller betungande krav om på vilket sätt myndigheter ska säkerställa spårbarhet till beslutsunderlag, utan bedömer att det lämpligen även i fortsättningen bör lämnas till tillämpande myndigheter att bestämma formerna för hur förmågan att spåra ett beslutsunderlag ska upprätthållas. Det finns också anledning att även här påminna om att uppgifter om vilken eller vilka databaser eller andra digitala källor som innehåller ett underlag för handläggningen av målet eller ärendet, kan omfattas av sekretess. I sådant fall ska information inte lämnas, även om myndigheten har förmågan att göra det.

Förhållande till dataskyddsregleringen

Den nu aktuella bestämmelsen i 4 kap. 3 § offentlighets- och sekretesslagen är inte begränsad till upptagningar för behandling av personuppgifter. Dataskyddsförordningen innehåller emellertid också reglering som rör rätten för den enskilde att få information om bl.a. varifrån personuppgifter kommer, och i förekommande fall om de har sitt ursprung i allmänt tillgängliga källor, i de fall uppgifterna inte har erhållits från den registrerade.138 Den information som lämnas innan en personuppgiftsbehandling påbörjas bör omfatta uppgift om bl.a. vilken eller vilka databaser eller andra källor som kommer att användas. Givetvis går det inte att i förväg informera om utfallet av själva informationssökningen och huruvida denna har lett till beslutsunderlag i det enskilda fallet eller inte. En registrerad kan emellertid med stöd av rätten till tillgång i efterhand begära att få tillgång till sådan information.139

I viss utsträckning kommer rätten till information och rätten till tillgång enligt dataskyddsförordningen och det säkerställande av insynsmöjligheter som vi nu föreslår att bli överlappande i förhållande till varandra. Vår utgångspunkt är emellertid behovet av att

138 Artikel 14.2 f. 139 Artikel 15.1 g och h. Motsvarande bestämmelse i personuppgiftslagen (26 §) är begränsad genom att en registrerad enbart har rätt att få information efter ansökan en gång per kalenderår. Dataskyddsförordningen innehåller ingen direkt motsvarande begränsning men en personuppgiftsansvarig kan, om en begäran är uppenbart ogrundad eller orimlig, särskilt på grund av dess repetitiva art, ta ut en rimlig avgift för att tillhandahålla informationen eller vägra tillmötesgå begäran. Enligt 5 kap. 3 § förslaget till ny lag med kompletterande bestämmelser till EU:s dataskyddsförordning får regeringen meddela föreskrifter om ytterligare begränsningar av vissa rättigheter och skyldigheter enligt artikel 23 i dataskyddsförordningen, se prop. 2017/18:105.

säkerställa allmänhetens möjlighet till insyn i myndigheters beslutsunderlag, oavsett om det är personuppgifter som behandlas i ett visst beslutsunderlag eller inte, och inte enbart en rätt till insyn för en enskild registrerad.

Om det i någon situation skulle bli aktuellt att med stöd av den nu aktuella bestämmelsen i offentlighets- och sekretesslagen låta bli att tillföra uppgifter till den enskilda akten vid automatiserat individuellt beslutsfattande, inbegripet profilering, kan det säkerställande av möjligheter till insyn som vi föreslår också utgöra en lämplig åtgärd till skydd för den registrerades rättigheter, friheter och berättigade intressen.140 Möjligheten att låta bli att tillföra beslutsunderlag till akten i enskilda mål eller ärenden kommer emellertid såvitt vi nu kan bedöma i högre grad att aktualiseras i andra typer av ärenden, t.ex. där stora datamängder används som beslutsunderlag såsom exempelvis i plan- och byggprocesser.

Rensning, arkivering, gallring eller bevarande av uppgifter vid källan

Det ligger i sakens natur att det via den spårbarhet som här är aktuell ska vara möjligt att få tillgång till beslutsunderlaget i den databas eller annan digital källa som har legat till grund för ärendehandläggningen. Detta aktualiserar i sin tur frågor om förutsättningar för rensning, arkivering, gallring eller bevarande av uppgifter vid källan.141

Under kartläggningen har flera aktörer tagit upp frågor som avser vikten av att vid myndighetssamverkan som rör informationsförsörjning också träffa överenskommelser om arkivansvar för att säkerställa att de uppgifter som är tillgängliga för flera myndigheter och som behöver bevaras inte endast momentant finns tillgängligt för insyn. Flera har också belyst svårigheterna med att i tillräcklig grad uppmärksamma dessa frågor vid utvecklingsarbeten.

Regeringen har nyligen gett en särskild utredare i uppdrag att göra en bred översyn av arkivområdet.142 Det övergripande syftet med utredningen är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden. Utredaren ska bl.a. översiktligt

140 Artikel 22.1 och 22.2 b dataskyddsförordningen. 141 För gällande rätt om arkivering, se särskilt 3 § första stycket andra meningen arkivlagen och 4 § arkivförordningen (1991:446). 142Översyn av arkivområdet (dir. 2017:106).

beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner. Utredaren ska också se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området. Med beaktande av arbetet i den nämnda utredningen finner vi inte anledning att här gå djupare i analyser eller författningsförslag som avser rensning, arkivering, gallring eller bevarande av beslutsunderlag, utan stannar vid att påtala vikten av att även dessa frågor får sin lösning.

7.7.4. Placering och tillämpningsområde

Utredningens förslag: De föreslagna bestämmelserna som rör

god offentlighetsstruktur för insyn i förvaltningens ärendehantering vid vissa automatiserade förfaranden ska placeras i offentlighets- och sekretesslagen och följa den lagens tillämpningsområde.

Skälen för utredningens förslag: Den för förvaltningen gemen-

samma regleringen om god offentlighetsstruktur finns företrädesvis i offentlighets- och sekretesslagen. Det är också i den lagen som den nu gällande 4 kap. 3 § om överföring av beslutsunderlag till akten i det enskilda målet eller ärendet finns.

Vi har övervägt om det borde skapas en särskild lag för att där bl.a. införa de bestämmelser om god offentlighetsstruktur vid vissa automatiserade förfaranden som föreslagits i detta kapitel. Vi har dock stannat vid att regler om god offentlighetsstruktur i den digitala förvaltningen bör hållas samlade med de regler som redan gäller. Vi föreslår därför att den nya bestämmelsen om god offentlighetsstruktur genom förmåga att ge insyn vid vissa automatiserade förfaranden införs i offentlighets- och sekretesslagen och att 4 kap. 3 § i samma lag anpassas. Av den föreslagna placeringen i offentlighets- och sekretesslagen följer att den lagens tillämpningsområde gäller.

7.7.5. Konsekvenser av förslagen

På en övergripande nivå bedömer vi att förslagen om god offentlighetsstruktur för säkerställande av insynsmöjligheter i förvaltningens verksamhet när vissa automatiserade förfaranden används medför goda möjligheter till såväl effektivitetssprång i förvaltningens verksamhet som innovation i samhället i stort. Bland de områden som enligt vår bedömning kommer att präglas av en ökad grad av automation i framtiden, och som kommer att gagnas av den rättsliga tydlighet som förslagen medför, kan nämnas effektiva kontroller av utbetalningar i välfärdssystemen. Samtidigt som förslagen innebär att skyddet för enskilda stärks kan förslagen, om automationsåtgärder också vidtas, antas bidra till att minska brottsligheten genom brottspreventiv verkan eller öka uppklarningen av brott.

Genom att i ett första steg genomföra dessa förändringar bedömer vi också att det finns goda förutsättningar för dels fortsatt utvecklingsarbete i den digitala förvaltningen, dels fortsatt rättsutveckling för att möta den önskade verksamhetsutvecklingen.

Förslagen innebär inte några skyldigheter för myndigheter i förvaltningen att införa automatiserade förfaranden med algoritmer eller datorprogram i sin verksamhet. Förslagen har särskilt utformats för att inte i onödan vara betungande för myndigheter samtidigt som de stärker offentlighetsprincipen för allmänheten och rättssäkerheten för enskilda. Vårt förslag beträffande den goda offentlighetsstruktur som behövs för att kunna lämna information förutses därför inte leda till några beaktansvärda merkostnader. Eventuella merkostnader ska ses i förhållande till den effektivisering och kostnadsbesparing som övergången från manuella till automatiserade förfaranden medför. Om merkostnader uppkommer till följd av att förslagen omfattar även förfaranden som redan har automatiserats vid tidpunkten för ikraftträdande förutsätts dessa bli marginella och ska finansieras inom befintliga ramar.

Utvecklingen i fråga om vilka insynsmöjligheter som ska gälla i förvaltningen följer nu gällande ordning, där offentlighets- och sekretesslagens krav gäller också för kommunala och landstingskommunala myndigheter. Förslagen vi lämnar får därmed inte i sig någon nytillkommen konsekvens för den kommunala självstyrelsen.

Förslagen har också utformats så att inte några negativa konsekvenser ur konkurrenssynpunkt i förhållande till kommersiella

aktörer ska uppkomma. Möjligheterna till samverkan med det privata näringslivet för att utveckla innovativa och effektiva lösningar stärks. Förslagen har också utformats för att vara väl avvägda i förhållande till eventuellt immaterialrättsligt skydd i form av bl.a. upphovsrätt för datorprogram som kan föreligga, varför några negativa konsekvenser i dessa hänseenden inte kan förväntas.

Förslaget till anpassning av bestämmelsen om beslutsunderlag i enskilda ärenden bedöms kunna förenkla vid överväganden om hur myndigheters informationshantering i den digitala förvaltningen ska gå till. Enligt vår uppfattning bör de föreslagna anpassningarna ge en god grund för fortsatt arbete med att utveckla förvaltningsgemensamma lösningar där uppgifter i högre grad lämnas en gång till förvaltningen och återanvänds från den bästa källan.

Förslagen kan härutöver inte förväntas leda till andra konsekvenser än de generella konsekvenser av våra förslag som redovisas i kapitel 14.2.

7.8. Ytterligare överväganden för en AI-redo förvaltning

7.8.1. Samspelet mellan rättsutveckling och teknikutveckling

De tendenser vi ser är att användandet av artificiell intelligens (AI) kommer att bli allt mer centralt i samhällets digitalisering, och därmed även i förvaltningens förändringsarbete. Flera länder genomför just nu stora satsningar inom området.

Det står redan klart att AI används och har potential att användas för viktiga förbättringar i samhället och även inom den svenska förvaltningen. Här kan inte alla möjligheter med användandet av den tekniken presenteras. Övergripande handlar det emellertid om att förvaltningens verksamhet och service gentemot enskilda kan effektiviseras och förbättras inom sektorer som t.ex. hälso- och sjukvård, utbetalningar från välfärdssystemen eller brottsbekämpning liksom när det gäller effektiva förfaranden vid olika myndigheters ärendehantering och vid service. Ett konkret exempel på områden där användande av artificiell intelligens kan komma förvaltningen och enskilda individer till nytta rör användande av tekniken för att ta fram beslutsstöd åt läkare vid diagnosticering av sjukdomar.

Att den nya tekniken också är förenad med att nya risker behöver hanteras har vi kort presenterat i kapitel 7.5. Viktiga frågor behöver besvaras för att användandet av AI inom förvaltningen inte ska skapa nya problem. Användningen av den nya tekniken kräver med andra ord ett flertal överväganden, även av rättslig karaktär. Det bör framhållas att vi inom ramen för vårt uppdrag endast har att utreda de rättsliga förutsättningarna för digitalisering inom just förvaltningen, och inte för samhället i stort.

Inom bl.a. forskningen har det under flera år pågått en debatt om flera av dessa frågor. En debatt som rör såväl den tekniska utvecklingen som etiska och rättsliga aspekter på densamma. Så här långt har den utmynnat i att vissa organisationer eller grupperingar har antagit eller fastslagit ett antal principer.143 Principerna innehåller även rättsliga ställningstaganden. Bland annat synes det så här långt i en internationell kontext råda enighet om att det ska föreligga en öppenhet såtillvida att all inblandning av autonoma system i rättsligt beslutsfattande ska erbjuda en tillfredsställande förklaring som är reviderbar av en myndighet med mänskliga förfaranden.

I takt med att den nya tekniken tas i tillämpning i samhället och inom förvaltningen räcker det emellertid inte med principiella uttalanden. Det behövs ställningstaganden om vad som ska vara rättsligt bindande respektive inte. Ett problem i det hänseendet med den typ av principer som har antagits av olika organisationer eller grupperingar är att de utgår från en viss teknik, nämligen artificiell intelligens. Rättssystemet är ordnat efter en annan logik. Utgångspunkten för rättsregler är normalt att reglera en viss verksamhet eller ett visst förfarande, och strävan i vart fall från den svenska riksdagen och regeringen har som tidigare beskrivits länge varit att åstadkomma en teknikneutral reglering. De nämnda principerna om just artificiell intelligens tar inte i beaktande vilka rättsregler som redan finns, dvs. vad som redan krävs enligt gällande rätt.

Som exempel med anknytning till den ovan nämnda principen kan framhållas kraven i bl.a. förvaltningslagen på att skäl för beslut, med vissa möjligheter till undantag, ska framgå. Möjligheter till omprövning eller överprövning av beslut är också fundamentala

143 Se t.ex. Asilomar AI Princiles, antagna vid 2017 Asilomar Conference, på https://futureoflife.org/ai-principles/ och principer antagna av Association for Computing Machinery US Public Policy Council (USACM) på http://www.acm.org/binaries/content/assets/publicpolicy/2017_usacm_statement_algorithms.pdf

komponenter i en rättssäker förvaltning och framgår redan i gällande rätt. Det som i stället kan behöva övervägas är om våra förfaranden, och de kunskaper som finns hos tjänstemän vid de instanser vi har, kommer att vara tillräckliga om beslut ska fattas av algoritmer som har möjlighet att beakta långt fler faktorer än en människa någonsin kan hantera och ta hänsyn till enorma mängder indata. Bland annat av den anledningen ser vi, såväl som andra vi talat med under utredningen, att förvaltningen i ett första läge inte i någon större utsträckning kommer att utnyttja den nya tekniken för att på egen hand fatta beslut med konsekvenser för enskilda. Snarare kan vi se framför oss en utveckling där sådan teknik i förstone kommer att användas vid analys, som beslutsstöd åt mänskliga befattningshavare eller för service. På det sättet kan, åtminstone till en början, nyttorna med den nya tekniken komma förvaltningen till del utan att beslutsfattandet helt övertas av datorprogram.

För att åstadkomma goda rättsliga förutsättningar för användande av AI inom förvaltningen ser vi inte heller anledning att gå ifrån den gängse metoden för rättsutveckling. Den innebär i likhet med våra överväganden i kapitel 7.6 att fortsatt undersöka om rättsregler behöver upphävas eller ändras eller om det saknas rättsregler för att åstadkomma rättsliga förutsättningar för den utveckling som är önskvärd. Generella överväganden om fördelning av ansvar och risker och i vilken utsträckning en samhällsförändring är så stor att riksdag eller regering bör leda vägen bör i det sammanhanget också göras. Vi återkommer också i kapitel 7.9.1 till överväganden om behovet av att i olika avseenden och oberoende av vilken teknik som används automationsanpassa lagstiftningen.

Eftersom möjligheterna och utmaningarna med AI, och särskilt maskininlärda algoritmer, är så påtagliga ser vi emellertid behov av att först uppehålla oss särskilt vid åtgärder som syftar till att förbättra de rättsliga förutsättningarna för att använda just denna teknik inom förvaltningen.

I det föregående kapitel 7.7 har vi lämnat de förslag som vi i ett första steg ser behövs för en i högre grad automatiserad förvaltning som också tar stöd av ny teknik med artificiell intelligens. Det måste ses som en grundläggande faktor för tilliten till en förvaltning som använder AI att myndigheter säkerställer att de, oavsett om myndigheten utvecklar egna lösningar eller om utvecklingen på ett eller annat sätt äger rum i samverkan med det privata näringslivet, kan

lämna information om hur de använder algoritmer eller datorprogram som helt eller delvis påverkar utfallet eller beslutet vid automatiserade urval eller beslut.

Det behövs emellertid ytterligare överväganden om hur rättsutvecklingen kan eller bör möta behovet av att använda AI inom den offentliga förvaltningen.

7.8.2. Rättssäkra förfaranden i en samverkande förvaltning

Utredningens bedömning: Det är för tidigt att i detta skede av

teknikutvecklingen inom förvaltningen föreslå ytterligare reglering som särskilt föranleds av eller avser att träffa förvaltningens användning av artificiell intelligens (AI) med maskininlärda algoritmer.

Utredningens förslag: Regeringen uppdrar åt myndigheter som

tillämpar eller överväger att tillämpa AI-system med maskininlärda algoritmer i sin verksamhet att – i samverkan med Sveriges Kommuner och Landsting, Myndigheten för digital förvaltning och tillsynsmyndigheter inom digital förvaltning – utarbeta förslag på förfaranden som innebär att tredje part kan utöva revision, tillsyn, certifiering eller annan typ av kontroll avseende de algoritmer som kommer att användas. Särskild vikt bör läggas vid de algoritmer som, helt eller delvis, påverkar utfallet vid urval eller beslut.

Det ska ingå i uppdraget att söka samverkan med det privata näringslivet och forskningssamhället liksom att bevaka den internationella utvecklingen.

I uppdraget ska också ingå att redovisa för regeringen om myndigheternas tillämpning, eller planerad eller tänkbar tillämpning av AI med maskininlärda algoritmer bör föranleda anpassning eller komplettering av gällande rätt.

Skälen för utredningens bedömning och förslag

Bättre förutsättningar för hantering av rättsliga utmaningar

Det kommer att krävas ett samspel mellan reglering och andra åtgärder för att åstadkomma goda möjligheter till AI-baserade förfaranden i förvaltningen som både är rättssäkra och kan visas vara detta. Det kommer visserligen inte att vara möjligt för hela förvaltningen och alla de olika men specifika användningsområden som finns för AI att omhänderta risker för bl.a. rättsosäkerhet på ett och samma sätt. Flera frågor som förvaltningen kommer att ställas inför, och i viss utsträckning redan gör, i samband med teknikutvecklingen kommer emellertid att vara gemensamma. Här avses bl.a. det som anförts i kapitel 7.5.2 om ansvar för tekniken och dess användning, om eller när beslutsstöd blir så tekniskt avancerade att det snarare är ansvaret för funktionen i de algoritmer eller datorprogram som används som behöver diskuteras, än de enskilda besluten där de automatiskt genererade beslutsunderlagen används. Här avses också omhändertagande av risk för att maskininlärda algoritmer medvetet eller omedvetet ”smittas” med felkällor eller felaktiga utgångspunkter med rättsosäkra eller diskriminerande förfaranden som följd. Även risker för att algoritmerna medvetet manipuleras för att orsaka ekonomisk eller personlig skada behöver beaktas.

Enligt vår bedömning är utvecklingen av användande av AIsystem med maskininlärning inom förvaltningen ett område som lämpar sig väl för samverkan, såväl inom förvaltningen som i förhållande till privata näringslivet och forskarsamhället. Enligt vår uppfattning finns i och för sig inte något hinder mot att ett sådant uppdrag i stället lämnas till en särskild utredare. Oavsett uppdragstagare bör emellertid ett brett samråd såväl inom förvaltningen som i förhållande till privata aktörer eftersträvas.

Träning av algoritmer

Som framgått i kapitel 7.3.2 innebär maskininlärning att logiken inte längre är statisk, dvs. exakt programmerad på förhand, utan (förenklat beskrivet) tränas på stora datamängder med syfte att själv förstå samband mellan datapunkter.

En tillämpning av artificiell intelligens som är utformad med system för maskininlärning kan inte genast tas i bruk för att t.ex. ge service, göra ett urval eller stödja beslutsfattande genom att lämna underlag. Det krävs en period av träning för att systemet sedan ska kunna användas för att utföra dessa arbetsuppgifter. Ju mer träning, desto ”duktigare” blir de maskininlärda algoritmerna. För att det ska vara möjligt för en algoritm att förbättra sig själv krävs vidare att den har tillgång till stora mängder data. Mängden data som används vid denna träning kan i sig vara en nödvändig faktor för att kunna garantera rättssäkra förfaranden. Av rättssäkerhetsskäl krävs dessutom att träningen ägt rum med just den typ av data som sedan ska användas i skarpa fall. Om dessa förutsättningar inte ges kan inte tillräckligt kvalitativa svar, beslutsunderlag eller beslut lämnas när system med maskininlärda algoritmer tas i skarp drift. Med andra ord ökar risken för fel och rättsosäkerhet om dataunderlaget varit bristfälligt under AI-systemets ”upplärningsprocess”.

Processen med maskininlärning innebär vidare att algoritmen är föränderlig. Som vi har fått det förklarat för oss är den också, i varierad utsträckning beroende på efter vilken modell den har utformats, dunkel att tränga in i. Vissa använder begreppet ”svart låda”i den bemärkelsen att det inte går att fullt ut förstå vilka steg som har tagits när algoritmen kommit fram till sitt utfall, i vart fall inte för gemene man och såvitt vi förstår inte för någon människa om det rör sig om komplicerade neurala nätverk. I viss utsträckning skulle det kanske gå att jämföra processen med den bearbetning som görs i våra mänskliga hjärnor. AI-området är också föremål för snabb teknikutveckling, bl.a. när det gäller just systemens förmåga att kunna förklara sina utfall för oss människor.144

Vikten av att det finns goda förutsättningar för att träna AIsystem med maskininlärda algoritmer innan de tas i bruk för att ge service eller komma med beslutsstöd etc. gör att det uppkommer rättsliga frågor redan på detta stadie. Här har vi inte möjlighet att ge generella svar på samtliga, men vill särskilt uppmärksamma att det av rättssäkerhetsskäl behöver finnas förutsättningar för att dessa algoritmer redan när de tränas har tillgång till stora datamängder av samma typ som kommer att användas i skarpa lägen. Om de datamängder som är nödvändiga för träningen kommer att innehålla

144 Se t.ex. artikel på https://futureoflife.org/2017/09/27/explainable-ai-a-discussion-withdan-weld/

personuppgifter behöver det därför finnas förutsättningar för datainsamlingen och behandlingen enligt dataskyddsregleringen redan på stadiet då algoritmen tränas. I de fall insamlingen eller behandlingen av uppgifter hindras av gällande rätt, t.ex. snävt formulerade ändamålsbestämmelser i de registerförfattningar som ska tillämpas eller bestämmelser om sekretess som hindrar att uppgifter samlas in, behöver författningsändringar göras redan på stadiet när algoritmerna ska tränas.

Som framgått av den korta beskrivningen ovan kommer den träning eller ”utbildning” som ett AI-system med maskininlärda algoritmer får att vara av stor betydelse för förmågan att i skarpa lägen ge t.ex. kvalitativa beslutsunderlag. Myndigheter bör därför enligt vår bedömning se till att upprätthålla en förmåga att ge information om hur träningen av dess maskininlärda algoritmer har gått till. Detta förfarande skulle i viss mån kunna jämföras med att myndigheter när det efterfrågas i dag har förmåga att redogöra för t.ex. vilken utbildning en handläggare vid myndigheten har.

Vi har övervägt att, i linje med vårt förslag i kapitel 7.7.2, mer detaljerat föreslå en reglering med explicit innebörd att en myndighet ska ha förmåga att kunna ge information om hur framtagandet av maskininlärda algoritmer som, helt eller delvis, påverkar utfallet eller beslutet vid automatiserade urval eller beslut har gått till. Vi har emellertid stannat vid att det är för tidigt att i detta skede av teknikutveckling inom förvaltningen uttryckligen reglera det sagda i författning, men det är vår uppfattning att myndigheter i linje med den generella reglering som föreslås i kapitel 7.7.2 behöver säkerställa att den förmågan finns när tekniken börjar användas.

Indata och beslutsunderlag

Att myndigheter ska ha kontroll över vilka typer av indata de använder i sina automatiserade förfaranden framgår i såväl dataskyddsregleringen som arkivregleringen (se kapitel 7.6.1 respektive 7.6.3). När en övergång görs till att nyttja maskininlärda algoritmer, som ovan beskrivits kunna vara i varierad grad ”dunkla” i den bemärkelsen att de är svåra att tränga in i, framstår det enligt vår uppfattning som än viktigare att välgenomtänkta beslut tas i fråga om vilka kategorier av uppgifter som algoritmen ska få behandla.

Vi har därför övervägt om det nu borde införas ytterligare reglering med uttryckliga och mer detaljerade krav på att kontrollera och dokumentera vilka indata som används när maskininlärda algoritmer tillämpas. Vi har emellertid, i linje med vad som framgått ovan, stannat vid att i vart fall i detta skede av teknikutveckling inte finns anledning att föreslå sådan specifik ytterligare reglering. Det är dock vår uppfattning att det, i enlighet med det generella krav som föreslås i kapitel 7.7.2, är av stor vikt att de regler som finns i fråga om dokumentation och öppenhet i fråga om vilka indata som används också tillämpas. Det kommer att vara av påtaglig vikt för tilliten till denna typ av automatiserade förfaranden att förvaltningen förmår förklara och redovisa vilket underlag algoritmen utgått ifrån, utöver hur den tränats för att komma fram till sina resultat.

Ytterligare en aspekt att hålla i åtanke inför att i framtiden låta AI-system med maskininlärda algoritmer stå för faktiskt beslutsfattande är att synliggöra vad som kommer att vara beslutsunderlaget. Är det enbart vissa uppgifter som rör ett individuellt ärende som kommer att utgöra beslutsunderlaget, eller blir all indata som algoritmen hanterat under sin träning och vid tillämpning i tidigare ärenden att fungera som beslutsunderlag? Om det sistnämnda blir fallet ser vi behov av att också särskilt uppmärksamma frågor som hur t.ex. omprövning eller överprövning ska gå till och vilken kompetens som kommer att krävas vid sådana förfaranden.

Uppdraget

Vårt förslag i kapitel 7.7.2 om förmåga att ge insyn i vissa automatiserade förfaranden bör fungera som en bas för att också ge goda rättsliga förutsättningar för rättssäkra AI-tillämpningar inom förvaltningen.

I stället för att i detta skede av teknikutveckling inom förvaltningen lämna ytterligare författningsförslag bedömer vi att det är lämpligt att regeringen ger ett särskilt uppdrag åt de myndigheter som tillämpar eller överväger att tillämpa AI-system med maskininlärda algoritmer i sin verksamhet att i samverkan utarbeta förslag som stärker tilliten och rättssäkerheten. Vi föreslår att regeringen specificerar att det ska ingå i uppdraget att lämna förslag på förfaranden som innebär att tredje part kan utöva revision, tillsyn,

certifiering eller annan typ av kontroll avseende de algoritmer som kommer att användas. Särskild vikt bör läggas vid de algoritmer som, helt eller delvis, påverkar utfallet vid urval eller beslut.

Uppdraget bör riktas mot de myndigheter under regeringen som tillämpar eller överväger att tillämpa AI-system med maskininlärda algoritmer i sin verksamhet. Samverkan bör äga rum även med Sveriges Kommuner och Landsting, Myndigheten för digital förvaltning, Datainspektionen145 och Myndigheten för samhällsskydd och beredskap. Det bör också ingå i uppdraget att söka samverkan med det privata näringslivet och forskarsamhället liksom att bevaka den internationella utvecklingen.

Med beaktande av det som har anförts om behovet av att omhänderta risker för rättsosäkerhet bör det också ingå i uppdraget att myndigheterna ska redovisa för regeringen om myndigheternas tillämpning eller planerad eller tänkbar tillämpning av AI-system med maskininlärda algoritmer bör föranleda anpassning eller komplettering av gällande rätt. I detta ligger även att uppmärksamma regeringen på eventuella behov av författningsändringar för att t.ex. samla in och behandla de uppgifter som behövs för de förfaranden som planeras eller är önskvärda.

Konsekvenser av förslaget

Ett samverkansuppdrag från regeringen med inriktning på att utarbeta förslag som syftar till att åstadkomma trygga och rättssäkra AI-tillämpningar inom förvaltningen kan förväntas bidra till att kunskapen om tekniken sprids till flera och gagna innovation och effektivitet i svensk förvaltning. En sådan utveckling kan också gagna t.ex. sysselsättningen i Sverige.146 Ett samverkansuppdrag av detta slag skulle också, och i huvudsak, syfta till att åstadkomma en sådan teknikanvändning inom förvaltningen på ett sätt som både är och kan visas vara rättssäkert. Uppdraget kan genomföras inom ramen för deltagande myndigheters anslag. Se även kapitel 14.2 om generella konsekvenser av våra förslag.

145 Datainspektionen byter namn till Integritetsskyddsmyndigheten under år 2018. 146 Jfr också norska Datatilsynets rapport Kunstig inelligens og personvern, januari 2018.

7.8.3. Ett kunskapsperspektiv

Artificiell intelligens med maskininlärda algoritmer har mycket stor potential att användas för olika former av analyser. När förvaltningen nu anordnar nya former för informationshantering, vare sig det rör sig om informationsförsörjning i form av öppna data eller mer specifika digitala informationsutbyten myndigheter emellan, är det enligt vår bedömning viktigt att även kunskapsperspektivet finns med när krav på t.ex. informationsstandarder diskuteras. Ibland kan också frågan om särskilda och nya informationsutbyten behöva diskuteras med anledning just av att åstadkomma förutsättningar för ny kunskap genom analys av digitala informationsflöden eller datamängder.

Det är med andra ord inte bara de rättsliga förutsättningarna för att utbyta information i en befintlig ärendeprocess som behöver hållas i åtanke vid digitalisering av processen ifråga. När utvecklingsarbetet pågår kan det också vara lämpligt att samtidigt överväga om det finns särskilda behov av att förbättra de rättsliga förutsättningarna för att anordna informationsflödena så att det ges bättre möjligheter för att med stöd av den nya tekniken göra olika former av analyser. Sådana analyser kan ge ökad kunskap om t.ex. hanteringen i en ärendeprocess, utfall, flaskhalsar eller andra former av underlag för bl.a. styrning (se kapitel 7.2.4).

7.9. Automationsanpassad lagstiftning

7.9.1. Gällande rätt med materiella bestämmelser

Utredningens bedömning: Om gällande materiell rätt lämnar ett

visst utrymme för individuella bedömningar vid beslut, utgör det inte något generellt hinder mot automation av förfaranden som hittills har hanterats av människor.

Vid övergång från ett manuellt till ett automatiserat förfarande behöver det emellertid alltid övervägas om det är möjligt och lämpligt att en myndighet omsätter bedömningsutrymmen i gällande rätt till algoritmer med anknytande datorprogram, eller om förfarandet kan automatiseras endast under förutsättning att lagstiftningen anpassas.

Skälen för utredningens bedömning

Materiell rätt med bedömningsutrymmen och automatiserade beslut

Under kartläggningen har vi tagit del av exempel där lagstiftningen i gällande rätt i varierad utsträckning innehåller ett bedömningsutrymme i samband med beslutsfattande, men där hittillsvarande förfaranden vid manuell handläggning respektive utfallen vid beslut i praktiken ändå har blivit relativt likriktade. Bland myndigheter som hittills inte tillämpat automatiserade beslut har vi uppfattat tankar om att den typen av beslut borde kunna automatiseras.147

Vissa av de rättsregler som här avses har nog tillkommit i en tid då det inte alls varit aktuellt att åstadkomma rättssäkra beslutsförfaranden på annat sätt än genom manuell ärendehandläggning och beslutsfattande. Det har därför kanske inte gjorts några särskilda överväganden om hur lagtextens formuleringar om bedömningsutrymmet exakt borde utformas. Att materiell rätt lämnar olika grader av utrymme för bedömningar i enskilda fall vid förvaltningsbeslut kan därför enligt vår mening inte sägas utgöra något generellt och av lagstiftaren avsett hinder mot automation. Den slutsatsen stärks av uttalanden i propositionen med förslag till ny förvaltningslag, där det framgår att avsikten med att i förvaltningslagen slå fast att beslut kan fattas automatiserat har varit att det inte ska behövas en reglering i en specialförfattning för att en myndighet ska kunna använda denna beslutsform.

Under förutsättning att de risker som finns (se kapitel 7.5) uppmärksammas och hanteras i samband med en planerad automatiseringsåtgärd är det enligt vår bedömning många gånger möjligt för en myndighet att automatisera förfaranden utan att varje sådan åtgärd inom förvaltningen föregås av ändringar i den materiella lagstiftningen. Här kan paralleller dras till manuella förfaranden som i hög grad redan har likriktats hos myndigheter genom rutiner, handböcker, checklistor etc., utan att sådana detaljerade instruktioner har ansetts behöva framgå direkt i lagstiftningen. I kapitel 6.2 har också belysts att lagstiftning på områden som står under snabb utveckling som utgångspunkt inte bör belastas med detaljerade regler.

Även med beaktande av det ovan sagda kan det dock i några fall vara lämpligt, och i vissa fall krävas, att författningsändringar föregår

147 Det skulle t.ex. kunna gälla beslut om utbetalning av särskilt bidrag för inköp av vinterkläder enligt 18 § lagen (1994:137) om mottagande av asylsökande m.fl.

en övergång till automatiserade förfaranden. Som framgått av beskrivningen i kapitel 7.5 är det inte möjligt att bedöma frågor om rättssäkerhet vid förvaltningens automationsåtgärder på ett sätt som är entydigt och enhetligt för all ärendehandläggning och beslutsfattande inom hela den offentliga förvaltningen. Risker för rättsosäkerhet kommer att behöva bedömas och hanteras beroende på vilket förfarande det är som avses vid överväganden om automation.

Ett exempel på hur risker skulle kunna hanteras i vissa fall är genom urval av individuella ärenden som behöver hanteras manuellt för att säkerställa ett utfall som är av tillräcklig kvalitet för att vara rättssäkert i det individuella fallet, även när ärendetypen generellt skulle kunna hanteras med automatiserade förfaranden. I andra fall kanske det är fråga om den typ av beslut där den part som är missnöjd med ett automatiskt fattat beslut kan återkomma med en särskild begäran om ny prövning, omprövning eller överprövning för korrigering av beslutet utan att riskera att drabbas av rättsförluster. Om den omprövningen eller överprövningen sköts på ett sätt som gör att hänsyn kan tas till t.ex. individuella omständigheter som det automatiserade förfarandet inte beaktat kan det enligt vår bedömning finnas fall där hela ärendeprocessen kan automatiseras fram till ett första beslut utan att någon betydande risk för rättsosäkerhet uppstår.

I åter andra fall kan det kanske vara lämpligt att lagstiftaren omhändertar vissa risker för felaktiga bedömningar när automatiserade förfaranden bedöms vara önskvärda, genom att t.ex. överväga särskilda regler om hur rättelse eller omprövning ska gå till.148 Vi ser inte möjlighet att nu lämna förslag om vad som bör vara en lämplig ordning för alla typer av beslut som fattas och kommer att fattas automatiserat i förvaltningen. Vi ser dock inte heller att det bör göras några särskilda begränsningar med avseende på att vissa beslut inte får fattas automatiserat utan särskilt lagstöd för det. Även beslut som t.ex. har negativ innebörd för den enskilde bör alltså enligt vår bedömning kunna fattas automatiserat om det finns förutsättningar att ta hand om risker för rättsosäkerhet.

En anpassning av lagstiftningen på förhand kan också vara lämplig om automation övervägs på områden där bedömningsutrymmet i den gällande materiella rätt som ska tillämpas vid beslutsförfarandet

148 Jfr t.ex. 18 kap. 5 och6 §§ förordningen) om vägtrafikregister, med särskilda regler om omprövning av beslut som fattas automatiserat.

är mycket stort eller oklart och det därtill finns risk för att en myndighet i arbetet med att automatisera ett beslutsförfarande bortser från viktiga bedömningsmoment.149

En anpassning av gällande rätt kan emellertid också krävas när det är fråga om beslut av särskild betydelse för den enskilde, för att också säkerställa ett konstitutionellt förankrat förfarande. Som angetts ovan menar vi inte här att t.ex. automatisering av varje beslutsförfarande som kan leda till negativa förvaltningsbeslut måste föregås av särskilda lagstiftningsåtgärder för att ge författningsstöd åt beslutsformen utöver förvaltningslagens reglering. Om automation däremot skulle övervägas på områden som rör ingrepp av särskilt stor betydelse för den enskilde, som exempelvis rör beslut om tvångsåtgärder eller åtgärder av liknande karaktär, bör det enligt vår bedömning finnas särskild anledning att riksdagen eller regeringen leder vägen genom översyn av regleringen på förhand. Det följer även av dataskyddsregleringen att det som huvudregel är förbjudet att basera automatiserade beslut enbart på känsliga personuppgifter.150

Utöver det som ovan anförts bör det hållas i åtanke att ny teknik med exempelvis maskininlärda algoritmer står för dörren. Synsättet att automatiserade förfaranden kräver helt styrande regler i form av rättsregler eller datorrelaterade regler kommer därmed sannolikt att behöva justeras med beaktande av den snabba teknikutvecklingen på området för artificiell intelligens. Tekniska förutsättningar får med andra ord också betydelse vid överväganden om den materiella rätt som tillämpas vid beslutsfattande bör eller behöver anpassas inför övergångar till helt eller delvis automatiserade förfaranden i förvaltningen.

Uppstår behov av att reglera nya ansvarsförhållanden?

Ett annat skäl till att en anpassning av den materiella rätten kan krävas på förhand är att automationen kan föra med sig nya rättsfrågor, t.ex. avseende vilken aktör som bör hållas ansvarig vid fel. En riskanalys inför ett förändringsarbete kan exempelvis leda till att det bedöms vara nödvändigt att sådana rättsfrågor besvaras på

149 Jfr Inspektionen för socialförsäkringensarbetsrapport Individuell eller standardiserad social-

försäkring – En diskussion för mer rättssäker handläggning, 2015:3, s. 27.

150 Se artikel 22.4 dataskyddsförordningen och 2 kap. 19 § förslag till brottsdatalag,SOU 2017:29.

förhand genom ansvarsfördelning i rättsregler, innan helt automatiska förfaranden börjar tillämpas. Det kan t.ex. röra sig om förfaranden på förvaltningens område för faktiskt handlande om mänskliga åtgärder ska ersättas med automatiserade eller robotiserade förfaranden. Vi har inom ramen för kartläggningen, i det stadie av utveckling förvaltningen nu befinner sig, inte stött på konkreta exempel på när automation inom förvaltningen medfört sådana nya behov av att fördela ansvar. Paralleller kan emellertid dras till exempelvis utvecklingen med självkörande fordon där det pågår debatt om bl.a. hur ansvarsfördelningen mellan förare och fordonsutvecklare ska se ut.151

När det gäller utvecklingen av just självkörande fordon har lagstiftare i flera länder valt att formulera rättsregler i försökslagstiftning, under tiden som utvecklingsarbete pågår. Det är en metod som vi ser sannolikt kommer att behövas på fler områden där det finns behov av att möta risker, t.ex. när det gäller att fördela ansvar, samtidigt som utveckling pågår.

7.9.2. Gällande rätt om automatiserat beslutsfattande

Utredningens bedömning: Befintlig särreglering av automati-

serat beslutsfattande i lag och förordning, vid sidan av förvaltningslagen, bör upphävas i enlighet med E-delegationens förslag i betänkandet Automatiserade beslut – färre regler ger tydligare

reglering.

Skälen för utredningens bedömning

Bakgrund

Hur förvaltningsmyndigheter under regeringen ska handlägga sina ärenden regleras bl.a. i myndighetsförordningen (2007:515). När det gäller formerna för ett ärendes avgörande och det materiella beslutet i fråga framgår av förordningen att ärenden som huvudregel avgörs

151 Se t.ex. Utredningen om självkörande fordon på vägs delbetänkande Vägen till självkörande

fordon – försöksverksamhet (SOU 2016:28) och slutbetänkande Vägen till självkörande fordon – introduktion (SOU 2018:16).

efter föredragning och att det för varje beslut i ett ärende ska upprättas en handling som bl.a. visar beslutets innehåll, vem som har fattat beslutet och vem som har varit föredragande. 152

Bestämmelserna i myndighetsförordningen har tolkats som att det generellt sett behövs ett undantag för att myndigheter ska kunna fatta helt automatiserade beslut.153 Sådana undantag har införts i vissa myndigheters instruktion, bl.a. för Bolagsverket, Försäkringskassan och Skatteverket.154 I andra fall har särreglering införts i t.ex. registerförfattning. Här kan nämnas att Transportstyrelsen enligt förordningen om vägtrafikregister får fatta beslut genom automatiserad behandling av uppgifter i vägtrafikregistret.155 Lagstiftaren har alltså valt olika författningstekniska lösningar för att möjliggöra för myndigheter att fatta automatiserade beslut. Regleringen har emellertid skapat osäkerhet eftersom den leder till motsatsvisa tolkningar, dvs. att myndigheter ser hinder mot att fatta automatiserade beslut när det saknas uttryckliga förskrifter som tillåter detta.

E-delegationens betänkande om automatiserade beslut

I ett betänkande från 2014 har E-delegationen pekat på att den pågående automatiseringen av myndigheternas beslutsfattande hämmas av onödiga och onödigt komplicerade regler.156 E-delegationen framhöll att regleringen borde förenklas så att det inte råder någon osäkerhet om att beslut får fattas automatiserat. Mot denna bakgrund föreslog E-delegationen dels att författningsbestämmelser om att beslut får fattas automatiserat borde upphävas, dels att ett generellt undantag från 20 § och 21 § 3–5 i myndighetsförordningen borde införas. Majoriteten av remissinstanserna ställde sig generellt positiva till delegationens förslag men förslagen har ännu inte lett till författningsändringar.

15220 och 21 §§myndighetsförordningen. 153 Se bl.a. JO:s protokoll, dnr 4728–2011. 15414 § förordningen (2007:1110) med instruktion för Bolagsverket, 39 § förordning (2017:154) med instruktion för Skatteverket och 14 § förordning (2009:1174) med instruktion för Försäkringskassan. 155 18 kap. 5 § förordning om vägtrafikregister. 156 Se E-delegationens betänkande, Automatiserade beslut – färre regler ger tydligare reglering (SOU 2014:75).

Förvaltningslagen

I förvaltningslagen framgår det numera uttryckligen att ett beslut kan fattas automatiserat.157 Genom att det i lagen slås fast att beslut kan fattas automatiserat tydliggörs att det inte behövs en reglering i specialförfattning för att en myndighet ska kunna använda denna beslutsform.158

I förvaltningslagen har det därtill införts en bestämmelse som till sitt innehåll har sin förebild i 21 § myndighetsförordningen, dvs. den reglerar vilken dokumentation som ska tillföras ett beslut, bl.a. vad beslutet innehåller, vem eller vilka som har fattat beslutet och vem eller vilka som varit föredragande.159 I förarbetena till bestämmelsen förklaras att i den utsträckning ett beslut fattas hos en myndighet helt på automatiserad väg saknas underlag för dokumentation av i vart fall delar av den information som anges som obligatorisk. Avsikten är att paragrafen för dessa fall ska tillämpas i enlighet med den praxis som har kommit till uttryck vid tillämpningen av motsvarande bestämmelse i 21 § myndighetsförordningen. Det finns i ett sådant fall t.ex. inte någon uppgift om föredragande eller uppgift om viss person som är beslutsfattare. Det räcker då att dokumentationen omfattar de uppgifter som är relevanta och aktuella för det enskilda ärendet, exempelvis uppgift om datum för beslutet och dess innehåll.160 Enligt regeringens mening finns det inget behov av en särskild regel för dokumentation av automatiserade beslut.161

Förvaltningslagen är emellertid subsidiär och ska inte tillämpas om en annan lag eller förordning innehåller någon bestämmelse som avviker från lagen.162 Det innebär att om det finns specialreglering i lag eller förordning som styr myndigheters möjlighet att fatta automatiserade beslut gäller denna i första hand.

15728 § förvaltningslagen. 158Prop. 2016/17:180 s. 180. 15931 § förvaltningslagen. 160 A. prop. s. 319 f. 161 A. prop. s. 185 f. 1624 § förvaltningslagen.

Kartläggningsresultatet

I kartläggningsarbetet har framkommit att myndigheter generellt välkomnar regleringen om automatiserade beslut i den nya förvaltningslagen. Ett antal myndigheter har emellertid att tillämpa särreglering vad avser automatiserat beslutsfattande. För dessa myndigheter kvarstår viss rättslig osäkerhet om när, och i vilken utsträckning, det är tillåtet att fatta automatiserade beslut mot bakgrund av att särreglering har företräde framför förvaltningslagens bestämmelser. Exempelvis regleras, som tidigare nämnts, i förordningen om vägtrafikregister att beslut får fattas genom automatiserad behandling av uppgifter i vägtrafikregistret.163 När bestämmelsen togs fram föranleddes den såvitt vi fått förklarat för oss av beslut som rörde fordonsregistreringen, vilket också är det område som i övrigt sakligt regleras i förordningen. Vid en läsning av bestämmelsen i sitt sammanhang i förordningens 18 kap. kan regleringen tolkas som att det bara är beslut om fordonsregistrering som får fattas genom automatiserad behandling av uppgifter i vägtrafikregistret. Transportstyrelsen har också lämnat in en framställan om författningsändringar, vilken ännu inte lett till någon förändring av regelverket.164

Upphävande av särreglering i annan lag eller förordning

Den nya bestämmelsen i 28 § första stycket förvaltningslagen klargör att den offentliga förvaltningen kan fatta helt automatiserade beslut utan stöd av annan särskild reglering. För flera statliga myndigheter kvarstår emellertid särreglering i myndighetsinstruktion eller annan speciallag eller förordning som har företräde framför förvaltningslagen. Det bör undvikas att sådan reglering kvarstår och tolkas som uttömmande i fråga om när en myndighet får fatta automatiserade beslut. En sådan tolkning innebär motsatsvis att myndigheten inte har rätt att fatta andra helt automatiserade beslut än de som omfattas av särregleringen. Enligt vår uppfattning synes denna potentiella inskränkning i myndigheternas möjlighet till automatiserat beslutsfattande inte ha varit lagstiftarens avsikt.

163 18 kap. 5 § förordning om vägtrafikregister. 164 Se Transportstyrelsens framställan om författningsändringar i frågan om automatiserade beslut från den 8 mars 2012, dnr TSV 2012-1177.

Vi bedömer att det, i syfte att undanröja onödiga hinder i den digitala utvecklingen, finns vägande skäl för att utmönstra kvarstående särreglering om myndigheters automatiserade beslutsfattande i lag och förordning vid sidan av nya förvaltningslagen. Inte heller i förhållande till dataskyddsförordningens krav på särskilda åtgärder till skydd för den registrerades rättigheter, friheter och berättigade intressen med avseende på just automatiserade beslut torde det finnas skäl för att behålla sådan särreglering. Befintlig särreglering av automatiserat beslutsfattande i lag och förordning, vid sidan av förvaltningslagen, bör därför enligt vår bedömning upphävas i enlighet med E-delegationens förslag i betänkandet Automatiserade

beslut – färre regler ger tydligare reglering.165

7.10. Digitalt perspektiv vid framtagande av nya föreskrifter

Utredningens bedömning: Regeringen bör överväga att i för-

ordningen om konsekvensutredning vid regelgivning föreskriva att en konsekvensutredning ska innehålla en bedömning av om särskilda hänsyn behöver tas när det gäller regleringens inverkan på digital tillgänglighet till förvaltningen eller dess inverkan på automatiserade förfaranden eller annan digital informationshantering i förvaltningen.

Skälen för utredningens bedömning

Kartläggningsresultatet om nya föreskrifter och en digital förvaltning

Under kartläggningen har myndighetsrepresentanter fört fram att uppdragsgivaren ibland tenderar att förbise att vid myndighetssamverkan i den digitala förvaltningen behöver frågor om reglering kring digital informationshantering i princip alltid omhändertas. Rättsliga frågor behöver ofta lösas ut för att t.ex. åstadkomma rättsligt stöd för digitalt informationsutbyte mellan myndigheter som berörs av en gemensam ärendeprocess. För att underlätta t.ex.

165SOU 2014:75.

ett myndighetsgemensamt utvecklingsarbete beskrivs det vara önskvärt att departementen och andra regelgivare redan från början tänker i digitala processer. Om så inte sker riskerar det att gå åt onödigt mycket tid för att i efterhand lösa rättsliga frågor om de förutsättningar för digitalt informationsutbyte som behövs för att t.ex. sköta en ny arbetsuppgift. Alternativt hindras effektiva och ändamålsenliga digitala processer eftersom processerna får brytas med manuella mellanled, med de nackdelar i form av bl.a. kostnader och ineffektiva förfaranden detta för med sig.

Flera av dem som deltagit i kartläggningsarbetet har också reagerat på att de nya författningar som tas fram sällan är anpassade till digitala processer. Det har uttryckts som att man i någon mån kan hävda att lagstiftningsprodukter, trots att utgångspunkten är teknikneutralitet, i de flesta fall fortfarande utgår ifrån analoga förfaranden i den offentliga förvaltningen i stället för digitala.

Digital tillgänglighet till den digitala förvaltningen

I det förevarande kapitel 7 har vi främst behandlat frågor som rör digitalisering inbegripet automation inom förvaltningen. Det är också det perspektivet som har lyfts från flera myndighetsrepresentanter under kartläggningen. Det finns dock anledning att här anknyta till vad som förts fram i kapitel 6.8 om de politiska målen, bl.a. att regeringens mål för digitaliseringen av den offentliga förvaltningen också är en enklare vardag för medborgare, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.166

I det följande kapitel 8 går vi närmare in på att privatpersoner och företag i ökad utsträckning ska ges digital tillgänglighet till förvaltningen. Utan att här föregripa de överväganden och bedömningar som där görs finns anledning att även i detta sammanhang reflektera kring vilka förfaranden som ska erbjudas vid kontakter mellan enskilda och förvaltningen. I likhet med vad myndighetsrepresentanter har framhållit under kartläggningen om vikten av att tänka på de praktiska förutsättningarna i myndigheters verksamheter när ny reglering tas fram, bl.a. att informationshanteringen inom förvaltningen förutsätts vara digital och att det behöver finnas

166Prop. 2017/18:1, utg. omr. 2, 6.2 Mål.

förutsättningar för automatiserade förfaranden, finns det enligt oss anledning att också på motsvarande sätt tänka på att enskilda har förväntningar på digital tillgänglighet till förvaltningen. Den kommunikationen förväntas nämligen också kunna skötas med digitala medel i första hand. Förutsättningarna för digital tillgänglighet till förvaltningen, bl.a. att det finns rättsliga förutsättningar för digital kommunikation mellan enskilda och förvaltningen, kan inte ses separat från den verksamhet som ska regleras i nya föreskrifter.

Konsekvensutredningar om inverkan på digital förvaltning

En stor del av våra analyser och överväganden rör hinder eller hämmande faktorer i befintlig lagstiftning, dvs. all den gällande rätt som ska tillämpas vid digitaliseringsåtgärder och löpande verksamhet i den digitala förvaltningen. Som framgått i utredningens kartläggning finns det en påtaglig mängd rättsfrågor att hantera. Det framstår emellertid som särskilt bekymmersamt att det inte endast är gällande rätt som riskerar att i onödan hindra eller hämma en önskad digital utveckling av den offentliga förvaltningen, utan att det dessutom kan tillkomma nya rättsliga problem när nya lagar och andra föreskrifter tas fram.

De rättsliga utmaningarna för den digitala och digitalt tillgängliga förvaltningen kan enligt vår uppfattning inte få fortsätta att öka. Det är därför angeläget att framtagandet av ny reglering föregås av analyser om reformen eller anpassningen har påverkan på digital tillgänglighet till förvaltningen eller dess inverkan på automatiserade förfaranden eller annan digital informationshantering i förvaltningen. Det är nämligen inte givet att det finns de rättsliga förutsättningar för digital informationshantering som behövs för att omsätta en reform eller regeländring i praktisk verksamhet. Det kan behövas särskilda åtgärder för att anpassa den reglering som styr informationshanteringen, även när informationshanteringen inte står i fokus för reformen eller förändringarna. Det bör, med beaktande av de politiska målen, därför analyseras om en tänkt reform eller förslag till författningsändring skulle kunna medföra än enklare och bättre service till privatpersoner eller företag om det tänkta förslaget t.ex. främjar digital kommunikation eller automatiserade förfaranden.

I vart fall bör det inte finnas oavsiktliga hinder mot en säker och effektiv digital informationshantering.

Bland annat behöver de rättsliga förutsättningarna för att behandla personuppgifter övervägas, eftersom behandling av personuppgifter är ett centralt inslag i stora delar av den informationshantering som äger rum inom förvaltningen. Om förfarandet innefattar beslutsfattande bör det också övervägas om besluten kan komma att fattas automatiserat och om regleringen ger goda förutsättningar för att omsättas i rättssäkra förfaranden i praktiken. De resonemang som förts i kapitel 7.9.1 kan i det avseendet vara en av utgångspunkterna för analysen. Även i de fall en informationshantering i nuläget främst kommer att skötas av människor som tar stöd av digitala förfaranden behöver inte sällan teknisk kompetens konsulteras för att få underlag för vad som kan vara en rimlig tid för ikraftträdande av förslaget med hänsyn till eventuellt behov av att utveckla it-stöd.

Med beaktande av det ovan beskrivna och med särskild utgångspunkt i vårt kartläggningsresultat bedömer vi sammanfattningsvis att det finns brister i den nuvarande ordningen. Det bör enligt vår bedömning finnas klarare direktiv om att det vid framtagande av nya författningar behöver analyseras vilka konsekvenser författningsförslagen medför för digital tillgänglighet till förvaltningen och för förvaltningens digitala eller automatiserade förfaranden.

Vilka konsekvensanalyser som ska göras inför en regeländring framgår i förordningen (2007:1244) om konsekvensutredning vid regelgivning. Förordningen om konsekvensutredning vid regelgivning är direkt tillämplig när förvaltningsmyndigheter under regeringen tar fram nya föreskrifter. Om en kommittés eller särskild utredares betänkande innehåller förslag till nya eller ändrade regler ska också konsekvenserna anges på ett sätt som motsvarar de krav på innehållet i konsekvensutredningar som finns i bl.a. 6 § förordningen om konsekvensutredning vid regelgivning.167

Ett alternativ är att uttryckligen utvidga förordningen om konsekvensutredning vid regelgivning med en bestämmelse om att konsekvensutredningar ska omfatta de analyser som vi ovan redogjort för, dvs. om ny reglering får inverkan på digital tillgänglighet till förvaltningen eller inverkan på automatiserade förfaranden eller annan digital informationshantering i förvaltningen.

16715 a § kommittéförordningen (1998:1474).

Frågan är dock om det finns något annat alternativ för att vid regelgivning åstadkomma en belysning av de ovan beskrivna perspektiven om en digital förvaltning. Till exempel skulle Tillväxtverket, som har i uppdrag svara för metodutveckling, rådgivning och utbildning med anledning av förordningen om konsekvensutredning vid regelgivning,168 kunna bistå i arbetet med att utveckla den handledning verket ger inom området eller genom utbildningar. En förordningsreglering skulle enligt vår bedömning med fördel kunna kompletteras med ytterligare handledning, utbildningar eller andra stödåtgärder från ansvarig myndighet, gärna i dialog med experter på det nu aktuella området.

Även med beaktande av att förordningen ska vara av generell karaktär anser vi emellertid att främjandet av förvaltningens digitalisering, till nytta för privatpersoner och företag, utgör ett sådant perspektiv som vid denna tidpunkt kan lyftas fram särskilt. Vi bedömer därför att regeringen bör överväga att regeringen i förordningen om konsekvensutredning vid regelgivning föreskriva att en konsekvensutredning ska innehålla en bedömning av om särskilda hänsyn behöver tas när det gäller regleringens inverkan på digital tillgänglighet till förvaltningen eller dess inverkan på automatiserade förfaranden eller annan digital informationshantering i förvaltningen. Också i Regeringskansliet bör det övervägas hur man i beredningsprocesserna kan omhänderta motsvarande behov av konsekvensanalyser.

Det finns vidare anledning att framhålla att frågor om hur informationshanteringen ska gå till och i vilken utsträckning förfaranden kan digitaliseras eller automatiseras är angelägna att tidigt ta i beaktande när nya rättsakter inom EU förhandlas fram. Även i de processerna kan det därför finnas anledning att i tid inhämta synpunkter från dem med teknisk kompetens hos de myndigheter som berörs av de förslag som förhandlas.

1684 § förordning (2009:145) med instruktion för Tillväxtverket.

8. Digital kommunikation

8.1. Behovet av enkel, säker och effektiv kommunikation

Framväxten av den digitala förvaltningen har inneburit avsevärda förändringar i sätten att förmedla information till och från myndigheter. Under lång tid fanns inte andra medel för sådan kommunikation än skriftliga pappersförfaranden eller muntliga kontakter vid personliga möten eller per telefon. En omfattande utveckling av kommunikationsmedel har emellertid ägt rum från mitten av 1900talet och framåt. Först gjorde faxen och sedan e-posten och webben sitt intåg i förvaltningen. Flertalet myndigheter erbjuder numera utöver e-post också andra former av digital kommunikation med privatpersoner och företag eller myndigheter emellan. Det rör sig bl.a. om kommunikation av meddelanden till enskilda via lösningen för säker myndighetspost betecknad Mina meddelanden och olika webbaserade digitala tjänster (hittills oftast benämnda e-tjänster). Det handlar också om andra tekniska lösningar för överföring av information från maskin till maskin via kanaler som uppfyller särskilda krav på säkerhet.

Att använda digitala tjänster för kommunikation innebär ofta fördelar i förhållande till användning av papperspost eller konventionell e-post. Digitala tjänster kan inledningsvis i flera avseenden möjliggöra nya former för service och information till enskilda. Med digitala medel kan exempelvis beslut beskrivas på andra sätt än vad som är möjligt att förmedla på ett papper eller i ett e-postmeddelande, bl.a. när det gäller att åskådliggöra beräkningar eller prognoser. Information från myndigheter kan också bättre anpassas till mottagarens individuella situation på ett annat sätt än vad som är möjligt när ett informationsinnehåll behövt fixeras i ett pappersdokument.

Under kartläggningen har vi sammantaget fått bilden av att myndigheternas utveckling av digitala tjänster, även vad avser de tjänster som redan finns i drift, ännu är i sin linda. Det står alltså klart för oss att den digitala formen för att förmedla information till privatpersoner och företag möjliggör långt mer informativa tjänster från förvaltningens sida än vad som alls varit möjligt på den tid papper varit formen för att bära den information som ska förmedlas.

Det finns uppenbara fördelar med digitala lösningar ur ett tillgänglighetsperspektiv. Digitala tjänster kan bl.a. anordnas så att enskilda med särskilda behov kan ta del av meddelanden direkt via tjänsten, i stället för att den enskilde behöver ha egen tillgång till särskilda tekniska hjälpmedel för att kunna tillgodogöra sig information som förmedlats på ett papper. Som exempel kan nämnas att digitala tjänster direkt kan förses med talsyntes eller skärmläsare som läser upp en text.

Jämfört med traditionell e-post har digitala tjänster också den fördelen att kommunikationen via sådana tjänster anordnas i förhållande till myndigheten som sådan, inte till enskilda tjänstemän som kan vara fallet när e-post används. Det finns, vilket också har uppmärksammats under kartläggningen, risker med att enskilda tar direkt kontakt med tjänstemän via e-post. Det gäller bl.a. försök att påverka utgången i förvaltningsärenden eller risk för hot mot tjänstemannen i fråga. Genom att anordna kommunikationskanalerna direkt till myndigheten via digitala tjänster finns det förutsättningar att minska denna typ av risker. Funktionsbrevlådor i stället för direkta epostadresser till enskilda tjänstemän har också anordnats hos flera myndigheter i anledning av bl.a. dessa risker.

Till skillnad från när vanlig e-post används finns även möjlighet att inom ramen för digitala tjänster ordna förfaranden som säkerställer en god offentlighetsstruktur i fråga om bl.a. rutiner för rensning, arkivering, gallring och bevarande. Med effektiva medel kan myndigheten därigenom säkerställa att den följer regler som gagnar en öppen förvaltning. Omvänt leder användandet av konventionell e-post vid kommunikation med förvaltningen till hög arbetsbelastning hos myndigheterna. Personal vid myndigheterna behöver nämligen i hög grad manuellt hantera e-postmeddelandena enligt bestämmelserna om bl.a. handlingsoffentlighet och arkivering. Myndigheters möjligheter att använda spamspärrar och spamfilter i e-postlösningar kan också diskuteras ur ett rättsligt perspektiv, med beaktande av

den praktiska konsekvensen att stora mängder förmodad skräppost också behöver hanteras. När digitala tjänster i stället används vid kommunikation med förvaltningen uppnås fördelar även i nu nämnda hänseenden.

Det bör här också framhållas att digitala tjänster kan anordnas på ett sätt som möter bl.a. dataskyddsregleringens krav på säkerhet för behandling av känsliga personuppgifter, samtidigt som konventionell e-post inte har ansetts uppfylla sådana krav.1 Här bör också framhållas den nytta som skapas både för enskilda och för förvaltningen genom att uppgifter som kommer in till myndigheten via digitala tjänster vanligen har ett mer strukturerat format som bl.a. underlättar fortsatta automatiserade förfaranden (se kapitel 7).

8.2. Enskildas självbestämmande och förvaltningens uppdrag

Under utredningens kartläggningsarbete har vi i flera sammanhang uppmärksammats på frågor som hör samman med det engelska begreppet ”My Data”. Begreppet relaterar till en strävan mot att förändra synsättet på förfogande över företrädesvis personuppgifter. Informationshantering och -flöden bör enligt denna strävan i lägre utsträckning styras av myndigheter och andra organisationer. Informationen bör i stället i högre utsträckning förfogas av den enskilda person som informationen rör. Med förfogande avses både tillgång till informationen och kontroll över informationen. Finland är ett av de länder som, genom regeringsprogram,2 har antagit principer om att i förhållande till digitaliseringen av offentliga tjänster stärka medborgarnas rätt att övervaka och besluta om användningen av information som gäller dem själva.

Under kartläggningsarbetet har det förekommit att liknande koncept som ovan beskrivits har benämnts som en form av ”ägarskap” av information. Begreppet ”ägarskap” av information är juridiskt sett problematiskt, eftersom olika former av reglering ur olika perspektiv

1 Se bl.a. information på Datainspektionens webbplats, www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/sakerhet-enligtpersonuppgiftslagen/sakerhet-for-personuppgifter-i-e-post/ 2 Se http://vm.fi/sv/offentliga-tjanster-digitaliseras och http://vnk.fi/documents/10616/1930541/Bilaga+5+Digitalisering+f%C3%B6rs%C3%B6k sverksamhet+och+avveckling+av+normer.pdf/b97419d2-ad95-40df-b63a-99984ad1b868

definierar ansvar för information.3 Vi väljer därför att inte använda termen ägarskap i detta sammanhang.

Frågor om den enskildes rätt att själv förfoga över information som rör den egna personen bör också sättas i samband med vilken medverkan från enskilda som exempelvis ska krävas när individer och företag ställs inför en livshändelse i privatlivet respektive verksamheten4 som kräver en mängd kontakter med det offentliga. I nuläget måste den enskilde eller en person som företräder företaget eller organisationen ofta vara sin egen projektledare i en sådan situation. Utan myndighetsövergripande guidning behöver den enskilde eller företrädaren själv skapa sig en uppfattning om hur han eller hon ska gå till väga, vilka aktörer som behöver kontaktas, vilken information som måste skickas in till en eller flera myndigheter och i vilken form. Många gånger behöver samma uppgift lämnas in till flera olika aktörer, samtidigt som det saknas en övergripande bild över ärendegången.

I linje med vad som anförts ovan kan det finnas skäl för att informationshanteringen bör utgå från organisatoriska lösningar och förbättrade rättsliga förutsättningar för informationsutbyten mellan myndigheter, snarare än utökad arbetsinsats från den enskilde. I kapitel 7 har vi också pekat på den framtida utveckling vi ser mot att förvaltningens automationsåtgärder kommer att medföra att uppgifter i högre grad hämtas från databaser inom förvaltningen, dvs. digitala källor, och i lägre grad inhämtas direkt från den enskilde genom att denne på fri hand lämnar uppgifter själv i t.ex. ansökningsformulär när ärenden inleds.5 Trots detta kommer det förstås

3 Rättsregler som avser myndigheters ansvar för information finns i olika typer av författningar. Vissa typer av reglering som avser ansvar för information utgår från att skydda eller tillvarata särskilda intressen, såsom informationssäkerhet (se t.ex. förslag till 2 kap. 2 § ny säkerhetsskyddslag i Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag, prop. 2017/18:89, 19 § förordningen [2015:1052] om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap, Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet [MSBFS 2016:1]), integritetsskydd (se t.ex. dataskyddsförordningen), god offentlighetsstruktur (se t.ex. 4 kap. offentlighets- och sekretesslagen [2009:400]) eller arkiv (se t.ex. arkivlagen [1990:782]). 4 Med livshändelse menas enligt eSamverkansprogrammet (eSam) när en privatperson eller företagare ställs inför en händelse som påverkar och förändrar hans eller hennes livssituation och som kräver en mängd kontakter med det offentliga, se http://esamverka.se/vart-arbete/ livshandelsedriven-utveckling.html 5 Jfr vad som beskrivits i kapitel 6.6 om ”The Once-Only Principle” (TOOP) i EU:s handlingsplan för e-förvaltning. Principen innebär att offentliga förvaltningar bör säkerställa att medborgare och företag endast behöver lämna samma uppgifter en gång på ett ställe i den digitala förvaltningen.

ändå att kvarstå ett behov av kommunikation mellan enskilda och förvaltningen.

8.3. Behövs ny eller anpassad reglering om digital kommunikation med enskilda?

8.3.1. Våra inledande överväganden

Utredningens bedömning: Lagstiftningen bör anpassas för att

ge rättslig styrning och stöd med regler om digital kommunikation vid kontakter mellan enskilda och förvaltningen. En sådan reglering skapar bättre förutsättningar för en sammanhållen och tillgänglig digital förvaltning.

Skälen för utredningens bedömning

Kartläggningsresultatet

I våra kommittédirektiv anges att utredningen särskilt ska analysera och föreslå vilket författningsstöd som krävs för att tillvarata den fulla potentialen i regeringens satsning Digitalt först, för att därigenom möjliggöra en övergång från traditionella ärendeflöden till digitala interaktioner.

Inom ramen för vår kartläggning har relativt få aktörer specifikt lyft frågor som rör reglering avseende formen för hur förvaltningen ska vara tillgänglig för kontakter från enskilda. Möjligen följer det sagda av att vi under kartläggningen främst har träffat myndigheter och inte enskilda. Flera myndighetsrepresentanter har i stället närmat sig frågan från motsatt håll genom att undra vilka krav förvaltningen kan ställa på enskilda att använda de kanaler som tas fram för digital kommunikation. Frågorna hör givetvis samman med varandra i den bemärkelsen att digitala tjänster som utvecklas inom förvaltningen också behöver användas av enskilda för att de ska vara till någon nytta. Att den digitala kommunikationen mellan förvaltningen och enskilda även i praktiken behöver fungera i båda riktningarna är också något som vi har uppmärksammats särskilt på, inte minst i samband med den hearing som utredningen anordnat.

Flera av de representanter vi mött under kartläggningen har emellertid på ett övergripande plan framfört att det behövs mer styrning genom rättsregler för att nå de politiska målen med en digital förvaltning. Några har framfört att det digitaliseringsarbete som bedrivs i dag många gånger bygger på att det finns eldsjälar som driver arbetet framåt, men att det ibland inte räcker med myndigheters eller enskilda medarbetares goda vilja för att nå de politiska målen utan att det krävs styrning och stöd genom rättsregler. Det har även framförts som önskvärt att förvaltningslagen skulle fokusera på en digital förvaltning. Med ett tydligare rättsligt stöd beskrivs det vara lättare för myndigheterna att ta ytterligare steg framåt vad gäller den digitala servicen.

Gällande och föreslagen reglering

Tidigare rättsutveckling avseende frågor som rör formen för förvaltningens kontakter med enskilda kan i viss mån sägas ha följt den teknik- och samhällsutveckling som ägt rum. Exempelvis infördes det i förvaltningslagen år 2003 en uttrycklig skyldighet för myndigheterna att se till att medborgarna kan kommunicera med dem med hjälp av telefax och elektronisk post.6 I de motiv som angavs som skäl för att införa bestämmelsen anfördes bl.a. att e-post var ett effektivt och användarvänligt kommunikationsmedel och att det fanns ett påtagligt behov hos enskilda människor att kunna använda detta moderna sätt att kommunicera i sina kontakter med myndigheterna. Vidare anförde regeringen följande.

Det är enligt regeringens mening ett grundläggande villkor att förvaltningen anpassar sig till de förändringar som sker i samhället. Myndigheterna skall uppfylla högt ställda krav på tillgänglighet och tillmötesgående. Informationstekniken är ett centralt redskap när det gäller att utveckla servicen i förvaltningen. Mot den nu angivna bakgrunden framstår det som angeläget att det införs en otvetydig skyldighet för myndigheterna att erbjuda medborgarna möjlighet att komma i kontakt med dem med hjälp av moderna kommunikationsmedel. Detta bör ske genom ett uttryckligt åliggande för förvaltningsmyndigheterna och domstolarna att vara tillgängliga per fax och, framför allt, e-post. Detta krav måste i princip anses gälla som god förvaltningspraxis redan i dag. Utgångspunkten är alltså att det alltid skall vara möjligt för en enskild

6 5 § andra stycket förvaltningslagen (1986:223).

att kontakta en myndighet med hjälp av e-post i stället för att t.ex. använda telefon eller brev.7

Genom den nya förvaltningslag som träder i kraft den 1 juli 2018 ändras den aktuella bestämmelsens lydelse så att den i stället anger att en myndighet ska vara tillgänglig för kontakter med enskilda och informera allmänheten om hur och när sådana kan tas. Ändringen motiverades av att regleringen i högre grad nu borde anpassas så att den är neutral i förhållande till den omfattande och kontinuerligt ökande digitala förvaltningen och att den även i övrigt borde göras mer ändamålsenlig. För att förvaltningen inte ska låsa sig vid de varianter som nu förekommer, utan vara öppen för nya lösningar när det gäller digitala kommunikationsformer, formulerades kravet mera allmänt.8 Regleringen knyter alltså inte till sin lydelse an till den pågående utvecklingen där förvaltningen i ökad grad erbjuder, och enligt de politiska målen förväntas erbjuda, digitala tjänster för kommunikation med privatpersoner och företag.

Förvaltningslagen innehåller även en bestämmelse om kommunikation med den som är part i ett ärende innan en myndighet fattar beslut. Bestämmelsen innebär att det är myndigheten som avgör hur sådan underrättelse ska ske. Det följer dock av myndigheternas serviceskyldighet att valet av underrättelseform måste göras med beaktande av tillgänglighetsaspekter, exempelvis i kontakter med barn eller unga, eller om någon enskild till följd av en funktionsnedsättning har svårigheter att tillgodogöra sig muntlig eller skriftlig information.9 En liknande bestämmelse i förvaltningslagen anger skyldighet att underrätta den som är part om innehållet i beslut och om överklagandemöjligheter.10

Förvaltningslagen anger därmed inte några handlingsdirektiv avseende formen för förvaltningens kommunikation med privatpersoner och företag. Den enskilda myndigheten har i stället själv att ta ställning till dels frågan om digitala tjänster alls ska erbjudas, dels hur dessa digitala tjänster i sådant fall ska utformas (med beaktande av annan reglering, se bl.a. översikten i kapitel 4) och användas.11

7Några förvaltningsrättsliga frågor, prop. 2002/03:62, s. 10 f. 8 7 § första stycket förvaltningslagen (2017:900) och En modern och rättssäker förvaltning – ny

förvaltningslag, prop. 2016/17:180, s. 68 f.

9 25 § andra stycket förvaltningslagen och a. prop. s. 169 f. 1033 § förvaltningslagen. 11 Jfr t.ex. med kraven i 15 a § i den norska loven om behandlingsmåten i forvaltningssektor LOV-1967-02-10 (forvaltningsloven) och föreskriften om elektronisk kommunikation med och i förvaltningen FOR-2004-06-25-988 (e-förvaltningsföreskriften).

Utredningen om effektiv styrning av nationella digitala tjänster har å sin sida föreslagit att det ska införas en ny bestämmelse om att statliga myndigheter ska erbjuda elektronisk kommunikation i kontakten med enskilda. Den bestämmelse som föreslås avser inte myndigheters användning av digital post utan annan elektronisk kommunikation där privatpersoner och företag lämnar uppgifter till myndigheten i ett elektroniskt formulär eller får information presenterad för sig. Vidare beskrivs att för denna kommunikation behövs en identitets- och behörighetskontroll, dvs. inloggning.12

Den nämnda utredningen har också föreslagit att det ska införas en ny rätt för enskilda och företag att få myndighetspost elektroniskt och att alla statliga myndigheter ska skicka myndighetspost elektroniskt om inte regeringen beslutar annat.13

Några utgångspunkter

Finns det då mot den beskrivna bakgrunden behov av att införa reglering som ställer uttalade krav på att privatpersoner och företag enkelt ska kunna komma i digital kontakt med det offentliga Sverige? Eller kommer kommunikationsvägarna ändå att bli digitala med tiden, utan att några rättsregler alls behöver ange detta? Frågeställningen bör enligt oss belysas från huvudsakligen två perspektiv.

För det första bör det i linje med vad som anförts ovan övervägas om det behövs ytterligare handlingsdirektiv genom reglering för att det ska vara möjligt att nå de politiska målen om att det ska vara enkelt för privatpersoner och företag att kontakta förvaltningen digitalt. I denna del instämmer vi i de slutsatser som Utredningen om effektiv styrning av nationella digitala tjänster har dragit om att de befintliga politiska målen snarare utgör mål för regeringens arbete och politiken som helhet, än sådana mål som pekar ut vad myndigheterna ska göra eller förväntas uppnå.14

För det andra ger kartläggningen stöd för att våra överväganden om behov av regeländringar behöver göras med beaktande av att det

12 Utredningen om effektiv styrning av nationella digitala tjänsters delbetänkande

digitalforvaltning.nu (SOU 2017:23), s. 117 f. och förslag till 6 § första stycket förordningen

(2003:770) om statliga myndigheters elektroniska informationsutbyte. 13 A.a. s. 192 f. och samma utrednings slutbetänkande reboot – omstart för den digitala

förvaltningen (SOU 2017:114) med förslag till lag om infrastruktur för digital post.

14SOU 2017:114 s. 101 f.

råder en rättslig osäkerhet i vissa särskilda frågor som rör förvaltningens kommunikation med enskilda. Den osäkerheten förstärks när tillämpliga rättsregler inte ger uttryck för ett rättsligt stöd för de kommunikationsformer som myndigheterna faktiskt tillhandahåller eller överväger att införa. Nuvarande reglering ger inte heller enskilda en rättvisande bild av hur förvaltningen faktiskt sköts och i allt högre utsträckning kommer att skötas.

Det finns ytterligare aspekter på frågan om det behövs rättsregler som anger att privatpersoner och företag enkelt ska kunna komma i digital kontakt med förvaltningen. En sådan aspekt, som utgör ett tredje skäl att överväga rättsregler, är vilken tidsram som bör accepteras för att förvaltningens digitalisering ska pågå parallellt med en traditionell pappershantering. Så länge papper behöver hanteras parallellt med att nya digitala tjänster tas fram kommer förvaltningen att behöva hantera ärendeprocesser på dubbla sätt.

Vi går här inte närmare in på beräkningar av vilka kostnader detta för med sig, utan stannar vid att konstatera att detta uppenbart kommer att vara fortsatt kostsamt vad avser såväl tid som ekonomiska resurser som behöver avsättas för post- och pappershantering, parallellt med utvecklingen och förvaltningen av de digitala tjänsterna.

Det förhållandet att samma ärendeprocesser nu under en övergångsperiod innefattar både digital hantering och pappershantering gör det också svårare att få överblick över och insyn i den samlade ärendehanteringen. Det finns med andra ord inte bara ett kostnads- eller effektivitetsperspektiv på frågan om förvaltningens upprätthållande av två sätt att förfara med samma ärendeprocesser. Det finns också ett insyns- och rättssäkerhetsperspektiv som enligt oss förtjänar att framhållas.

Enligt vår bedömning bör reglering mot den beskrivna bakgrunden särskilt övervägas i syfte att hålla tidsperioden för parallella sätt att hantera information så kort som möjlig, samtidigt som rättssäkra förfaranden garanteras.

Teknikneutral reglering

Vi ser positivt på att regleringen i den nya förvaltningslagen innehåller ett allmänt formulerat krav på att myndigheterna ska vara tillgängliga för kontakter med enskilda, utan att ange några detaljerade

krav på att myndigheterna måste skapa vissa utpekade tekniska förutsättningar som knyter an till sådana kommunikationsformer som är kända i dag.15 Under kartläggningen har vi också fått en god bild över alla de former för digital tillgänglighet som nu och i närtid finns och planeras hos myndigheterna. Det rör sig om en varierad palett av digital kommunikation. Kommunikationskanalerna kan avse avancerade tekniska lösningar med maskin-till-maskin-inläsning av information genom öppna applikationer, eller digitala tjänster hos myndigheter med Mina sidor, kommunikation till enskilda via Mina meddelanden eller andra kanaler för digitala kontakter. Ibland kan de också kompletteras av nya sätt att ge service t.ex. via telefonsamtal eller andra former för röststyrning i stället för att förutsätta det skrivna ordet. Med beaktande av detta och att den tekniska utvecklingen kan förutspås gå fort framåt även framöver vad gäller formerna för digital kommunikation bör en reglering om förvaltningens tillgänglighet enligt vår bedömning förhålla sig neutral i förhållande till vilken teknik som används i nutid.

Det har också visat sig finnas nackdelar med att reglera att myndigheter ska vara skyldiga att tillhandahålla kommunikationskanaler via en särskilt utpekad teknik. Här bör särskilt hänvisas till vad som i kapitel 8.1 beskrivs vara problem med att kräva att myndigheter ska ta emot traditionell e-post. Enligt vår bedömning är det därför också positivt att det inte längre anges i den nya förvaltningslagen att myndigheter behöver vara tillgängliga via t.ex. fax eller e-post utan kan välja att helt avstå från att tillhandahålla sådana former för kommunikation.

Att en reglering bör förhålla sig teknikneutral och inte peka ut detaljer i frågan om vilka kommunikationskanaler som myndigheter ska vara skyldiga att tillhandahålla innebär emellertid inte att det bör råda en fullständig avsaknad av regler om hur enskilda kan förvänta sig nå den allt mer digitala (och också automatiserade, se kapitel 7) förvaltningen, eller hur förvaltningen bör kommunicera med enskilda.

Frågan om förvaltningens digitala tillgänglighet för enskilda och hur kommunikationen mellan förvaltningen och enskilda förväntas fungera är av central betydelse för många privatpersoner och företag och ytterst en fråga om hur rättssäkra förfaranden kan garanteras. För oss framstår det också som naturligt att inför våra bedömningar och

15 Se kapitel 6.2 och prop. 2016/17:180 s. 68.

förslag ta en utgångspunkt i hur den allmänna förvaltningsrätten under lång tid har utvecklats. I såväl den hittills gällande som i 1971 års förvaltningslag har explicita författningskrav ställts på förvaltningen i fråga om tillgänglighet vid kommunikation i samband med ärendehandläggning och sammanhängande beslutsfattande och service.

Våra överväganden om behov av att anpassa lagstiftningen

Mot den beskrivna bakgrunden framstår det som en rimlig utgångspunkt att formerna för hur enskilda med fog kan förvänta sig att få kontakt med förvaltningen bör framgå i generell reglering som dels styr mot de politiska målen om en digital förvaltning, dels träffar den offentliga förvaltningen som helhet (dvs. förutom förvaltningsmyndigheter och domstolar även kommuner och landsting). Med detta i beaktande skulle den förordningsreglering som Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit om skyldighet för statliga myndigheter att erbjuda elektronisk kommunikation i kontakten med enskilda16 inte vara tillräcklig, eftersom den inte når hela förvaltningen på det sätt som enskilda enligt vår bedömning har anledning att förvänta sig. För den enskilde är det nämligen sällan av någon större betydelse om denne i samband med olika händelser i livet som kräver myndighetskontakt ska vända sig till en statlig eller kommunal myndighet, t.ex. när någon anländer som ny i Sverige eller vill starta ett företag.

Enligt vår bedömning är det inte heller tillräckligt att styra enskilda utvecklingsarbeten som rör enstaka digitala tjänster i förvaltningen genom uppdrag i regleringsbrev eller andra regeringsuppdrag. En sådan styrning avser normalt kortare perioder under utvecklingsfasen av nya tjänster och inte den digitala förvaltning som faktiskt byggs upp och därefter under längre tid ska vara i drift i förhållande till enskilda. Det blir inte heller transparent eller förutsebart för privatpersoner och företag på vilket sätt de kan förvänta sig att kommunikationen med förvaltningen kan, bör eller ska gå till. Behovet av reglering, och inte enbart styrning genom regeringsuppdrag, stärks också av den ovan nämnda utgångspunkten att reglering

16 Förslag till 6 § första stycket förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte i SOU 2017:23 s. 117 f.

om en digitalt tillgänglig förvaltning bör omfatta förvaltningen som helhet, dvs. inte enbart statliga myndigheter.

Det skulle kunna invändas att en rättslig reglering med t.ex. huvudregler om digital kommunikation vid kontakter mellan förvaltningen och enskilda inte borde införas förrän teknisk infrastruktur för att stödja sådan kommunikation finns på plats. Det skulle också kunna hävdas att det, innan en sådan reglering övervägs, inte bör finnas några som helst övriga rättsliga hinder mot digital kommunikation mellan enskilda och förvaltningen t.ex. avseende regler i registerförfattningar om elektroniskt utlämnande av uppgifter. Mot detta kan enligt vår bedömning framhållas att generella krav behöver ställas just för att skapa incitament att åstadkomma dessa ytterligare förutsättningar. Faktorer som tekniska möjligheter och rättsliga förutsättningar i övrigt blir emellertid fortsatt nödvändiga att förhålla sig till.

Vi bedömer sammanfattningsvis att tiden är mogen för generella men övergripande och teknikneutrala regler om digital kommunikation vid kontakter mellan förvaltningen och enskilda. Genom en sådan reglering skapas bättre förutsättningar för en sammanhållen digital förvaltning som finns tillgänglig för privatpersoner och företag utifrån deras behov. Denna typ av reglering skapar också goda grundläggande rättsliga förutsättningar för att åstadkomma infrastrukturlösningar med t.ex. en gemensam plattform för olika myndigheters digitala tjänster. Det ska vara enkelt för den enskilde att komma i kontakt med den digitala förvaltningen, oavsett om det är en eller flera statliga eller kommunala myndigheter som ska hantera den enskildes ärende eller ärenden.17

8.3.2. Enskildas användande av digitala tjänster

Utredningens bedömning: Det bör inte nu införas en förvaltnings-

gemensam reglering som ålägger privatpersoner och företag en generell skyldighet att använda de digitala tjänster som förvaltningen tillhandahåller.

17 Jfr vad som framgått i kapitel 6.6 om att offentliga förvaltningar bör leverera sina tjänster digitalt som förstahandsalternativ och att offentliga tjänster bör tillhandahållas via en enda kontaktpunkt (eller one-stop-shop) och via olika kanaler enligt den EU-gemensamma handlingsplanen för e-förvaltning.

Skälen för utredningens bedömning

Allas tillgänglighet till en digital förvaltning

Det pågår flera arbeten som ytterst syftar till att öka den digitala tillgängligheten till offentlig sektor för alla människor. Här kan inte en heltäckande bild av allt det aktuella arbetet ges, men några inledande och övergripande reflektioner bör göras om hur digitaliseringen förhåller sig till tillgänglighetsaspekter.

Vår utgångspunkt är att digitala kontaktvägar mellan förvaltningen och enskilda innebär förbättrade möjligheter för privatpersoner och företag att på sina villkor få tillgång till förvaltningens tjänster. Myndigheter som erbjuder digitala tjänster för att t.ex. inleda ärenden finns tillgängliga den tid på dygnet som den enskilde önskar. Digitala förfaranden ger också överlag förbättrade möjligheter för enskilda att snabbt och enkelt få tillgång till information och beslut från förvaltningens sida. För den breda allmänheten medför därmed digitaliseringen en bättre tillgänglighet till förvaltningen.

Det räcker dock inte att digitaliseringen generellt sett ger allmänheten en bättre tillgänglighet till förvaltningen. Frågan om förvaltningens tillgänglighet behöver belysas i förhållande till alla enskilda. I regeringens digitaliseringsstrategi anges bl.a. att digital kompetens innebär att alla ska vara förtrogna med digitala verktyg och tjänster samt ha förmåga att följa med och delta i den digitala utvecklingen utifrån sina förutsättningar. Alla människor, kvinnor och män, flickor och pojkar, oavsett social bakgrund, funktionsförmåga och ålder, ska också erbjudas förutsättningar att ta del av digital information och tjänster från det offentliga och delta på ett likvärdigt sätt i samhället. Genom digital trygghet ska människor, företag och organisationer känna tillit till användningen av digitala tjänster och att de är enkla att använda.18

18För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi, Näringsdepartementet, dnr N2017/03643/D.

De som använder internet i dag är inte bara de som tidigt tog sig an tekniken, de är många fler än så. Det ställer krav på att bl.a. tillgänglighetsanpassa webbsidor och mobila applikationer så att dessa fungerar även för personer med funktionsnedsättning.19 Digitala lösningar kan också utvecklas i syfte att öka tillgängligheten. Digitaliseringen kan alltså ge specifika lösningar som avhjälper någon typ av begränsning i den befintliga tillgängligheten. Bland annat kan digitala tjänster anordnas så att enskilda med särskilda behov kan ta del av meddelanden direkt via tjänsten, i stället för att den enskilde behöver ha egen tillgång till särskilda tekniska hjälpmedel för att kunna tillgodogöra sig information som har förmedlats på ett papper.

Frågor om digital tillgänglighet behöver också belysas i förhållande till dem som inte kan eller vill använda digital teknik. Även om den ”digitala klyftan” mellan dem som använder respektive inte använder digital teknik stadigt krymper i Sverige finns det fortfarande omkring en halv miljon svenskar som inte använder internet över huvud taget. I absoluta tal är det 500 000 svenskar som inte är uppkopplade, varav nära 430 000 är äldre än 66 år.20 Att befolkningen kommer att innefatta bl.a. äldre personer med nedsatta kognitiva förmågor är inte heller en faktor som kommer att försvinna med tiden. Också ekonomiska faktorer, som förmåga till inköp av nödvändig utrustning, behöver beaktas i detta sammanhang.

Även med beaktande av att antalet personer som inte använder internet minskar i Sverige behöver det sammanfattningsvis hållas i åtanke att det, i vart fall under den tid vi nu kan överskåda, kommer att finnas personer som inte kan eller vill använda digital teknik vid kontakter med myndigheter. Samtidigt ska de fördelar som digitalisering av förvaltningen medför tas till vara så att såväl den breda allmänheten som enskilda med särskilda behov kan få ökad tillgång till förvaltningens tjänster liksom enklare och snabbare service.

19 Se bl.a. artikel 9 i FN-konventionen om rättigheter för personer med funktionsnedsättning (SÖ 2008:26), 1 kap. 2 § regeringsformen, 1 § första stycket förordningen (2001:526) om de statliga myndigheternas ansvar för genomförande av funktionshinderspolitiken, diskrimineringslagen (2008:567), 4 kap. 23 § kommunallagen (2017:725), 9 kap. 2 § lagen (2016:1145) om offentlig upphandling och 9 kap. 2 § lagen (2016:1146) om upphandling inom försörjningssektorerna. Se vidare Genomförande av webbtillgänglighetsdirektivet, Ds 2017:60. 20 Se Svenskarna och internet 2017 – En årlig studie av svenska folkets internetvanor, Internetstiftelsen i Sverige, på www.soi2017.se/vuxnas-digitala-kompetens/delaktighet-iinformationssamhallet/

Likabehandlingsprincipen

Av 1 kap. 9 § regeringsformen följer att domstolar, förvaltningsmyndigheter och andra som fullgör offentliga förvaltningsuppgifter i sin verksamhet ska beakta allas likhet inför lagen samt iaktta saklighet och opartiskhet. Kravet på allas likhet inför lagen innebär ett skydd mot godtycke och diskriminering. Genom stadgandet markeras att Sverige är en rättsstat, och bl.a. Riksdagens ombudsmän (JO) hänför sig ibland till grundlagsbestämmelsen i sina uttalanden.

Frågan om bestämmelsens betydelse i samband med förvaltningens digitalisering har tagits upp i JO:s beslut rörande Migrationsverkets handläggningstider i ärenden om uppehållstillstånd.21 Inom flera av de ärendeslag som granskades fanns det en avsevärd skillnad i handläggningstid mellan webbansökningar och ansökningar på papper. Migrationsverket hade uppgett att man för att förmå människor att göra sina ansökningar via webben hade valt att prioritera handläggningen av elektroniska ansökningar före pappersansökningar bland ansökningar som i övrigt var likvärdiga. Förfarandet bedömdes av JO vara oförenligt med likhets- och objektivitetsprinciperna i regeringsformen, och Migrationsverket kritiserades för detta.

Några utgångspunkter

I våra kommittédirektiv anges att det, för att målsättningen om Digitalt först ska kunna uppnås, krävs bl.a. att den offentliga förvaltningen har rättsliga förutsättningar att styra relevanta ärendeflöden och interaktioner med individer och företag till digitala lösningar. Vidare är det tydligt för oss att en parallell pappershantering förr eller senare behöver utmönstras. Så länge papper behöver hanteras parallellt med att nya digitala tjänster tas fram kommer förvaltningen nämligen att behöva hantera ärendeprocesser på dubbla sätt. Att hantera en och samma ärendeprocess både digitalt och på papper medför som redan konstaterats kostnader för dubbla förfaranden. Att information lagras och hanteras på två olika sätt inom ramen för samma ärendeprocess försvårar också möjligheten att enkelt kunna få insyn i och överblick över den verksamhet som bedrivs. Det är med andra ord önskvärt att så snart det är möjligt

21 JO:s beslut 2015/2016:JO1, s. 326 f. (Dnr 5497-2013).

avsluta en parallell pappershantering när t.ex. en viss ärendeprocess har digitaliserats.

Frågan är hur rättsliga förutsättningar kan åstadkommas för att inom rimlig tid avsluta parallella pappersförfaranden i en digital förvaltning. Redovisningen av gällande och föreslagen rätt i kapitel 8.3.1 visar att reglering som ställer krav på formen för kommunikation mellan enskilda och förvaltningen har funnits respektive föreslås, men enbart när det gäller krav riktade mot förvaltningen. Det finns med andra ord inte några generella regler som ålägger enskilda skyldigheter att å sin sida använda digital form när de kommunicerar med det offentliga. Vi inleder därför med att överväga om det vore möjligt och i sådant fall lämpligt att införa en sådan skyldighet, vilket skulle medföra att förvaltningen helt kunde styra sina ärendeflöden till digitala lösningar.

Gällande rätt i förvaltningslagen

Bestämmelsen om tillgänglighet i 7 § förvaltningslagen22 anger ett allmänt krav på att en myndighet ska vara tillgänglig för kontakter med enskilda och att myndigheten ska informera allmänheten om hur och när sådana kontakter kan tas. Det innebär att myndigheterna ska vara tillgängliga för allmänheten i så stor utsträckning som möjligt. Av det allmänna kravet på myndigheters serviceskyldighet i 6 § framgår att en myndighet ska se till att kontakterna med enskilda blir smidiga och enkla, att myndigheten ska lämna den enskilde sådan hjälp att han eller hon kan ta tillvara sina intressen och att hjälpen ska ges i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet. Rätten att få hjälp är inte begränsad till viss form. Förvaltningslagen och dess förarbeten23 anger dock inte några närmare beskrivningar av var gränserna går för om eller när en myndighet kan välja att enbart tillhandahålla t.ex. digitala formulär för vissa typer av ansökningar.

22 Här och i det följande avses förvaltningslagen (2017:900) med ikraftträdande den 1 juli 2018, om det inte särskilt anges att annan lydelse avses. 23Prop. 2016/17:180.

Våra överväganden om enskildas användande av digitala tjänster

Förutom det JO-beslut som refererats ovan saknas det, såvitt vi har kunnat se, närmare vägledning om hur just grundlagens krav på likhet och objektivitet ska förstås när det gäller digitalisering av kanaler för kommunikation från enskilda till förvaltningen.24 Det saknas med andra ord en rättslig belysning av vilka förutsättningar myndigheter har att, i samtliga eller i vissa fall, enbart tillhandahålla digitala kommunikationskanaler, dvs. inte längre erbjuda exempelvis pappersblanketter för ansökningar eller till och med kräva att ansökningar ges in enbart via en viss digital tjänst för att ärendet ska behandlas av myndigheten.

Myndigheter inom förvaltningen hanterar en stor bredd av förvaltningsärenden som rör helt olika sakfrågor och innebär kontakter med en varierad krets av parter och andra berörda. Det finns därför anledning att i flera avseenden nyansera frågeställningen om myndigheter kan välja att endast erbjuda digitala kanaler för kommunikation, eller till och med kräva att ansökningar ges in via t.ex. en viss digital tjänst. Vid överväganden av vilka kommunikationskanaler som myndigheterna ska erbjuda för enskilda som t.ex. vill inleda ärenden bör det enligt oss läggas stor vikt vid frågan om ärendets typ och vilken krets av parter och andra berörda som förutses kommunicera med myndigheten i den specifika ärendetypen. Vilka enskilda som berörs, på vilket sätt de berörs, och vad de själva önskar är omständigheter som bör vara en naturlig utgångspunkt vid bedömningar om på vilket sätt digitala tjänster kan anordnas samtidigt som rättssäkra förfaranden kan garanteras.

Vi bedömer att det för närvarande inte finns förutsättningar för att föreslå en förvaltningsgemensam reglering som ålägger privatpersoner och företag en generell skyldighet att använda de digitala tjänster som förvaltningen tillhandahåller. Bland annat genomförandet av regeringens bredbandsstrategi25 bör här nämnas som en nödvändig förutsättning på infrastrukturnivå för att kunna övergå till helt digitala förfaranden. Här kan också nämnas det arbete av infrastrukturkaraktär som bedrivs med avseende på tjänster, som

24 Det finns emellertid ett antal avgöranden och beslut som rör frågor om bl.a. vad som i digitala miljöer ansetts utgöra beslut i förvaltningsrättslig mening. Se t.ex. RÅ 2004 ref. 8 (Olivoljemålet) och JO:s beslut av den 26 oktober 2017, dnr 7314-2016. 25 Se regeringens bredbandsstrategi på www.regeringen.se/4b00e7/contentassets/a1a50c6a306544e28ebaf4f4aa29a74e/sverige-heltuppkopplat-2025-slutlig.pdf

t.ex. arbetet med att åstadkomma förutsättningar för säker e-legitimering av fysiska personer. Sett till helheten av förvaltningens verksamhet kommer det också att finnas ärendetyper där parterna, åtminstone inte för närvarande, kan eller vill använda digital teknik.

Mot bakgrund av vår ovan beskrivna utgångspunkt att det inte är lämpligt att myndigheter nu och under lång tid hanterar ärendeprocesser på parallella sätt uppstår emellertid frågan hur förvaltningen i avsaknad av en generell skyldighet för enskilda att inleda ärenden digitalt ska kunna åstadkomma en digital ärendehantering. Trots att vi inte lämnar förslag till förvaltningsgemensam reglering med åläggande för privatpersoner och företag att använda förvaltningens digitala tjänster ser vi anledning att uppehålla oss särskilt vid frågan om hur en ökad grad av digital ärendehantering vid myndigheterna ändå skulle kunna åstadkommas.

Även med beaktande av grundlagsregleringen och det ovan nämnda uttalandet från JO är det enligt vår bedömning inte alls uteslutet att vissa myndigheter i princip enbart erbjuder digitala tjänster för t.ex. vissa typer av ansökningar eller viss kommunikation. Det förekommer också redan i dag att myndigheter enbart anvisar digitala tjänster och t.ex. inte längre tillhandahåller pappersblanketter för privatpersoners ansökningar i vissa ärendeslag. Särskilt när det är fråga om ärendetyper där enskilda inte efterfrågar andra kanaler, utan tvärtom utgår från att kontakten med myndigheten ska skötas genom enkla och smidiga digitala tjänster, finns enligt vår bedömning inte anledning att myndigheten inom ramen för gällande rätt aktivt behöver erbjuda någon annan kanal.

När det gäller ärenden som avser ansökan om förmåner ser vi dock anledning att framhålla att det inte förekommer eller får förekomma att någon fråntas rättigheter genom att de saknar faktiska möjligheter att ansöka om att ta del av rättigheten i fråga.26 Om det visar sig att en person behöver komma i kontakt med en myndighet för att t.ex. ansöka om att få ta del av en förmån faktiskt inte har förutsättningar att använda den digitala tjänst som särskilt har tagits fram för det ändamålet, behöver myndigheten kunna hantera även den situationen. Här finns också anledning att påminna om förvaltningslagens bestämmelse om att en enskild part som vill lämna uppgifter muntligt i ett redan inlett ärende ska ges tillfälle till

26 Se bl.a. JO 1968 s. 225 angående att en felaktigt eller ofullständigt ifylld blankett inte fick leda till att ansökan inte togs upp till sakprövning.

det, om det inte framstår som obehövligt, och att det är myndigheten som bestämmer hur det ska gå till (t.ex. via telefontjänster eller ett personligt möte).27 En myndighet behöver alltid beakta tillgänglighetsaspekter, t.ex. om någon enskild till följd av en funktionsnedsättning har svårigheter att tillgodogöra sig muntlig eller skriftlig information. Partens intressen i det enskilda fallet behöver alltså alltid vägas in.28

Frågor om hur länge myndigheter, vid sidan av digitala tjänster, också behöver tillhandahålla särskilda pappersblanketter eller formulär får avvägas i förhållande till när förutsättningar finns att på annat sätt ge nödvändig service till enskilda som inte kan eller vill använda den digitala tekniken. Exempelvis kan det vägas in om det fortsatt kommer att vara vanligt att de parter som myndigheten har kontakt med inte har möjlighet att använda de digitala tjänster som tas fram. Myndigheter bör dock enligt vår bedömning sträva efter att sköta informationshanteringen digitalt även när den enskilde inte själv kan eller vill inleda ärendet genom en digital tjänst. Det kan t.ex. åstadkommas genom service i form av kompletterande telefontjänster eller personligt besök på sätt som gör att myndigheten kan registrera nödvändiga uppgifter digitalt så att pappershantering inte längre behövs. En stärkt organisation för lokal statlig service är därmed även positivt ur digitaliseringsperspektiv, eftersom tillgång till personlig service vid myndighetsbesök ökar förutsättningarna att komma i från en pappershantering i förhållande till dem som inte kan eller vill nyttja digitala tjänster.29

Här kan också nämnas att biblioteken, som är öppna och tillgängliga för alla, erbjuder ett flertal aktiviteter som syftar till att öka kunskaperna om digitala tjänster. Flera bibliotek erbjuder även digital hjälp utifrån användarnas behov.30 Det förhållandet att biblioteken också bidrar till att öka den digitala delaktigheten fråntar dock inte myndigheter deras skyldighet enligt förvaltningslagen att själva lämna service och finnas tillgängliga för enskilda.

2724 § förvaltningslagen. 28 25 § andra stycket första meningen förvaltningslagen och prop. 2016/17:180 s. 312. 29En organisation för lokal statlig service (dir. 2017:95). 30 Se rapporten av Ida Norberg, Insatser för digital kompetens på folkbiblioteken – En studie

om folkbibliotekens arbete med digital delaktighet (på uppdrag av SKL, Digidelnätverket och

Kungliga biblioteket), som finns tillgänglig via https://skl.se/skolakulturfritid/kulturfritid/bibliotek/digitaldelaktighet.13039.html

I detta sammanhang uppkommer vidare frågor om att pappershantering kan behövas för att tillgodose författningskrav på underskrifter från enskilda och frågor om behovet av att bevara en originalhandling eller på annat sätt säkerställa att den enskilde står bakom en viljeyttring. De frågorna återkommer vi till i kapitel 12.2.1.

Även med en strävan att frångå pappershantering förmodar vi, när hela förvaltningens vidd hålls i åtanke, att i vart fall vissa myndigheter under en tid framöver fortsatt behöver hantera handlingar som ges in i fysisk form. Under kartläggningen har det exempelvis beskrivits för oss att det fortfarande är vanligt att kartor ges in och behöver hanteras i pappersform. Möjligen är detta också en fråga om att det behövs nya tekniska lösningar för att kunna hantera digitala kartor med samma funktionalitet som papperskartor.

Vi vill vidare särskilt framhålla att det enligt vår bedömning borde finnas anledning att utgå från att aktörer som i sin yrkesroll kommer i kontakt med förvaltningen, i än högre grad än privatpersoner, bör kunna förväntas använda de digitala kanaler för kommunikation som tas fram. Det finns också exempel på att förvaltningen kräver att en viss typ av digitala kanaler används för ansökan från aktörer som agerar i sin yrkesroll, nämligen förfarandet vid utbetalning i samband med skattereduktion för hushållsarbete. I det fallet har det särskilt reglerats att utförarens begäran om utbetalning ska lämnas elektroniskt.31

Ofta torde frågan om vilka kommunikationskanaler som ska användas kunna lösas i samförstånd mellan den myndighet som tar fram digitala tjänster och de aktörer som i sin yrkesroll förväntas använda dem. Enligt vår bedömning vore det ur ett förvaltningsgemensamt perspektiv mindre lämpligt att behöva ta fram särreglering vid varje tillfälle som den digitala förvaltningen kommer att kräva att sådana aktörer använder de digitala tjänster som tillhandahålls för kommunikation, dvs. när ingen parallell pappersprocess kommer att finnas tillgänglig. Vi ser emellertid inte heller förutsättningar för att inom ramen för denna utredning nu föreslå generella skyldigheter för yrkesverksamma aktörer att använda alla typer av digitala tjänster som tillhandahålls och kommer att tillhandahållas inom förvaltningen.

318 § lagen (2009:194) om förfarandet vid skattereduktion för hushållsarbete och Ett enklare

system för skattereduktion för hushållsarbete,prop. 2008/09:77.

8.3.3. Ny huvudregel om digital tillgänglighet

Utredningens förslag: Myndigheter ska vara skyldiga att tillhanda-

hålla, och på lämpligt sätt anvisa, en eller flera digitala mottagningsfunktioner dit handlingar kan förmedlas, om det inte är olämpligt av säkerhetsskäl eller av andra skäl.

Skälen för utredningens förslag

Våra inledande överväganden

Vi har ovan gjort bedömningen att styrningen av relevanta ärendeflöden och interaktioner med individer och företag till digitala lösningar inte bör utformas som en skyldighet för privatpersoner och företag att använda de digitala tjänster som förvaltningen tillhandahåller. I stället bör det enligt vår bedömning fortsatt vara myndigheter som ska svara för att uppfylla kraven på tillgänglighet, även när det gäller digital tillgänglighet. Med andra ord bör det vara förvaltningen som har en skyldighet att motsvara enskildas förväntningar på att kunna kommunicera digitalt. Den bedömningen ligger också i linje med bl.a. Tallindeklarationen om e-förvaltning, enligt vilken privatpersoner och företag ska ges möjlighet till digitala kanaler för interaktion med förvaltningen om de väljer det.32

Huvudregel om digitala mottagningsfunktioner

Som framgått av våra överväganden i kapitel 8.3.1 har vi funnit att det behövs generella, men övergripande och teknikneutrala, regler om digital kommunikation vid kontakter mellan förvaltningen och enskilda. Vi har där också gjort bedömningen att regleringen bör träffa förvaltningen som helhet, dvs. inte enbart statliga myndigheter. Det övergripande syftet med en reglering är att skapa bättre förutsättningar för en sammanhållen digital förvaltning som finns tillgänglig för privatpersoner och företag utifrån deras behov.

Inledningsvis noterar vi att det inte synes finnas några tecken på en teknik- eller samhällsutveckling som innebär att det inom överskådlig tid kan väntas komma fram helt nya sätt för kommunikation

32 Se Tallindeklarationen på www.newsd.admin.ch/newsd/message/attachments/49838.pdf

till och från förvaltningen. Med andra ord ser vi inte en utveckling som i tekniskt avseende väsentligt skiljer sig från digitala tjänster för att lämna meddelanden till förvaltningen via webben eller kommunikation via lösningar som t.ex. Mina meddelanden. Vad som däremot kan förutspås ligga i den framtida utvecklingen är digitala lösningar där tjänsten inte enbart fokuserar på det skrivna ordet, utan t.ex. inkluderar funktioner för att förmedla information via bild eller ljud. I det följande använder vi begreppen handlingar och meddelanden synonymt i den bemärkelsen att meddelanden är en typ av handlingar som i detta sammanhang är föremål för kommunikation mellan myndighet och enskild.

En reglering med skyldigheter för förvaltningen att motsvara enskildas förväntningar på digital tillgänglighet skulle kunna utformas på olika sätt. I våra överväganden har vi, vid sidan av enskildas intressen av att enkelt komma i kontakt med den digitala förvaltningen, också att beakta bl.a. säkerhets- och kostnadsaspekter för förvaltningen. Särskilt med de sistnämnda aspekterna i åtanke har vi inledningsvis övervägt om det vore möjligt och lämpligt att formulera en reglering om digitala tjänster i första hand som ett målsättningsstadgande, snarare än en uttrycklig skyldighet för förvaltningen. Vid närmare analys har vi emellertid funnit att den typen av icke tvingande bestämmelse vore mindre lämplig, särskilt med beaktande av att regleringen enligt vår uppfattning bör bidra till att det ska vara förutsebart för privatpersoner och företag på vilket sätt de kan förvänta sig att kommunikationen med förvaltningen fungerar.

Mot bakgrund av de nackdelar vi sett med användande av traditionell e-post har vi också övervägt om målsättningen med Digitalt först borde komma till uttryck som en bestämmelse om att myndigheter ska vara skyldiga att tillhandahålla just digitala tjänster, dvs. särskilt framtagna tjänster för att t.ex. inleda ett ärende och kommunicera under ärendehandläggningen. Att i dagsläget uppställa ett sådant generellt och uttryckligt krav skulle emellertid riskera att bli betungande för förvaltningen i kostnadshänseende, särskilt med beaktande av att vi funnit att regleringen bör omfatta hela förvaltningen och inte enbart statliga myndigheter.

Vi har slutligen stannat vid bedömningen att en generell reglering med krav på förvaltningen i fråga om dess digitala tillgänglighet bör utformas helt neutralt i förhållande till vilken form av digital kommunikation som avses. Det krav som enligt oss bör ställas är att en

myndighet ska tillhandahålla en eller flera digitala mottagningsfunktioner dit handlingar kan förmedlas. Vi väljer termen ”digital mottagningsfunktion” för att poängtera att det är ett funktionskrav snarare än en fysisk plats som avses. På senare tid har beskrivningen av hur informationsteknik används också skiftat från begreppet elektronisk till begreppet digital.33 Vi väljer därför det senare begreppet.

Ett krav på förvaltningen att finnas tillgänglig via digitala mottagningsfunktioner innebär enligt oss en förstärkt möjlighet för enskilda att få tillgång till förvaltningen digitalt. Även lokutionen ”digital mottagningsfunktion” kan emellertid väcka frågan om vilken typ av kommunikation som omfattas. Enligt vår bedömning bör det inte göras någon begränsning av innebörd att enbart skriftliga handlingar kan tas emot i en sådan digital mottagningsfunktion. Termen digital mottagningsfunktion är neutral och kan omfatta även tjänster där handlingar tas emot som innefattar information i form av ljud eller bild.

I lokutionen att det ska vara fråga om en särskild funktion för att ta emot digitala handlingar ligger emellertid en avgränsning i förhållande till t.ex. myndigheters service via muntlig och omedelbar tvåvägskommunikation såsom telefonsamtal, videosamtal eller webbaserade samtal. Trots att även teknik för sådana samtal kan vara digital kan den servicen inte anses innefattas i det särskilda kravet på digital tillgänglighet via mottagningsfunktioner som nu diskuteras. Det sagda utesluter dock inte att användandet av sådana digitala tjänster som har utformats med en mottagningsfunktion kompletteras med möjligheter till service via t.ex. telefonilösningar. Som framgått av våra inledande överväganden bör förvaltningen sträva mot att tillhandahålla de former för service till enskilda, som inte själva kan eller vill använda digitala tjänster, som medför att förvaltningen kan hämta in de uppgifter som behövs för att t.ex. påbörja handläggningen av ett ärende utan att någon pappershantering behöver involveras.

Vi ser inte heller anledning att framhålla tillgänglighet via traditionella e-postadresser, i linje med vad som ovan anförts om de problem som kan förknippas med den formen för kommunikation. Det neutrala begreppet digital mottagningsfunktion kan dock i och för sig sägas omfatta även funktion för mottagande av meddelanden

33 Jfr Ds 2017:60 s. 50.

genom tekniken för e-post.34 Här bör emellertid särskilt lyftas fram problemen med att traditionell e-post inte utgör en tillräckligt säker form för kommunikation när det exempelvis gäller förmedling av personuppgifter som är känsliga.

Det krav på myndigheter att vara tillgängliga digitalt som nu diskuteras innebär sammanfattningsvis inte någon skyldighet att kunna ta emot handlingar i någon specifik form eller via någon specifik teknisk lösning. Det bör fortsatt vara upp till respektive myndighet att avgöra de närmare formerna och lösningarna för den digitala tillgängligheten.

De grundläggande krav på myndigheters tillgänglighet som uppställs i 7 § förvaltningslagen bör också fortsatt gälla. En myndighet ska vara tillgänglig för allmänheten i så stor utsträckning som möjligt och vidta de åtgärder i fråga om tillgänglighet som behövs för att den ska kunna uppfylla sina skyldigheter gentemot allmänheten enligt 2 kap. tryckfrihetsförordningen om rätten att ta del av allmänna handlingar. I förhållande till detta grundläggande krav på myndigheter att vara tillgängliga för allmänheten utgör vårt förslag en specificering avseende vad som förväntas av myndigheterna i fråga om just digital tillgänglighet.

En offentlig aktör som omfattas av det nya s.k. webbtillgänglighetsdirektivets35 tillämpningsområde ska också uppfylla de tillgänglighetskrav som kommer att följa av den lagstiftning som genomför det direktivet i svensk rätt.36 Bland annat ska sådan digital service som tillhandahålls via tekniska lösningar vilka omfattas av den regleringen, dvs. webbplatser och mobila applikationer,37 följa även dessa tillgänglighetskrav.

Av de grundläggande kraven på tillgänglighet som följer av 7 § förvaltningslagen framgår att det är myndigheten som informerar allmänheten om hur och när kontakter kan tas. Detsamma bör enligt

34 I detta sammanhang kan det finnas anledning att erinra om att det kan vara olämpligt även ur arbetsrättslig synpunkt att anordna kommunikationen med traditionella e-postadresser för enskilda befattningshavare, eftersom det finns gränser för på vilket sätt arbetsgivaren får övervaka den typen av kommunikation. Se Europadomstolens dom i målet Bărbulescu v Romania ([2017] ECHR 754). Europadomstolen fann att en arbetsgivares övervakning av en arbetstagares personliga kommunikation på Yahoo Messenger innebar ett brott mot artikel 8 i Europakonventionen. 35 Europaparlamentets och rådets direktiv (EU) 2016/2012 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer (webbtillgänglighetsdirektivet). 36 Se Ds 2017:60. 37 Artikel 4 webbtillgänglighetsdirektivet och a.a. s. 47 f.

vår uppfattning gälla i fråga om kontakter via de särskilda digitala mottagningsfunktioner som nu diskuteras. Enligt vår uppfattning bör det emellertid krävas att det är enkelt för enskilda att förstå vilka digitala kontaktvägar som de förväntas använda för att uppnå sitt syfte med att kontakta myndigheten. Det kanske inte är möjligt eller lämpligt att t.ex. inleda ärenden via sociala medier trots att en myndighet finns tillgänglig där. Enligt vår bedömning bör detta markeras genom att det i den nu föreslagna regleringen ställs upp krav på att myndigheten ska anvisa en eller flera digitala mottagningsfunktioner dit enskilda kan förmedla handlingar.

Krav på att myndigheterna ska anvisa digitala mottagningsfunktioner förväntas enligt vår bedömning bidra till förenklingar för den enskilde samtidigt som myndigheten genom sådana anvisningar har förutsättningar att styra ärendeflöden mot de kommunikationslösningar som myndigheten bedömt vara lämpliga. Det skapar också goda förutsättningar för att åstadkomma infrastrukturlösningar med t.ex. en gemensam plattform för olika myndigheters digitala tjänster. I detta sammanhang bör också erinras om att det i vissa fall kan finnas lagstiftning, t.ex. inom EU-rätten, som kräver att en viss digital kanal används för att komma i kontakt med förvaltningen i ett visst syfte. I de fallen bör denna digitala mottagningsfunktion anvisas.

När huvudregeln inte tillämpas

I föregående avsnitt har vi konstaterat att en bestämmelse om att myndigheter ska anvisa, vad som kan vara en eller flera, digitala mottagningsfunktioner dit handlingar kan förmedlas förhåller sig neutral till vilken form av digital kommunikation som avses. Med beaktande av att den valda ordalydelsen inte utesluter tekniska lösningar som t.ex. e-post skulle det kunna hävdas att motsvarande krav har uppställts i 1986 års förvaltningslag och att det därför kan förväntas att förvaltningen som helhet redan uppfyller ett sådant krav. Någon möjlighet att frångå kravet skulle därmed inte behövas.

Vi ser emellertid framför oss att enskilda framöver i allt större utsträckning kommer att förvänta sig ökad digital service i förhållande till vad som kan ges genom e-post, och ser som beskrivits flera nackdelar med den kommunikationsformen. Även en neutralt formulerad reglering om att förvaltningen ska vara digitalt tillgänglig

kommer därför vid varje tid att behöva möta de tillgänglighetskrav som allmänheten uppställer.38 I kapitel 8.1 och i det ovan sagda har vidare flera nackdelar med traditionell e-post för kommunikation med förvaltningen uppmärksammats, bl.a. det förhållandet att den kanalen inte är tillräckligt säker för viss kommunikation. Det är därför inte den typen av kommunikationskanal som vi ser kommer att förväntas av den framtida digitala förvaltningen. Mot bakgrund av detta, och för att undvika att den föreslagna huvudregeln vid någon tidpunkt eller i något hänseende blir alltför betungande för förvaltningen, eller leder till orimliga eller oförutsedda konsekvenser för det allmänna, bör den därför inte utformas som ett ovillkorligt krav på förvaltningen.

Det ska här framhållas att den reglering vi nu diskuterar, som framgått i kapitel 8.3.1, inte kommer att ha företräde framför t.ex. bestämmelser i registerförfattningar eller bestämmelser om sekretess. Det kan alltså fortfarande finnas annan reglering som uppställer hinder mot digital kommunikation. Vidare ska bestämmelser med krav på säkerhet följas (se bl.a. kapitel 4.5 om regler till skydd för enskildas personliga integritet, kapitel 4.6 om sekretess, kapitel 9 om informationssäkerhet och kapitel 12 om behov av fortsatt rättsutveckling). Det betyder bl.a. att en myndighet behöver uppnå tillräcklig säkerhet för att digital kommunikation ska kunna krävas. Mot den bakgrunden bedömer vi att det bör framgå av regleringen att en myndighet inte ska tillhandahålla en digital mottagningsfunktion i de fall det är olämpligt av säkerhetsskäl. Viss verksamhet i den statliga förvaltningen torde vidare med beaktande av säkerhetsaspekter vara av sådan karaktär att det inte alls är lämpligt med digital kommunikation i förhållande till enskilda, i vart fall inte med nu kända medel. Samtidigt torde frågan om säkerhetsnivå inte sällan höra samman med kostnadsaspekter. Även med hänsyn tagen till överväganden om kostnadseffektivitet skulle det i vissa fall kunna bedömas vara olämpligt att en myndighet alltid måste tillhandahålla en digital mottagningsfunktion. Intresset av att låta bli att tillhandahålla en digital mottagningsfunktion, t.ex. med anledning av kostnadsaspekter, behöver emellertid sättas i relation till enskildas intressen av digital tillgänglighet till myndigheten. Vid den bedömning som en myndighet

38 Jfr regeringens uttalande i Några förvaltningsrättsliga frågor, prop. 2002/03:62 s. 10 f.

gör av om det är olämpligt att tillhandahålla en digital mottagningsfunktion bör därför, enligt oss, enskildas intressen av digital tillgänglighet till myndigheten särskilt beaktas.

8.3.4. Anpassad regel om ankomstdag

Utredningens förslag: En handling som har förmedlats till en

anvisad digital mottagningsfunktion ska anses ha kommit in till myndigheten när den tagits emot där.

Skälen för utredningens förslag

Tidigare överväganden om reglering av ankomstdag

En handling anses som huvudregel komma in till en myndighet den dag då handlingen anländer till myndigheten eller kommer en behörig tjänsteman till handa.39 Vid handläggning av mål och ärenden är det av flera skäl viktigt att kunna fastställa vid vilken tidpunkt handlingar har kommit in till myndigheten. Frågan om vilken dag en handling kommit in är bl.a. av betydelse för att bedöma tidsfrister, till exempel vid beräkning av retroaktiv tid eller när någon begär omprövning av ett beslut. Ankomstdagen för en handling kan också utlösa en frist inom vilken myndigheten ska göra en prövning och meddela ett beslut eller ligga till grund för exempelvis en registreringsåtgärd som får rättsverkningar för den enskilde.

I den nya förvaltningslagen har, med viss anpassning, särskilda hjälpregler behållits om när traditionella postförsändelser eller avier anses ha kommit in till myndigheten via postkontor eller postlåda.40Hjälpreglerna behölls trots att risken för att någon enskild ska drabbas av rättsförluster på grund av förseningar i postgången bedömdes vara förhållandevis liten. Utrymmet för osäkerhet bedömdes dock vara något större i dessa situationer än när det t.ex. gäller handlingar som skickas in via en elektronisk kontaktväg.41 Det har

3910 § förvaltningslagen (1986:223). Bestämmelserna om inkommande handlingar i 44 § förvaltningsprocesslagen (1971:291), 33 kap. 3 § rättegångsbalken och 44 § lagen (1996:242) om domstolsärenden är i sak samordnade. 40 22 § andra och tredje stycket förvaltningslagen. 41Prop. 2016/17:180 s. 143.

inte antagits någon uttrycklig hjälpregel om när digitala handlingar anses ha kommit in till en myndighet.

Våra överväganden om en hjälpregel om ankomstdag

Den inledningsvis beskrivna huvudregeln i förvaltningslagen om tidpunkt för när en handling anses ha kommit in till en myndighet är enkel. Bestämmelsen innefattar enligt vår bedömning vad som krävs för att man i normalsituationer med en rimlig grad av precision ska kunna fastställa när en handling har kommit in till myndigheten. I flera fall borde den därför vara tillräcklig även i de situationer där den enskilde kommunicerar med myndigheten via digitala kanaler. Det kan därför hävdas att risken för att enskilda lider några rättsförluster på grund av tveksamheter i fråga om dagen för en handlings inkommande är så låga att det inte behövs någon hjälpregel för att avgöra när en handling som förmedlas i digital form har kommit in till en myndighet.

Det finns emellertid skäl som talar för att fortsatt överväga hjälpreglering som anger när handlingar som översänds digitalt ska anses ha kommit in till en myndighet. Ett inledande skäl är att en sådan reglering skulle klargöra rättsläget för de myndigheter i förvaltningen som ska tillämpa reglerna, vid såväl utvecklingsarbeten när nya digitala tjänster tas fram som vid bedömningar av ankomstdag i samband med att handlingar ges in i enskilda ärenden.

Ytterligare ett skäl för att fortsatt överväga reglering av handlingars ankomst till en myndighet via digitala kanaler är att skapa rättslig klarhet för privatpersoner och företag som ska använda de digitala tjänster som förvaltningen tar fram. Det skälet väger enligt vår bedömning tungt.

Regeringens bedömning av utrymmet för osäkerhet i fråga om tidpunkten för när handlingar som lämnas via digitala kommunikationskanaler kommer in till en myndighet synes i viss utsträckning utgå från att det inte, eller sällan, uppstår några fel eller brister i den digitala kommunikationen.42 Det förekommer emellertid då och då avbrott i driften, och avbrott kan framöver förväntas även med ett gott informationssäkerhetsarbete i grunden. Också andra typer av risker för fel i den digitala kommunikationen, oavsett om de beror

42 A. prop. s. 143.

på misstag vid handhavandet från den enskildes sida eller på myndighetens utformning av tjänster eller annat, kan leda till att handlingar inte kommer fram på avsett sätt i den digitala miljön. Det finns därför enligt oss anledning att vara uppmärksam på att enskilda kan uppleva en osäkerhet över vad som gäller i fråga om tidsfrister om det uppstår avbrott eller brister i den digitala kommunikationen med en myndighet. Här bör särskilt beaktas att avsändaren enligt förarbetena till den nya förvaltningslagen bär risken om överföringen inte fungerar eller försenas, och att det är av betydelse att myndigheterna på ett någorlunda enkelt sätt kan fastställa när en handling är att anse som inkommen utan att rättssäkerheten åsidosätts.43 Hur ansvar och risker fördelas kan enligt vår bedömning påverka incitamenten för privatpersoner och företag att använda digitala kanaler för kommunikation med förvaltningen.

Vi har också föreslagit att det ska införas en ny huvudregel om att en myndighet ska tillhandahålla, och på lämpligt sätt anvisa, en eller flera digitala mottagningsfunktioner dit handlingar kan förmedlas. Det finns anledning att lyfta fram just den anvisade mottagningsfunktionen särskilt, till skillnad från andra kanaler för kommunikation som också kan vara digitala, t.ex. konton på sociala medier. I sådana särskilda mottagningsfunktioner finns det förutsättningar för myndigheten att bl.a. anordna säkerheten på ett betryggande sätt, exempelvis genom att handlingar i form av meddelanden som innehåller skadlig kod stoppas i myndighetens säkerhetssystem innan de når den digitala mottagningsfunktionen. Sådana handlingar ska enligt vår bedömning inte anses ha kommit in till myndigheten, trots att de kanske tekniskt finns tillgängliga på myndighetens server för någon befattningshavare vid myndigheten.

I kapitel 8.3.1 har vi övervägt möjligheten att ålägga enskilda en skyldighet att använda digitala kanaler, men inte funnit att det nu är möjligt eller lämpligt att generellt införa en sådan skyldighet. Det leder till att förvaltningen har att hantera såväl digitala kommunikationskanaler samtidigt som ansökningar och andra handlingar parallellt, i vart fall i vissa situationer, fortsatt måste kunna hanteras på papper. Vi har också belyst nackdelarna med sådan parallell hantering, såväl ur kostnadssynpunkt som med beaktande av brister i möjligheten att enkelt få insyn i och överblick över myndighetens verksamhet. Enligt vår bedömning bör det därför prioriteras att

43 A. prop. s. 138 och 140 f.

överväga sådan reglering som kan fungera som incitament för att öka graden av användning av de digitala tjänster som tas fram, så att tidsperioden för parallell pappershantering i den digitala förvaltningen kan hållas så kort som möjligt.

En reglering som klargör vad som gäller i fråga om ankomsttidpunkt för de handlingar som ges in digitalt skulle, i likhet med vad som redan gäller för papperspost, syfta till att begränsa den enskildes risk. En sådan reglering skulle enligt oss bidra till att skapa ökad trygghet och incitament för enskilda att använda de digitala tjänster som tillhandahålls. En reglering får också förutsättas skapa större klarhet än helt avtalsbaserad fördelning av ansvar och risk mellan den enskilde och en myndighet. Det sistnämnda kan t.ex. innebära att den enskilde, för att kunna använda en specifik tjänst, måste godkänna den riskfördelning som anges i myndighetens användarvillkor.

Redan med beaktande av de skäl som här inledningsvis har anförts ser utredningen att det finns behov av att föreslå reglering om dels hjälpbestämmelser för att fastslå tid för ankomst av handlingar som kommer in till en myndighet via digitala kanaler, dels underrättelser till avsändaren om att handlingar har tagits emot. I det följande presenteras de närmare förslagen och ytterligare några skäl varför vi anser att regleringen behövs.

En hjälpregel för bestämmande av ankomstdag

Vi har övervägt om det, i stället för att föreslå en generell och för förvaltningen gemensam reglering, vore bättre att föreslå en reglering i olika specialförfattningar för att åstadkomma en mer situationsanpassad reglering om hur ankomsttidpunkt bestäms vid kommunikation med förvaltningen. Sådan särreglering om ankomstdag i olika specialförfattningar bör emellertid undvikas eftersom det riskerar att ge upphov till oklarheter hos både allmänheten och myndigheter.44

Det framstår också som särskilt angeläget att åstadkomma en hjälpregel om bestämmande av ankomsttid för handlingar som förmedlas digitalt för att skapa goda rättsliga grundförutsättningar för en nationell plattform för olika myndigheters digitala tjänster dit den enskilde enkelt kan vända sig. Här kan särskilt framhållas att det

44 A. prop. s. 145.

ska vara enkelt för den enskilde oavsett vilken myndighet som ska hantera den enskildes ärende eller ärenden (se kapitel 6.6 om att offentliga tjänster enligt EU:s handlingsplan för e-förvaltning bör tillhandahållas via en enda kontaktpunkt,”one-stop-shop”, och via olika kanaler).45 Det framstår därför som lämpligt att den hjälpreglering som här diskuteras bör vara gemensam för förvaltningen som helhet.

I linje med vad som anförts i kapitel 6.2 ser vi inte skäl att belasta lagtext med detaljer eller tekniska termer. Den reglering som föreslås behöver också kunna appliceras på en mängd olika tekniska lösningar. Regleringen bör med andra ord kunna gälla för hela den palett av digital kommunikation som redan förekommer. Det gäller allt från mer avancerade tekniska lösningar med maskin-till-maskininläsning av information genom öppna applikationer, digitala tjänster hos myndigheter med Mina sidor till andra former av digitala tjänster. Ibland kompletteras sådana lösningar också av nya sätt att t.ex. ge service via telefoni. Regleringen behöver därtill vara möjlig att tillämpa på kommunikation genom tekniska lösningar som ännu inte är kända.

En modell för utformning av hjälpregel som knyter an till den ovan föreslagna och neutrala huvudregeln om att myndigheter ska tillhandahålla och anvisa digitala mottagningsfunktioner, framstår som den lämpligaste lösningen.46 Vi föreslår därför en bestämmelse om att en handling som har förmedlats till en anvisad digital mottagningsfunktion bör anses ha kommit in till myndigheten när den tagits emot i mottagningsfunktionen. En sådan reglering bör såvitt vi ser det inte kräva någon omarbetning av de digitala tjänster som redan har tagits fram, men däremot åstadkomma nyttor i form av bl.a. ökat incitament för användande av tjänsterna. En sådan reglering bör också ge goda rättsliga förutsättningar för en gemensam plattform för olika myndigheters digitala tjänster som diskuterats ovan.

45 Jfr t.ex. den norska portalen Altinn på https://www.altinn.no/ 46 Jfr också Vägledning för hantering av inkommande elektroniska handlingar, E-nämnden, 11 maj 2005 och Promemoria om inkommandetidpunkt – när har en handling kommit in till myndighet?, eSam, 31 oktober 2017.

8.3.5. Ny huvudregel om underrättelse när handlingar tas emot digitalt

Utredningens bedömning: För att skapa tillit till digitala förfar-

anden bör huvudregeln vara att myndigheter ska underrätta avsändare om att en handling har anlänt till en anvisad digital mottagningsfunktion.

En bestämmelse om att myndigheter ska lämna underrättelse om mottagande av handlingar bör dock begränsas till att omfatta sådana handlingar som medför ärendehandläggning. Det bör också finnas möjlighet till undantag från huvudregeln.

Utredningens förslag: En myndighet ska digitalt förmedla under-

rättelse till avsändaren när en handling har anlänt till en anvisad digital mottagningsfunktion.

Myndigheten behöver inte förmedla underrättelse till avsändaren om

1. det på annat sätt framgår för avsändaren att handlingen har

tagits emot,

2. handlingen utan onödigt dröjsmål besvaras med ett helt eller

delvis automatiserat beslut, eller

3. det är olämpligt.

Skälen för utredningens bedömning och förslag: I propositionen

med förslag till ny förvaltningslag har regeringen anfört att det på ett övergripande plan bör uppmuntras att myndigheterna säkerställer tillförlitliga och säkra system för bekräftelse av handlingar som tas emot i mottagningsställen för elektroniska meddelanden. Med beaktande av remissutfallet har regeringen dock inte funnit skäl att genomföra förslaget om en generell skyldighet för myndigheterna att bekräfta elektroniska meddelanden, utan menat att det kan vara lämpligare att i stället vid behov knyta ett eventuellt åliggande till de fall där enskilda har ett mer konkret och praktiskt behov av att få en sådan bekräftelse.47 Frågan kommer i nytt ljus i anledning av våra förslag om huvudregler om digital kommunikation och hjälpreglering för att bestämma ankomstdag för digitala handlingar.

47Prop. 2016/17:180 s. 70.

Vad som ovan anförts om behovet av ökade incitament för att enskilda ska känna sig trygga med att använda de digitala tjänster som tas fram, i syfte att parallell pappershantering så snart som möjligt kan utmönstras, är emellertid enligt vår bedömning ett tungt vägande skäl till varför reglering om underrättelser när handlingar tas emot digitalt fortfarande behöver övervägas. Det handlar som sagt om att skapa så goda förutsättningar som möjligt för att enskilda ska välja att använda de digitala kanaler för kommunikation som tas fram inom förvaltningen, utan att det samtidigt sätts upp detaljerade krav som hindrar förvaltningen från att utforma tjänsterna i enlighet med vad som är lämpligast i de enskilda fallen.

I likhet med vad som ovan anförts om att huvudregeln bör vara digital kommunikation bör det enligt vår bedömning även vara en huvudregel att myndigheter ska underrätta avsändare om att ett meddelande har anlänt till en anvisad digital mottagningsfunktion. Samtidigt ska de förslag vi lämnar inte medföra orimligt betungande krav på förvaltningen. Vår strävan är i stället närmast att i rättsregler befästa och beskriva vad enskilda i dag och framöver kan förvänta sig av den digitala förvaltningen, för att minska den enskildes risk för rättsförluster och i stället åstadkomma tillit som ger grund för hög grad av användning av de digitala tjänster som tillhandahålls.

Vi föreslår, i linje med det nyss sagda, en huvudregel om att myndigheter bör underrätta enskilda om att meddelanden tagits emot. En underrättelse förutsätter, vilket närmare belyses i kapitel 8.3.6, av rättssäkerhetsskäl normalt en aktiv kommunikation från myndighetens sida. För att bestämmelsen inte ska bli för betungande bör den därför endast träffa det område där det finns ett behov av sådana underrättelser. Det huvudsakliga praktiska behovet som enskilda kan ha av att få en sådan bekräftelse ligger enligt vår bedömning inom ramen för myndigheternas ärendehandläggning. En första avgränsning bör därför göras till ärendehandläggningen.

Från huvudregeln bör det vidare ges flera möjligheter till undantag. Det bör inte krävas särskilda underrättelser om mottagande av handlingar i alla situationer när enskildas meddelanden medför ärendehandläggning. Aktivt förmedlade underrättelser bör inledningsvis inte krävas om det på annat sätt framgår för avsändaren att handlingen har tagits emot, t.ex. genom att en enskild som är inloggad i en digital tjänst hos myndigheten för att där fylla i och

förmedla en ansökan direkt kan se att handlingen tagits emot. I sådant fall behöver myndigheten inte dessutom aktivt kommunicera ut en underrättelse om att handlingen har tagits emot.

En särskild underrättelse framstår vidare som obehövlig om myndigheten tagit emot en handling som utan onödigt dröjsmål kommer att besvaras digitalt med ett helt eller delvis automatiserat beslut. Det kan även, beroende på situationen, finnas andra skäl som gör att det är olämpligt att lämna underrättelse till den enskilde om att dennes meddelande har tagits emot av myndigheten. Det skulle t.ex. kunna vara fråga om att enskilda i något sammanhang behöver kunna agera anonymt när de via en digital tjänst kommunicerar med en myndighet. Det skulle i sådant fall kunna bedömas vara olämpligt att anordna tekniska förutsättningar för återkoppling till den enskilde om att meddelandet har tagits emot.

Den föreslagna regleringen torde såvitt vi kan bedöma inte kräva omarbetning av de digitala tjänster som redan har tagits fram. Att enskilda kan konstatera att förvaltningens digitala tjänster är rättssäkra i fråga om mottagande av handlingar, genom att underrättelser i de beskrivna fallen lämnas, bidrar enligt vår uppfattning till att öka incitamenten för att tjänsterna ska användas. Ytterligare ett syfte med den föreslagna regleringen är att ge stabila förutsättningar för de myndighetsgemensamma digitala tjänster som framöver kommer att tas fram, liksom för en gemensam plattform för olika myndigheters digitala tjänster som diskuterats ovan.

8.3.6. Ny huvudregel om digital kommunikation till enskilda

Utredningens bedömning: För att det ska vara tydligt och förut-

sebart för enskilda hur förvaltningen kommunicerar underrättelser eller andra handlingar bör huvudsakliga principer framgå i reglering.

Utredningens förslag: En myndighets skriftliga underrättelser

eller andra handlingar till enskilda ska förmedlas digitalt, om det inte är olämpligt av säkerhetsskäl eller av andra skäl.

Enskilda kan meddela att de inte önskar ta emot skriftliga underrättelser eller andra handlingar från myndigheten i digital form.

Följdändringar ska göras i förvaltningslagens bestämmelser om dels kommunikation, dels underrättelse om innehållet i beslut och hur ett överklagande går till.

Skälen för utredningens bedömning och förslag

Våra inledande överväganden

I tidigare avsnitt (se kapitel 8.3.2) har vi bedömt att det inte nu bör införas en förvaltningsgemensam reglering som ålägger privatpersoner och företag en generell skyldighet att använda de digitala tjänster som förvaltningen tillhandahåller.

De fördelar som digitalisering av förvaltningen medför behöver emellertid tas till vara så att såväl den breda allmänheten som enskilda med särskilda behov kan få enklare, snabbare och förbättrad tillgång till beslut och annan information från förvaltningens sida.

Därtill kommer vår inledningsvis gjorda bedömning avseende behovet av regler om digital kommunikation vid kontakter mellan förvaltningen och enskilda för att såväl styra som stödja förvaltningens utvecklingsarbeten (se kapitel 8.3.1). Det förtjänar att särskilt framhållas att ett syfte med att överväga ny eller anpassad reglering om kommunikation från förvaltningen till enskilda är att pågående, planerad och kommande digitalisering ska leda till mer rättssäkra förfaranden, inte till rättsosäkerhet. Regleringen bör också enligt vår bedömning ge enskilda en rättvisande bild av hur förvaltningens kommunikation faktiskt sköts och i allt högre utsträckning kommer att skötas. För att det ska vara tydligt och förutsebart för enskilda hur förvaltningen kommunicerar underrättelser eller andra handlingar bör huvudsakliga principer enligt vår bedömning framgå i reglering.

Enkla och snabba förfaranden för underrättelser om beslut och annan kommunikation medför därtill effektivitetsvinster för förvaltningen. Genom att öka graden av digital förmedling av underrättelser och andra handlingar till enskilda kan förvaltningen minska såväl kostnader som resursåtgång för att hantera utskick av papperspost. En minskning av mängden papperspost från förvaltningen leder också till minskad miljöpåverkan.

Gällande rätt i förvaltningslagen m.m.

Kommunikation av beslutsunderlag Inom bl.a. förvaltningsrätten kommer den grundläggande rättsprincipen att ingen ska dömas ohörd till uttryck som en kommunikationsprincip. En regelrätt kommunikation förutsätter, till skillnad från den allmänna rätt till insyn i det egna ärendet som gäller för parter, att en myndighet aktivt både informerar en part om sådana uppgifter som har tillförts ärendet och ger parten tillfälle att lämna synpunkter på innehållet i uppgifterna. Tillämpningen av kommunikationsprincipen fyller också en viktig funktion som utredningsmedel, eftersom den säkerställer ett fortlöpande utbyte av information och argument mellan dem som medverkar i ärendet. På så sätt bidrar kommunikationsskyldigheten till att uppfylla de övergripande ändamålen att värna enskildas rättssäkerhet och underlätta snabba avgöranden. I detta sammanhang görs ingen skillnad mellan fysiska eller juridiska personer, inte heller mellan enskilda och offentliga parter.48

Enligt 25 § första stycket första meningen förvaltningslagen ska en myndighet, innan den fattar beslut i ett ärende och om det inte är uppenbart obehövligt, underrätta den som är part om allt material av betydelse för beslutet och ge parten tillfälle att inom en bestämd tid yttra sig över materialet. Kommunikation ska alltså föregå allt beslutsfattande, inte bara ärendets slutliga avgörande. Skyldigheten att kommunicera innefattar dock enbart sådant material som utgör underlag för beslutet, inte varje uppgift som tillförts utifrån. Regeln innebär också att kommunikation inte behöver ske om det är uppenbart obehövligt. Detta rekvisit ska emellertid tolkas snävt och är tillämpligt enbart i sådana fall där behovet av kommunikation – sett ur den enskildes perspektiv – är mindre framträdande eller helt saknas. Det är t.ex. i många fall uppenbart obehövligt att kommunicera uppgifter som har lämnats av parten själv.

Det finns också i 25 § första stycket 1–3 förvaltningslagen undantag från huvudregeln om obligatorisk kommunikation. Enligt första stycket 1 får myndigheten avstå från kommunikation om ärendet gäller anställning av någon och det inte är fråga om prövning i högre instans efter överklagande. Av första stycket 2 följer att myndigheten får avstå från kommunikation om det kan befaras att det

48Prop. 2016/17:180 s. 154.

annars skulle bli avsevärt svårare att genomföra beslutet. Enligt första stycket 3 får myndigheten avstå från kommunikation om ett väsentligt allmänt eller enskilt intresse kräver att beslutet meddelas omedelbart.

Av 25 § andra stycket första meningen förvaltningslagen följer att myndigheten bestämmer hur underrättelse ska ske. Kommunikation kan genomföras såväl muntligt som skriftligt. Ett typiskt exempel är enligt förarbetsuttalanden att myndigheten kommunicerar handlingar genom att skicka kopior av handlingarna till parten. Bestämmelsen hindrar dock inte att parten får del av materialet genom t.ex. ett telefonsamtal eller i samband med besök hos myndigheten. Myndighetens val av underrättelseform kan dock inte göras helt skönsmässigt utan måste ske med beaktande av det allmänna kravet på service och de allmänna utgångspunkterna för handläggningen i 6 och 9 §§förvaltningslagen. Det innebär bl.a. att myndigheten måste beakta tillgänglighetsaspekter, exempelvis om någon enskild till följd av en funktionsnedsättning har svårigheter att tillgodogöra sig muntlig eller skriftlig information. Myndigheten måste också välja den underrättelseform som med beaktande av partens intressen i det enskilda fallet är enklast och ger det snabbaste resultatet.49

I 25 § andra stycket andra meningen förvaltningslagen anges att underrättelse får ske genom delgivning. Det innebär att myndigheten kan använda sig av delgivning i enlighet med delgivningslagen (2010:1932) för att säkerställa att parten fått del av materialet.

Enligt 25 § tredje stycket förvaltningslagen gäller begränsningar i kravet på obligatorisk kommunikation till följd av sekretess.

Bestämmelser om kommunikation av besluts- eller processunderlag finns också i annan lagstiftning. Här kan bl.a. nämnas den reglering som finns i rättegångsbalken och i förvaltningsprocesslagen (1971:291). Där finns även bestämmelser om delgivning.

Underrättelse om beslut och överklagande En myndighet som meddelar ett beslut i ett ärende ska enligt 33 § första stycket förvaltningslagen så snart som möjligt underrätta den som är part om det fullständiga innehållet i beslutet, om det inte är obehövligt. Det är av betydelse i flera avseenden att en myndighet tillkännager sina beslut för parter och andra intressenter. För den enskilde är det naturligtvis av vikt att få reda på utgången i ett ärende

49 A. prop. s. 312.

som rör honom eller henne och i de allra flesta fall också vilka beslut som fattats under handläggningen. Genom att beslutet ges till känna för den det riktar sig till börjar i allmänhet också överklagandetiden att löpa. Dessutom kan åtskilliga beslut, i synnerhet förpliktande sådana, ofta inte verkställas förrän den som direkt berörs av beslutet fått del av detta.

Att det fullständiga innehållet ska redovisas för parten innebär att det inte är tillräckligt att underrätta parten i sammandrag om innebörden av beslutet. Parten ska alltså underrättas om beslutet i sin helhet. Underrättelseskyldigheten omfattar formellt alla slags beslut som myndigheten fattar under handläggningen av ett ärende. Undantagsmöjligheten ska enligt förarbetsuttalanden tolkas snävt. Det måste i princip framstå som klart för myndigheten att åtgärden inte har någon funktion att fylla i det aktuella fallet.50

Om en part får överklaga ett beslut är myndigheten enligt 33 § andra stycket förvaltningslagen också skyldig att lämna underrättelse om hur ett eventuellt överklagande ska gå till. En sådan underrättelse ska innehålla information om vilka krav som ställs på överklagandets form och innehåll, vad som gäller i fråga om överklagandetid och information om till vilken myndighet överklagandet ska vara ställt och var det ska skickas. Bestämmelsen syftar till att säkerställa att parten får nödvändig vägledning för att kunna ta till vara sin rätt. Det följer också av bestämmelsen att myndigheten samtidigt som den lämnar underrättelse om hur man överklagar i förekommande fall ska upplysa parten om avvikande meningar som har antecknats.

Enligt 33 § tredje stycket förvaltningslagen bestämmer myndigheten själv hur en underrättelse om ett beslut ska gå till. Underrättelsen kan vara skriftlig eller muntlig. En part har dock alltid rätt att få en skriftlig underrättelse om han eller hon begär det. I förarbetsuttalanden anges att även om myndigheten i andra fall har en valfrihet i fråga om formen torde det typiskt sett vara lämpligt att myndigheten även då lämnar en skriftlig underrättelse. En muntlig underrättelse bör lämnas endast i undantagsfall, främst då handläggningen i sin helhet har skett muntligt och beslutet är enkelt att motivera och förstå.51

50 A. prop. s. 324. 51 A. prop. s. 324.

Det anges vidare i förarbetsuttalande att en skriftlig underrättelse kan ges genom översändande av en handling i en vanlig postförsändelse. En annan tänkbar överföringsmetod kan vara användning av e-post. Regeringen har ansett att lagen inte bör innehålla någon exemplifierande uppräkning av olika varianter av försändelser eftersom det finns en risk att en sådan uppräkning låser tillämpningen till de varianter som för närvarande är kända och således överblickbara. Lagtexten borde i stället utformas så att den gör det möjligt att använda också sådana kommunikationsmetoder, främst av elektroniskt slag, som för närvarande är mindre utvecklade eller ännu inte förekommande.52

Myndighetens val av underrättelseform måste, bl.a. när det gäller underrättelse om beslut och överklagande, ske även med beaktande av det allmänna kravet på service och de allmänna utgångspunkterna för handläggningen i 6 och 9 §§förvaltningslagen (jfr vad som angetts i avsnittet ovan om kommunikation). Myndigheten måste sammanfattningsvis välja den underrättelseform som med beaktande av partens intressen i det enskilda fallet är enklast.53

Av 33 § fjärde stycket förvaltningslagen framgår att underrättelse får ske genom delgivning. Det innebär att myndigheten kan använda sig av de metoder för delgivning som regleras i delgivningslagen för att säkerställa att parten får del av underrättelsen. I valet om sättet för underrättelse bör särskilt beaktas om behov finns att få bevis om utgångspunkten för den tid inom vilken den enskilde kan överklaga beslutet. I vilka fall det behövs bevis om mottagandet får avgöras med hänsyn till ärendets utgång och karaktär.

Reglerna om underrättelse om innehållet i beslut och hur ett överklagande går till ska tillämpas också när någon som inte är part begär att få ta del av ett beslut som han eller hon får överklaga (34 § förvaltningslagen).

Bestämmelser om underrättelser om beslut och överklaganden finns också i annan lagstiftning. Här kan bl.a. nämnas den reglering som, beträffande allmän domstols dom eller beslut, finns i förordningen (1996:271) om mål och ärenden i allmän domstol och den reglering som, beträffande förvaltningsdomstols beslut, finns i förvaltningsprocesslagen.

52 A. prop. s. 208. 53 A. prop. s. 207 och 324 f.

Andra meddelanden Även utanför den ärendehandläggning som myndigheter utför finns behov av att förvaltningen kommunicerar med enskilda. Det gäller i första hand förvaltningens förmedling av information av servicekaraktär till enskilda. Exempelvis kan det gälla information som kan ha en påverkan på hur privatpersoner väljer att agera i förhållande till förvaltningen, t.ex. information avseende föräldraförsäkringen som kan inverka på hur föräldrar väljer att planera och ansöka om föräldrapenning.

Även begäran om utlämnande av allmän handling föranleder att myndigheter förmedlar de begärda handlingarna till den som begärt dem utlämnade. Denna sistnämnda aspekt behandlas inte vidare inom ramen för detta kapitel. Vi berör dock frågan i kapitel 12.2.5 och 12.2.7.

Tidigare överväganden om digital kommunikation till enskilda

Digitaliseringskommissionen har föreslagit att regeringen under en treårsperiod borde fasa ut traditionell posthantering från de statliga myndigheterna och ge samtliga individer och företag tillgång till en digital postlåda. Den traditionella posthanteringen skulle dock kunna behållas genom ett aktivt val från individen eller företaget.54

Utredningen om effektiv styrning av nationella digitala tjänster har också gjort bedömningen att i princip all myndighetspost måste vara digital inom ett par år. För att åstadkomma detta har utredningen föreslagit en rättighet för privatpersoner och företag att som mottagare få försändelser från statliga myndigheter elektroniskt, om de uttryckligen har begärt det och det inte finns särskilda skäl för undantag. Utredningen har också föreslagit en förordningsreglering som bl.a. innebär att statliga myndigheter som avsändare ska skicka säkra elektroniska försändelser, om inte regeringen beslutar annat. Kommunala myndigheter bör enligt utredningen inte åläggas en sådan skyldighet utan får som avsändare använda den infrastruktur som tas fram (här avses Mina meddelanden). Utredningen bedömde vidare bl.a. att det inte var ett alternativ att göra det obligatoriskt för

54 Digitaliseringskommissionens betänkande Digitaliseringens transformerande kraft – vägval för

framtiden (SOU 2015:91), s. 154 f.

enskilda att ha en digital brevlåda så länge som flertalet relevanta myndigheter inte var anslutna.55

Digitalt först vid kommunikation till enskilda

Rättssäkerhetsaspekter utgör ett grundläggande fundament såväl när det gäller frågan om att kommunicera beslutsunderlag och beslut med enskilda parter som frågan om hur detta ska gå till. Vi diskuterar nu endast frågan om formen för sådan kommunikation, dvs. hur det ska gå till. Även när denna fråga belyses vill vi framhålla att rätten för en enskild part att bli informerad om hur ärendet handläggs och få möjlighet att påverka detta inte får inskränkas. De allmänna utgångspunkterna i 6 och 9 §§förvaltningslagen står också fast. Det innebär bl.a. att myndigheten måste beakta tillgänglighetsaspekter, exempelvis om någon enskild till följd av en funktionsnedsättning har svårigheter att tillgodogöra sig muntlig eller skriftlig information.

Vi delar emellertid också den bedömning som såväl Digitaliseringskommissionen som Utredningen om effektiv styrning av nationella digitala tjänster har gjort om att pappersposten behöver fasas ut. Den problematik som beskrivits i bl.a. kapitel 8.3.1, dvs. att förvaltningen behåller sin pappershantering parallellt med att digitala kommunikationskanaler införs, gör sig gällande även i det nu aktuella avseendet. Enskilda kan i nuläget få del av meddelanden från förvaltningen på olika sätt, dels via post, dels digitalt. De dubbla förfarandena kan även gälla kommunikation från en och samma myndighet beroende på vilka ärendeprocesser som har digitaliserats respektive inte. Dubbla förfaranden i fråga om hur förvaltningen kommunicerar skriftliga underrättelser eller andra handlingar kan leda till rättsosäkerhet, särskilt om det saknas reglering som anger vilka principer som gäller. Parallella förfaranden är också kostsamma och förvaltningen kan göra besparingar om digital form i högre grad används vid förmedling av skriftliga underrättelser och andra handlingar.56

Vår bedömning är, i likhet med vad som anförts i kapitel 8.3.1, att digitala förfaranden överlag ger förbättrade möjligheter för enskilda att snabbt och enkelt få tillgång till information och beslut från

55 Se SOU 2017:23 s. 183 f.. Se även SOU 2017:114 med förslag till lag om infrastruktur för digital post. 56 Se även SOU 2017:23 s. 155 f. och 181 f.

förvaltningens sida. Generellt leder digitala förfaranden till kortare handläggningstider. Det skulle därför kunna invändas att digital kommunikation med beaktande av 6 och 9 §§förvaltningslagen redan är utgångsläget, eftersom den digitala kommunikationsformen allmänt sett är enklast och ger det snabbaste förfarandet.

Fortfarande utgör emellertid flöden av papperspost från förvaltningen till enskilda ett normalt förfarande. En förklaring till att det förhåller sig på det sättet kan vara att de sätt för att förmedla information digitalt som ofta används har varit vanlig e-post, vilket inte utgör en tillräckligt säker kommunikationskanal för att t.ex. förmedla känsliga personuppgifter.57 En annan förklaring kan vara att förvaltningen har bristande tillgång till information om hur enskilda kan nås digitalt. Trots att en myndighetsgemensam infrastruktur för säkra digitala försändelser,58 Mina meddelanden, har tagits fram går det emellertid långsamt att öka graden av digitala försändelser från förvaltningen. Vi instämmer i tidigare gjorda bedömningar om att frivilligheten från myndigheters sida att avgöra formerna för meddelanden till enskilda är en bidragande orsak till detta.59 Vår bedömning och vårt förslag innebär därför att det bör införas en reglering som anger att en myndighets skriftliga underrättelser eller andra meddelanden till enskilda som huvudregel ska förmedlas digitalt.

I förvaltningslagens bestämmelser om kommunikation av beslutsunderlag respektive underrättelse om innehållet i beslut anges att det är myndigheten som bestämmer hur underrättelse ska ske. Det är med andra ord enligt gällande rätt upp till myndigheten att bestämma vilket tillvägagångssätt som ska användas för att underrätta parten. Myndigheter bör enligt vår uppfattning fortfarande vara fria att, med beaktande av såväl förvaltningslagens reglering i 6 och 9 §§ som situationen i det enskilda fallet, avgöra om underrättelsen bör lämnas muntligen direkt till parten, t.ex. via telefonsamtal eller ett personligt besök, eller om underrättelsen bör lämnas skriftligen. Det är när myndigheten har valt skriftlig form för att lämna underrättelsen, eller när parten har begärt skriftlig form, som den

57 Se t.ex. artikel 32 i dataskyddsförordningen om säkerhet i samband med behandling av personuppgifter. 58 Med säker avses här att meddelandet sänds krypterat, med angiven avsändare och tas emot i en brevlåda som skyddas av kryptering, och att meddelandet enbart kan läsas av en mottagare som legitimerar sig. Se även SOU 2017:23 s. 153. 59 Se bl.a. Budgetpropositionen för 2017, prop. 2016/17:1, utg. omr. 22, s. 110.

nya huvudregeln om digital kommunikation enligt vår bedömning bör aktualiseras. Som en följd av den reglering som vi föreslår bör därför ändringar göras i 25 § andra stycket första meningen och 33 tredje stycket första meningen i förvaltningslagen. Av den nya lydelsen bör det framgå att myndighetens möjlighet att bestämma formen för underrättelse innebär att myndigheten enligt dessa bestämmelser avgör om underrättelse ska lämnas muntligt eller skriftligt.

Närmare om innebörden av den föreslagna regleringen

Flera myndigheter har tagit fram digitala tjänster för enskilda, antingen inom ramen för en myndighets eget verksamhetsområde eller i myndighetssamverkan. En del tjänster medför att enskilda kan följa sitt ärendes handläggning genom t.ex. webbaserad inloggning till vad som ofta kallas Mina sidor hos myndigheten i fråga. Enligt vår bedömning är det inte möjligt att ge ett entydigt svar i frågan om vilka digitala förfaranden som krävs för att kommunikation av bl.a. skriftliga underrättelser till enskilda ska anses rättssäkra. Ärendetypen och partens intressen i det enskilda fallet behöver, som ovan framgått, beaktas. För att åstadkomma rättssäkra förfaranden i samband med t.ex. skriftlig underrättelse om beslut torde det emellertid enligt vår bedömning normalt krävas att myndigheten aktivt kommunicerar ut antingen underrättelsen eller information om var underrättelsen finns tillgänglig så att den enskilde enkelt och smidigt kan ta del av den. Det kan exempelvis göras genom ett meddelande med en länk eller någon annan form av notisfunktion som aktivt uppmärksammar den enskilde på förekomsten av och tillgängligheten till den handling som en underrättelse avser.60 Den kommunikationen kan enligt vår bedömning vara digital samtidigt som rättssäkerheten garanteras, särskilt som vi nu föreslår en generell reglering som tydliggör att förvaltningen i första hand kommunicerar digitalt med enskilda.

När myndigheten saknar tillgång till information om digitala kontaktvägar som gör det möjligt att förmedla underrättelser eller andra meddelanden digitalt till den enskilde kan givetvis den formen för kommunikation inte användas. I linje med vad vi tidigare anfört

60 Jfr JO:s beslut 2010/11:JO1 s. 501 (Dnr 6697-2009).

om behovet av styrning och stöd genom rättsregler ser vi inte att detta hindrar införandet av en ny huvudregel om digital kommunikation när handlingar översänds till enskilda. Den föreslagna utformningen av bestämmelsen hindrar inte heller en sådan tillämpning som innebär att huvudregeln frångås när det på grund av avsaknad av kontaktuppgifter inte finns förutsättningar att följa den. Vår uppfattning är dock, även om det inte legat inom ramen för vår utredning att närmare gå in i dessa infrastrukturella frågor, att digitala kontaktuppgifter till privatpersoner och företag i närtid som huvudregel bör bli obligatoriska. Det skulle exempelvis kunna vara fråga om att enskilda ska inneha en brevlåda för att kunna ta emot digital post från myndigheter om han eller hon inte uttryckligen har meddelat önskemål om att slippa ta emot skriftliga underrättelser eller andra handlingar från myndigheter i digital form.61 Vårt förslag till ny huvudregel om digital kommunikation förhåller sig emellertid neutralt i förhållande till vilken teknik som används för den digitala kommunikationen.

När huvudregeln inte tillämpas

En huvudregel om digital kommunikation kan inte gälla undantagslöst. En generell regel av nu aktuellt slag bör vara subsidiär i förhållande till särskild reglering om formen för kommunikation. Det följer av 4 § förvaltningslagen att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från denna lag, tillämpas den bestämmelsen. Den reglering som vi nu diskuterar kommer alltså inte att ha företräde framför t.ex. bestämmelser i registerförfattningar om elektroniskt utlämnande av uppgifter eller bestämmelser om sekretess. Det kan därmed fortfarande finnas annan reglering som uppställer hinder mot digital kommunikation.

En myndighet behöver vidare uppnå tillräcklig säkerhet för att digital kommunikation ska kunna krävas. Det bör mot den bakgrunden, i likhet med vad som anförts i kapitel 8.3.3 om en ny huvudregel om digital tillgänglighet, enligt vår bedömning framgå av regleringen att det av säkerhetsskäl eller av annat skäl kan vara olämpligt att förvaltningen kommunicerar digitalt med den enskilde.

61 Jfr Utredningen om effektiv styrning av nationella digitala tjänsters bedömning i SOU 2017:23 s. 186 f.

I fråga om när det är olämpligt med digital kommunikation av andra skäl än säkerhetsskäl bör särskilt framhållas att den enskilde som utgångspunkt själv bör kunna meddela på vilket sätt han eller hon tar emot skriftliga underrättelser eller andra handlingar från förvaltningen, t.ex. att han eller hon inte önskar ta emot skriftliga underrättelser eller andra handlingar från myndigheter i digital form.62Det kan så småningom utvecklas nya system för att enskilda mer generellt ska kunna ge besked till förvaltningen om önskad form för kommunikation, i linje med vad som ovan anförts om brevlådor för att kunna ta emot digital post från myndigheter. Innan sådana lösningar finns på plats bör den enskildes önskemål i vart fall beaktas i det enskilda ärendet. En sådan önskan bör förvaltningen som regel följa i linje med den allmänna serviceskyldigheten. Myndigheten får då överväga att översända underrättelser eller andra handlingar per papperspost i stället om inte någon form av muntlig kommunikation bedöms lämpligare (se bl.a. 25 och 33 §§förvaltningslagen).

Det bör överlåtas åt tillämpande myndigheter att avgöra när det annars kan vara olämpligt med digital kommunikation, t.ex. om det är något i det enskilda ärendet, något som framkommit i tidigare kontakter med den enskilde, eller för en viss typ av handlingar som gör att myndigheten bedömer det vara olämpligt med digital kommunikation.

Vi föreslår alltså sammanfattningsvis att en myndighets skriftliga underrättelser eller andra handlingar till enskilda ska förmedlas digitalt, om det inte är olämpligt av säkerhetsskäl eller av andra skäl, och att enskilda ska kunna meddela att de inte önskar ta emot skriftliga underrättelser eller andra handlingar från myndigheten i digital form.

Annan reglering

I ett nästa steg bör enligt vår uppfattning också särskilda överväganden göras om hur nya sätt för digital delgivning ska kunna utformas. Vi har emellertid inte haft möjlighet att inom ramen för denna utredning närmare analysera frågan. Den av oss föreslagna

62 Jfr, i fråga om att beakta enskildas önskemål om form för kommunikation, t.ex. departementspromemorian En snabbare lagföring Försöksprojekt med ett snabbförfarande i brottmål, Ds 2017:36, s. 61 f.

regleringen kring enskildas självbestämmande i fråga om digital kommunikation vid underrättelser bör emellertid inte hindra fortsatta överväganden om hur nya sätt för delgivning kan utformas.

I förordningen (2003:234) om tiden för tillhandahållande av domar och beslut, m.m. finns bestämmelser om hur handlingar ska tillhandahållas. Förordningen innehåller bestämmelser för domstolar och statliga förvaltningsmyndigheter. Där anges bl.a. i 9 § att en handling som ska tillhandahållas bör skickas med post, om inte något annat har begärts. I 10 § anges att om det är lämpligt får en handling skickas med telefax eller elektronisk post eller på annat sätt tillhandahållas i elektronisk form.63 Regeringen bör enligt vår bedömning överväga att anpassa regleringen i den förordningen efter det förslag som här lämnas, även om det anges att förordningen är subsidiär till annan författning.

8.3.7. En angränsande fråga om kommunikation

I kapitel 12 återkommer vi till några av de analyser vi gjort med anledning av kartläggningsresultatet, bl.a. i frågan om reglering avseende informationsförsörjning. Där görs bedömningen att det sannolikt kommer att finnas ett behov av att se över vissa registerförfattningar som t.ex. förutsätter att vissa myndigheter håller centrala register för att försörja förvaltningen och samhället i stort med viss information (se kapitel 12.2.4).

Om det i fortsatt lagstiftningsarbete blir aktuellt med reglering som anger att andra myndigheter ska hämta vissa uppgifter från en utpekad digital källa bör det också övervägas om det finns eller ska ges förutsättningar som innebär att dessa uppgifter inte alltid behöver kommuniceras med enskilda i varje enskilt ärende enligt 25 § förvaltningslagen. Det bör enligt vår bedömning kunna vara tillräckligt att enskilda har möjlighet att kontrollera uppgifterna och t.ex. begära rättelse av dem vid källan, med beaktande av att också dataskyddsregleringen uppställer krav på information till den enskilde.64 Ett sådant förfarande kan underlätta förvaltningens effektivitet samtidigt som det besparar enskilda onödigt arbete med att ta

63 Se även i fråga om denna förordning Följdändringar till ny förvaltningslag,Ds 2017:42, s. 235. 64 Se t.ex. artikel 13.1.e och 13.2.e dataskyddsförordningen.

emot underrättelser och granska beslutsunderlag som är gemensamt för förvaltningen.

8.3.8. Placering och tillämpningsområde

Utredningens förslag: De föreslagna bestämmelserna som rör

digital kommunikation ska placeras i förvaltningslagen och följa den lagens struktur och tillämpningsområde.

Skälen för utredningens förslag: Den för förvaltningen gemen-

samma regleringen om tillgänglighet och kommunikation med enskilda finns i förvaltningslagen. Vi har övervägt om det borde skapas en särskild lag som bl.a. reglerar den digitala tillgänglighet och de digitala förfaranden som diskuterats i detta kapitel. Vi har dock stannat vid att regler om förvaltningens tillgänglighet och förfaranden bör hållas samlade. Det gäller särskilt med beaktande av att förvaltningens verksamhet i hög grad redan är digital och i ökad utsträckning förväntas bli det, bl.a. till följd av de av oss lämnade förslagen. Vi föreslår därför att bestämmelserna införs i förvaltningslagen.

Bestämmelser om förvaltningens tillgänglighet hör till grunderna för en god förvaltning. Vi finner inte anledning att se annorlunda på den nu föreslagna regleringen med en ny huvudregel om digital tillgänglighet. Även bestämmelsen med huvudregel om digital kommunikation till enskilda bör enligt vår bedömning ges ett så omfattande tillämpningsområde som möjligt. Vi föreslår därför att dessa bestämmelser införs i förvaltningslagens inledande avsnitt.

Den föreslagna anpassningen i regleringen om ankomstdag liksom huvudregeln om underrättelser när handlingar tas emot digitalt bör enligt vår bedömning endast gälla vid ärendehandläggning. Vi föreslår därför att de bestämmelserna ska tillföras förvaltningslagens allmänna krav på handläggningen av ärenden.

Av den föreslagna placeringen i förvaltningslagen följer att samma avgränsningar i förhållande till bl.a. tillämpningsområdet för kommunala ärenden där besluten kan laglighetsprövas, brottsbekämpande verksamhet, hälso- och sjukvårdsverksamhet och privat utförande av offentligt finansierad verksamhet kommer att gälla som för förvaltningslagens tillämpningsområde i övrigt.

8.3.9. Konsekvenser av förslagen

På en övergripande nivå bedömer vi att förslagen som rör digital kommunikation med enskilda ger en stabil rättslig bas för att förvaltningen ska kunna ta ytterligare steg i utvecklingen att lämna god digital service till privatpersoner och företag, samtidigt som grundlagsfästa krav på likabehandling upprätthålls. Såväl privatpersoners som företagskontakter med förvaltningen blir smidigare och enklare. Ett grundläggande syfte med förslagen är att stärka rättssäkerheten avseende de digitala förfaranden som tas fram i förvaltningen. Förslagen bidrar också till att öka incitamenten för att enskilda ska använda de digitala tjänster som förvaltningen tar fram.

Förvaltningen förväntas även i intern bemärkelse bli mer effektiv genom att i högre grad kunna övergå till enklare och mer effektiv digital kommunikation där myndighetspersonal inte behöver lägga ned tid på att hantera manuella pappers- och postförfaranden. Förutom denna resursbesparing minskar de direkta kostnaderna för att hantera utskick av papperspost. Någon beräkning i fråga om graden av kostnadseffektivitet som just de nu lämnade förslagen kommer att medföra för förvaltningen kan emellertid svårligen göras med anledning av dels redan pågående digitaliseringsarbeten, dels att även andra förslag som rör förvaltningens digitala kommunikation med enskilda och infrastrukturlösningar för detta nu bereds (se SOU 2017:23 och 2017:114). En minskning av mängden papperspost från förvaltningen leder dessutom till minskad miljöpåverkan.

Såväl förvaltningsmyndigheter och domstolar som kommuner och landsting åläggs enligt förslagen en skyldighet att som huvudregel tillhandahålla digitala mottagningsfunktioner för att ta emot handlingar och att i första hand kommunicera digitalt med enskilda. Så som förslagen har utformats innebär de dock inte en ovillkorlig skyldighet att senast ett visst datum t.ex. tillhandahålla digitala tjänster för att inleda ärenden vid myndigheten. En avvägning har också gjorts så att intresset av säkra förfaranden ska beaktas.

Även med hänsyn tagen till överväganden om kostnadseffektivitet går det i praktiken inte att sätta ett visst datum för när varje myndighet ska tillhandahålla en sådan digital mottagningsfunktion. Förslagen förväntas därför inte nu leda till några direkta kostnader för myndigheternas utvecklingsarbeten. Intresset av att inte tillämpa huvudregeln av kostnadsskäl behöver dock sättas i relation till

enskildas intressen av digital tillgänglighet till myndigheten. Vi menar vidare att det föreslagna kravet kommer att leda till att framtagandet av digitala tjänster för service till privatpersoner och företag i högre utsträckning kommer att prioriteras. Någon omarbetning av de digitala tjänster som redan har tagits fram torde inte krävas, varför förslagen därmed inte heller medför några särskilda kostnader i det avseendet.

Förslagen har bäring även på kommuner och landsting. Vi menar att utvecklingen i fråga om vilken service som i förvaltningsrättslig mening kan krävas av myndigheter, även kommunala och landstingskommunala, följer nu gällande ordning. De förslag vi lämnar för därmed inte med sig någon ny konsekvens för den kommunala självstyrelsen. Med anledning av att förslagen i sig inte väntas leda till direkta kostnader, omfattas de inte heller av den kommunala finansieringsprincipen.

Förslagen skapar goda förutsättningar för att åstadkomma infrastrukturlösningar med t.ex. en gemensam plattform för olika myndigheters digitala tjänster.

Den föreslagna regleringen bör enligt vår bedömning föranleda informationsinsatser för att sprida kunskap om bestämmelserna till enskilda. En sådan informationsinsats bör kunna samordnas med t.ex. informationsinsatser som görs för att sprida kännedom om infrastrukturen för digital post. Erfarenheter kan också hämtas från t.ex. den danska övergången till obligatorisk digital post.65 Vi bedömer att det även ur rättssäkerhetssynpunkt är en fördel att en sådan informationsinsats samordnas för förvaltningen som helhet, för att öka medvetenheten hos enskilda om att digital kommunikation från förvaltningen blir huvudregeln. De begränsade kostnader som en sådan informationsinsats medför, särskilt om de samordnas med informationsinsatser av infrastrukturansvarig myndighet66 kan finansieras inom den myndighetens ordinarie anslag.

Förslagen kan härutöver inte förväntas leda till andra konsekvenser än de generella konsekvenser av våra förslag som redovisas i kapitel 14.2.

65SOU 2017:23 s. 169. 66 A.a. s. 266.

8.4. Digitala tjänster med eget utrymme

8.4.1. Användarvänliga digitala tjänster

I syfte att erbjuda en god service och att uppnå politiska målsättningar om en enklare vardag för privatpersoner och företag har det kommit att bli allt vanligare att myndigheter som tillhandahåller digitala tjänster ger användaren möjlighet att, inom ramen för vad som brukar kallas ett eget utrymme, t.ex. skapa utkast för senare inlämning av uppgifter till myndigheten. Denna möjlighet kan vara en avgörande förutsättning för att tjänsterna alls ska kunna användas, särskilt i de fall där t.ex. ett stort antal uppgifter ska lämnas in och användaren har behov av att tillfälligt lagra uppgifter i tjänsten utan att uppgifterna anses ha kommit in till myndigheten enligt tryckfrihetsförordningen eller förvaltningslagen.

Utmärkande för den typ av digitala tjänster det här är fråga om är således att de innehåller ett så kallat eget utrymme där användaren exempelvis kan registrera och lagra uppgifter utan att myndigheten som tillhandahåller det egna utrymmet har insyn i eller tar del av uppgifterna i fråga. Ett ytterligare kännetecken för denna typ av tjänster är att den myndighet som tillhandahåller det egna utrymmet enbart tekniskt bearbetar eller tekniskt lagrar uppgifterna för annans räkning fram till dess användaren aktivt förmedlat uppgifterna i fråga till myndigheten.

Även om begreppet eget utrymme kan anses relativt etablerat i förvaltningsrättsliga sammanhang bör det framhållas att begreppet inte tillkommit enbart utifrån tekniska aspekter, utan snarare som en rättsfigur.67 Förvaltningens digitala utveckling har nämligen förutsatt att myndigheterna svarat upp mot de förväntningar som privatpersoner och företag har på att handlingar inte blir att anse som inkomna till myndigheten i ett för tidigt skede, dvs. innan avsikten varit att ge in dem till myndigheten.

67 Se t.ex. användningen av begreppet i Utökat sekretesskydd i verksamhet för teknisk bearbetning

och lagring, prop. 2016/17:198.

8.4.2. Kartläggningsresultatet

En myndighet som utvecklar en digital tjänst med eget utrymme konfronteras med en rad juridiska frågeställningar. Eftersom de juridiska bedömningarna många gånger är avhängiga av tjänstens tekniska utformning kan frågorna vara svårgripbara för jurister som saknar djupare kunskap om tekniska funktioner.

Vårt kartläggningsarbete har å ena sidan visat att vissa aktörer känner sig trygga med den myndighetspraxis som har utvecklats när det gäller utformning av tjänster med eget utrymme. Att en sådan myndighetspraxis har kunnat utvecklas, och digitala tjänster har kunnat införas, beror till stor del på de vägledningar som har tagits fram inom ramen för E-delegationen och eSamverkansprogrammet (eSam).68 Å andra sidan har flera av dem vi mött under kartläggningen framhållit att de anser att det fortfarande råder en rättslig osäkerhet inom området. Det rör sig om osäkerhet beträffande tolkning och tillämpning av 2 kap. 10 § första stycket tryckfrihetsförordningen. Hur ska tjänster utformas rent faktiskt för att omfattas av lokutionen ”endast som led i teknisk bearbetning eller teknisk lagring för annans räkning”? Vilken service kan en myndighet ge inom ramen för ett eget utrymme utan att en handling ska anses inkommen? Under vilka förutsättningar behövs uttalat författningsstöd för behandlingen av uppgifter i ett eget utrymme? Dessa frågeställningar har också samband med funderingar kring hur dataskyddsregleringens krav på rättslig grund för personuppgiftsbehandling ska förstås beträffande egna utrymmen och hur personuppgiftsansvaret, för den behandling av personuppgifter som sker i det egna utrymmet, ska fördelas. Även frågor om vem som har ansvar för informationssäkerheten har relevans i sammanhanget.

Kartläggningsresultatet ger också anledning för oss att förutse ett växande användningsområde för digitala tjänster med eget utrymme. Det gäller inte enbart ökat tillhandahållande av sådana tjänster för enskilda. En myndighet kan också tillhandahålla ett eget utrymme åt en annan myndighet inom ramen för en gemensam digital process (se kapitel 5.2.4). Myndighetsgemensamma processer kan med andra ord förenklas och effektiviseras genom att en myndighet tillhandahåller ett eget utrymme åt en annan myndighet. Även här

68 Se bl.a. Juridisk vägledning för verksamhetsutveckling inom e-förvaltningen, version 2.0, E-delegationen, 19 mars 2015 och Eget utrymme hos myndighet - en vägledning, eSam, april 2016.

framhåller myndigheter behov av att få stöd i sitt digitala utvecklingsarbete så att de tjänster som utformas är förenliga med gällande rätt.

Majoriteten av dem som uttalat sig i frågan under kartläggningen är förvisso överens om att de vägledningar som finns inom området är välgrundade och har stor praktisk betydelse för deras utvecklingsarbeten. Men ett antal myndighetsrepresentanter framhåller som en brist att de vägledningar som finns saknar en naturlig plats i normhierarkin. Det har bl.a. framförts att, om inte författningsändringar genomförs, skulle en ordning där lagstiftaren eller regeringen pekar ut den aktör som ska stå för stödmaterial och vägledning ge en ökad rättslig stabilitet.

I följande avsnitt redogör vi för den rättsliga regleringen och de anknytande frågeställningar som aktualiseras vid utveckling av digitala tjänster med eget utrymme. Därefter följer våra huvudsakliga överväganden och förslag.

8.4.3. Gällande rätt och några inledande överväganden

Legalitetsprincipen

Legalitetsprincipen brukar, som också angetts i kapitel 4, framhållas som ett skydd mot en nyckfull och godtycklig maktutövning från det allmännas sida. Den är en av de principer som anses känneteckna en rättsstat och tillmäts en avgörande vikt i EU:s rättssystem liksom i Europakonventionen. Legalitetsprincipen är inte enhetligt definierad men brukar vanligtvis uppfattas som ett krav på att ingripanden mot enskilda ska ha ett klart författningsstöd. I denna betydelse är legalitetsprincipen också grundlagsfäst genom bestämmelsen i 1 kap. 1 § regeringsformen om att ”den offentliga makten utövas under lagarna”. Med uttrycket lagarna avses i detta sammanhang inte endast sådana föreskrifter som riksdagen har beslutat utan även andra författningar och sedvanerätt.69 Legalitetsprincipen innebär alltså att myndigheternas maktutövning i vidsträckt mening måste ha stöd i någon av de källor som tillsammans bildar rättsordningen.

Inom förvaltningsrätten är legalitetsprincipen av central betydelse eftersom kravet på författningsstöd bildar utgångspunkt för myndigheternas verksamhet såväl när det gäller att handlägga ärenden

69Prop. 2016/17:180 s. 57.

och besluta i dessa, som i fråga om annan verksamhet som en myndighet bedriver. Regeringen har också anfört att pågående utveckling där myndigheters verksamhet går från en mer klassisk förvaltning mot en förvaltning med ökade inslag av informationsuppgifter och mera kundrelaterade aktiviteter, t.ex. i form av olika digitala självbetjäningstjänster, innebär ökade risker för att myndigheter inte alltid i tillräcklig utsträckning tar reda på om de har stöd i rättsordningen för sina åtgärder.70

I syfte att bl.a. markera myndigheternas skyldighet att fullgöra bestämda uppgifter i det allmännas tjänst och hindra myndigheterna från att agera vid sidan av sina i författning angivna åligganden, har i den nya förvaltningslagen förts in en bestämmelse om att en myndighet endast får vidta åtgärder som har stöd i rättsordningen.71 Den nya bestämmelsen innebär ett krav på att myndighetens agerade ska ha stöd i någon av de källor som tillsammans bildar rättsordningen i vidsträckt mening. Vad som krävs är alltså att det ska finnas någon normmässig förankring för all typ av verksamhet som en myndighet bedriver.72 Legalitetsprincipen gäller alltså såväl vid myndigheters handläggning och beslut i ärenden som vid s.k. faktiskt handlande.

I den nya förvaltningslagen införs också en bestämmelse om att en myndighet inom sitt verksamhetsområde ska samverka med andra myndigheter.73 En myndighet ska därtill i rimlig utsträckning hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter. Enligt regeringens uttalanden i propositionen till ny förvaltningslag har bestämmelsen två syften.74För det första är det fråga om en mer generell skyldighet för myndigheter att samverka med varandra. Myndigheternas verksamhet styrs enligt legalitetsprincipen av de föreskrifter om arbetsuppgifter som lagstiftaren eller någon annan normgivare har meddelat. Det innebär bl.a. att det inte får förekomma några nyskapelser i form av särskilda samarbetsorgan, som oberoende av tillämpliga föreskrifter fattar beslut som inte kan härledas till någon av de samverkande myndigheterna. För det andra avser bestämmelsen att ge en klar indikation om att samverkansskyldigheten inte enbart tar sikte på att

70 A. prop. s. 58. 71 5 § första stycket förvaltningslagen. 72Prop. 2016/17:180 s. 59. 738 § förvaltningslagen. 74Prop. 2016/17:180 s. 71.

förvaltningen generellt ska bli så enhetlig eller effektiv som möjligt, utan också är avsedd att underlätta för den enskilde i kontakterna med myndigheterna. Bestämmelsen ger dock inte stöd för verksamhetsprojekt som faller utanför respektive myndighets verksamhetsområde.75

För de flesta myndighetsgemensamma utvecklingsarbeten som t.ex. innefattar utveckling av en digital tjänst med eget utrymme finns normalt sett någon form av rättsligt stöd för arbetet, antingen i de författningar som gäller myndigheternas verksamhet, i särskilda regeringsbeslut eller i berörda myndigheters regleringsbrev. I vårt kartläggningsarbete har emellertid framkommit att det inte alltid är helt tydligt vad som utgör ramen för den verksamhet en myndighet ska ägna sig åt. Det gäller i synnerhet var gränserna går mot andra aktörer.

Tryckfrihetsförordningen och offentlighetsprincipen

Enligt tryckfrihetsförordningen ska varje svensk medborgare ha rätt att ta del av allmänna handlingar.76 En handling är allmän om den förvaras hos en myndighet och är att anse som inkommen till eller upprättad hos myndigheten.77 En elektronisk handling i form av en upptagning anses inkommen till myndigheten när annan gjort upptagningen tillgänglig för myndigheten med tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas, avlyssnas eller på annat sätt uppfattas.78 En handling som förvaras hos en myndighet endast som led i teknisk bearbetning eller teknisk lagring för annans räkning anses emellertid inte vara någon allmän handling enligt 2 kap. 10 § första stycket tryckfrihetsförordningen. En sådan handling omfattas således inte av bestämmelserna om handlingsoffentlighet och kan inte bli föremål för utlämnande.

Stöd i förarbetsuttalanden för att 2 kap. 10 § första stycket tryckfrihetsförordningen kan tillämpas när myndigheter tillhandahåller digitala tjänster med ett eget utrymme finns numera i två separata

75 A. prop. s. 293. 762 kap. 1 § tryckfrihetsförordningen. Observera att ändringar i bl.a. 2 kap. tryckfrihetsförordningen föreslås i Ändrade mediegrundlagar, prop. 2017/18:49. Ändringarna innebär bl.a. ändrade beteckningar på lagrum. 772 kap. 3 § tryckfrihetsförordningen. 782 kap. 6 § tryckfrihetsförordningen.

lagstiftningsärenden. I anslutning till en redogörelse om huruvida en handling som fylls i av en enskild i ett eget utrymme ska anses som inkommen i förvaltningsrättslig mening framför regeringen följande i propositionen med förslag till en ny förvaltningslag.79

Under förutsättning att uppgifterna på servern inte görs tillgängliga för myndighetens handläggare före nämnda tidpunkt, torde det också vara möjligt att se en eventuell lagring som föregår ingivandet som en form av teknisk lagring för den enskildes räkning, som enligt 2 kap. 10 § första stycket TF innebär att handlingen inte är att anse som allmän innan den ”skickats in” (jfr HFD 2011 ref. 52). Detta bör myndigheterna ha i åtanke vid utformningen av de tekniska systemen och vid behörighetstilldelningen i dessa.

I propositionen Utökat sekretesskydd i verksamhet för teknisk bearbet-

ning och lagring har regeringen uttalat att det finns stöd i praxis för

att myndigheterna tillhandahåller digitala tjänster som uppfyller kraven i 2 kap. 10 § första stycket tryckfrihetsförordningen.80 Som exempel på egna utrymmen i befintliga digitala tjänster inom förvaltningen kan nämnas Skatteverkets blankettjänst för deklaration, Arbetsförmedlingens CV-databas och tjänster för lagring av affärsmodeller som tillhandahålls av bl.a. Tillväxtverket. Digitala tjänster för enskilda kan dock utformas på många olika sätt. Det innebär enligt regeringen i nämnda proposition att det ytterst är en fråga för rättstillämpningen att avgöra om information i egna utrymmen omfattas av regleringen i 2 kap. 10 § första stycket tryckfrihetsförordningen och därmed inte utgör allmänna handlingar.

Tillämpningen av undantagsbestämmelsen i 2 kap. 10 § första stycket tryckfrihetsförordningen har bl.a. prövats i ett mål om utlämnande av uppgifter ur Riksrevisionsverkets centrala ekonomisystem Cosmos.81 Bakgrunden till rättsfallet var att flera andra myndigheter hade valt att lagra sina ekonomidata i detta system, som tekniskt förvaltades av en extern it-leverantör. Riksrevisionsverket disponerade inte över innehållet i de andra myndigheternas redovisning, utan tillhandahöll endast den tekniska lösningen och lagringsutrymmet. Regeringsrätten82 bedömde i det aktuella fallet, med hänvisning till 2 kap. 10 § första stycket tryckfrihetsförordningen, att handlingarna hos Riksrevisionsverket som innehöll de begärda

79Prop. 2016/17:180 s. 141 f. 80Prop. 2016/17:198 s. 16. 81 RÅ1994 ref. 64. 82 Den 1 januari 2011 bytte Regeringsrätten namn till Högsta förvaltningsdomstolen.

uppgifterna inte var att anse som allmänna handlingar hos myndigheten.

I ett annat rättsfall prövade Högsta förvaltningsdomstolen om ett webbaserat arbetsskadesystem omfattades av den aktuella bestämmelsen.83 Systemet var gemensamt för polismyndigheterna och administrerades av Rikspolisstyrelsen. Vissa befattningshavare vid Rikspolisstyrelsen kunde ta del av handlingarna i systemet för att bl.a. utarbeta statistik och lämna rapporter till Arbetsmiljöverket. Domstolen ansåg att i vart fall den användningen av uppgifterna inte kunde anses hänförlig till sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § första stycket tryckfrihetsförordningen.

I rättspraxis saknas det vägledande avgöranden som ger ett tydligt besked om vilka egna utrymmen i digitala tjänster som myndigheter tillhandahåller som kan falla in under 2 kap. 10 § första stycket tryckfrihetsförordningen, och som därmed inte leder till att allmänna handlingar anses inkomna. Kammarrätten har dock i ett mål bedömt att handlingar som förvaras i en CV-databas hos Arbetsförmedlingen fick anses vara förvarade hos myndigheten endast som led i teknisk bearbetning eller teknisk lagring för annans räkning.84CV-databasen bestod av konton för arbetssökande och arbetsgivare. De arbetssökande kunde lagra CV och annan information i ett eget utrymme och arbetsgivare kunde söka bland profilerna, läsa dem och skicka förfrågningar.

Service i eget utrymme

I takt med att enskilda i allt högre grad använder digitala tjänster i kontakterna med förvaltningen ställs högre krav på myndigheterna att i enlighet med den allmänna serviceskyldigheten också erbjuda stöd och hjälp till företag och privatpersoner för att de ska kunna använda tjänsterna på ett effektivt sätt. Sådant stöd kan lämnas på olika sätt. Exempelvis kan stödet vara helt automatiserat genom summering av belopp eller automatiserade svar på vissa frågor. Sådan automatiserad service kan ges helt utan mänsklig inblandning vilket enligt vår bedömning bör innebära att myndighetens hantering av

83HFD 2011 ref. 52. 84 Kammarrätten i Stockholms dom den 26 oktober 2015, mål nr 7369-15.

uppgifterna utgör teknisk bearbetning eller teknisk lagring för användarens räkning.

I kartläggningen har emellertid framkommit att användaren av en digital tjänst också kan ha behov av ett mer anpassat stöd. Sådant stöd kan ges genom att myndigheten erbjuder hjälptjänster,85 t.ex. i form av chatt eller telefonsamtal med myndighetens personal. En företeelse som blir allt vanligare är att den enskilde genom s.k. skärmdelning delar de uppgifter som finns på hans eller hennes bildskärm med personal anställd vid myndigheten. När myndigheten i en hjälptjänst lämnar stöd till en enskild genom skärmdelning eller chatt kan handlingar bli allmänna hos myndigheten. Sådana handlingar förvaras inte endast för enbart teknisk bearbetning eller teknisk lagring, (2 kap. 10 § första stycket tryckfrihetsförordningen) utan är i regel att anse som till myndigheten inkomna handlingar. Allmänna handlingar kan andra begära att få utlämnade. Men uppgifter som tillgängliggörs för myndighetens befattningshavare i samband med en hjälptjänst torde normalt endast vara av betydelse för myndighetens verksamhet under tiden som samtalet eller sessionen pågår och bör därefter oftast kunna gallras.86

En annan typ av service som kan tillhandahållas inom ramen för ett eget utrymme är sammanställning och presentation av uppgifter eller handlingar som har hämtats in från flera olika aktörer, en s.k. presentationstjänst.87 Syftet med en sådan tjänst är att den enskilde på ett enkelt sätt ska kunna ta del av samlad information på ett ställe, i stället för att behöva vända sig till flera olika aktörer. Handlingar som uppstår i samband med tillhandahållandet av en presentationstjänst kan inte alltid anses förvarade endast som ett led i teknisk bearbetning eller teknisk lagring för annans räkning. Uppgifterna som samlas in och sammanställs i en presentationstjänst kan därför utgöra del av allmänna handlingar. Presentationstjänster bör dock ofta kunna utformas så att myndighetens hantering av uppgifterna sker i form teknisk bearbetning eller lagring för användarens räkning.

85 Om begreppsanvändningen se prop. 2016/17:198 och E-delegationens betänkande Så enkelt

som möjligt för så många som möjligt, Bättre juridiska förutsättningar för samverkan och service

(SOU 2014:39). 86Prop. 2016/17:198 s. 24. 87 Om begreppsanvändningen se a. prop. och SOU 2014:39.

Även när allmänna handlingar upprättas hos en myndighet i samband med tillhandahållandet av en presentationstjänst torde de kunna gallras efter att tjänsten tillhandahållits.88

Förvaltningslagen och inkommen handling

Uppgifter som den enskilde lämnar i en digital tjänst för ansökan eller anmälan via webben finns normalt sett tekniskt tillgängliga för myndigheten på dess server redan innan den tidpunkt då den enskilde har färdigställt sitt formulär. När det gäller frågan om när en handling i förvaltningsrättslig mening ska anses vara inkommen till en myndighet har regeringen i propositionen med förslag till en ny förvaltningslag framfört följande.89

Uppgifter som den enskilde lämnar i ett webbformulär finns i vissa fall tekniskt tillgängliga för myndigheten på dess server för databehandling redan innan den tidpunkt då den enskilde har färdigställt en ansökan. Så kan fallet vara t.ex. under den tid som ett webbformulär håller på att fyllas i fram till dess att den enskilde vidtagit en särskild åtgärd som markerar att ansökan är färdig och inskickad. Enligt regeringens mening bör ett sådant förhållande som regel inte anses innebära att handlingen i förvaltningsrättslig mening ska anses ha kommit in till myndigheten. Ingivandet kan exempelvis manifesteras genom att den enskilde trycker på en skicka-knapp i webbformuläret.

I kapitel 8.3.3–8.3.5 lämnar vi förslag på en uttrycklig reglering avseende digitala mottagningsfunktioner. Genom förslagen tydliggörs ytterligare, även i förhållande till enskilda, vad som gäller i fråga om bl.a. ankomstdag och underrättelse om att en handling har kommit in till en myndighet i förvaltningsrättslig mening.

Sekretesskydd vid teknisk bearbetning och lagring

I offentlighets- och sekretesslagen har införts bestämmelser som syftar till att säkerställa skyddet för uppgifter om enskildas personliga eller ekonomiska förhållanden, liksom skyddet för allmänna intressen, vid t.ex. användning av digitala tjänster. Regleringen, som redogörs för närmare nedan, kan bli aktuell både för eget utrymme

88 A. prop. s. 26. 89Prop. 2016/17:180 s. 141.

som tillhandahålls en enskild och för eget utrymme som tillhandahålls en annan myndighet.

Enligt 40 kap. 5 § offentlighets- och sekretesslagen gäller sekretess i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekonomiska förhållanden. Bestämmelsen innebär att tystnadsplikt ska gälla för uppgifter om enskilds personliga eller ekonomiska förhållanden i verksamhet av det aktuella slaget. Om myndigheternas personal får del av en uppgift i denna verksamhet, t.ex. i samband med att han eller hon rättat ett fel i det tekniska systemet, eller vidtagit en åtgärd som är nödvändig från informationssäkerhetssynpunkt, skyddas uppgiften av sekretess. Tillämpningsområdet är detsamma som för det undantag från bestämmelserna om allmänna handlingar som föreskrivs i 2 kap. 10 § första stycket tryckfrihetsförordningen. Sekretessbestämmelsen kommer därför enbart att tillämpas på de digitala tjänster som har utformats på ett sådant sätt att de avser förvaring av handlingar endast som led i teknisk bearbetning eller lagring för annans räkning.90

Offentlighets- och sekretesslagen innehåller dessutom en bestämmelse, 11 kap. 4 a §, som reglerar att när en myndighet i sin verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning får en uppgift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett allmänt intresse, ska sekretessbestämmelsen även tillämpas hos den mottagande myndigheten. Det skydd som kan aktualiseras är även här en tystnadsplikt som t.ex. gäller i samband med digitala tjänster som en myndighet tillhandahåller åt en annan myndighet. Bestämmelsen är också tillämplig på uppgifter som den mottagande myndigheten får från enskilda eller andra myndigheter än beställarmyndigheten för den senare myndighetens räkning. Tillämpningsområdet för denna bestämmelse är också detsamma som för det undantag från bestämmelserna om allmänna handlingar som föreskrivs i 2 kap. 10 § första stycket tryckfrihetsförordningen.91

90Prop. 2016/17:198 s. 28 f. 91 A. prop. s. 28.

8.4.4. Personuppgiftsansvar m.m.

Dataskyddsregleringen

En utgångspunkt vid behandling av personuppgifter i digitala tjänster med eget utrymme är givetvis att den personuppgiftsansvarige har att efterleva samtliga tillämpliga bestämmelser i dataskyddsregleringen för att behandlingen i fråga ska vara tillåten. En övergripande beskrivning av dataskyddsregleringen har lämnats i kapitel 4.5. Där har bl.a. de grundläggande principerna om dataskydd presenterats. I kapitel 7.6.1 har också bl.a. de generella reglerna i dataskyddsförordningen presenterats. I det följande lägger vi främst fokus på de bestämmelser som reglerar personuppgiftsansvaret eftersom det har visat sig att detta kan vara en utmanande uppgift vid utvecklande av tjänster med ett eget utrymme. Avslutningsvis berör vi också kortfattat den rättsliga grunden för personuppgiftsbehandlingen.

Fördelning av personuppgiftsansvar

Inledning I takt med att utvecklingen av nya digitala tjänster med eget utrymme ökar har frågan om fördelning av personuppgiftsansvar vid flera tillfällen ställts på sin spets. Så har t.ex. skett i samband med Skatteverkets förmedlingstjänst Mina meddelanden och eHälsomyndighetens personliga hälsokonto Hälsa för mig.92 Svårigheterna med att göra en rättsligt korrekt bedömning av personuppgiftsansvaret i en myndighetsgemensam tjänst med eget utrymme ska inte underskattas. I vårt kartläggningsarbete har det framhållits att det saknas lämpliga verktyg som kan underlätta en bedömning av fördelning av personuppgiftsansvar. Detta leder inte sällan till att myndigheterna får lägga ned oproportionerligt mycket tid på att utreda fördelningen av personuppgiftsansvar men att en rättslig osäkerhet trots denna arbetsinsats ändå ofta kvarstår.

Vår ambition i detta avsnitt är inte att presentera en fullständig rättslig utredning av personuppgiftsansvar i digitala tjänster med eget utrymme. Vår ambition är snarare att beskriva och belysa den problematik som finns inom området och redogöra för främst den

92 Se bl.a. SOU 2017:114 kap. 21.8 om fördelning av personuppgiftsansvaret i Mina meddelanden och Förvaltningsrätten i Stockholms mål 11458-17 om personuppgiftsansvaret i Hälsa för mig.

generella reglering som styr bedömningen av personuppgiftsansvar. Det bör dock framhållas att redogörelsen inte är begränsad till frågan om personuppgiftsansvar i rättsfiguren eget utrymme utan avser personuppgiftsansvaret i hela dess vidd i digitala tjänster som innehåller ett eget utrymme.

Problembeskrivning En digital tjänst som innefattar ett eget utrymme kan utformas på många olika sätt och vända sig till olika målgrupper, t.ex. privatpersoner eller företag. Tjänsten kan tillhandahållas av en enskild myndighet eller av flera myndigheter gemensamt. Exempelvis kan en myndighet ansvara för att leverera den tekniska infrastrukturen dvs. gränssnittet för tjänsten och det egna utrymmet. En annan myndighet, eller en privat aktör, kan ha åtagit sig att skicka uppgifter till det egna utrymmet på den enskildes begäran när denne använder utrymmet.

Som tidigare beskrivits är syftet med det egna utrymmet att enskilda ska kunna upprätta utkast, lagra uppgifter m.m. utan att de uppgifter som den enskilde hanterar blir att anse som allmänna handlingar hos myndigheten enligt tryckfrihetsförordningen eller inkomna till myndigheten enligt förvaltningslagen. En förutsättning för att uppgifterna som hanteras i ett eget utrymme inte ska bli allmänna handlingar eller anses inkomna, är att myndigheten som tillhandahåller det egna utrymmet hanterar den enskildes uppgifter endast som ett led i teknisk bearbetning eller teknisk lagring innan denne aktivt har valt att skicka in en handling till myndigheten i fråga. Det innebär i praktiken att myndigheten inte ska ta del av de uppgifter som en enskild behandlar i ett eget utrymme.

När det gäller myndighetsgemensamma digitala tjänster med eget utrymme behöver det fastställas dels hur personuppgiftsansvaret är fördelat mellan de parter som på olika sätt svarar för att tillhandahålla den tekniska plattformen eller delfunktioner i tjänsten, dels vem eller vilka som är personuppgiftsansvariga för den behandling av personuppgifter som äger rum i det egna utrymmet.

Bedömningen av i vilken omfattning en myndighet är personuppgiftsansvarig för behandlingen av personuppgifter i en digital tjänst med eget utrymme kan vara komplicerad ur flera olika perspektiv.

För det första kan man fråga sig vilka faktiska och praktiska möjligheter en myndighet har att utöva sitt personsuppgiftsansvar

för den del av personuppgiftsbehandlingen som äger rum i ett eget utrymme på initiativ av en privatperson och där utgångspunkten är att myndigheten inte ska eller får ta del av de uppgifter som behandlas (se avsnittet nedan om privatundantaget). Hur kan myndigheten t.ex. säkerställa att privatpersonen, vid användning av det egna utrymmet, bara för in uppgifter som är adekvata och relevanta och inte för omfattande i förhållande till de ändamål för vilka uppgifterna ska behandlas?93

För det andra finns det anledning att reflektera över om en näringsidkare, som inte omfattas av privatundantaget,94 kan åläggas personuppgiftsansvar för den personuppgiftsbehandling som näringsidkaren utför i ett eget utrymme (se avsnittet nedan om juridiska personer). Hur kan en näringsidkare som bedöms vara personuppgiftsansvarig i så fall säkerställa att nödvändiga säkerhetsåtgärder vidtas för att skydda personuppgifterna som behandlas?

När det gäller digitala tjänster som t.ex. tillhandahålls gemensamt av flera myndigheter och privata aktörer behöver man för det tredje, med en tillräckligt hög grad av exakthet, fastställa hur personuppgiftsansvaret fördelar sig mellan de inblandade parterna. Hur personuppgiftsansvaret är fördelat när personuppgifter behandlas i komplexa digitala miljöer kan emellertid vara svårt att avgöra.

Regleringen av personuppgiftsansvar Personuppgiftsansvaret regleras generellt i dataskyddsförordningen och specifikt i olika registerförfattningar. Av dataskyddsförordningens definition framgår att personuppgiftsansvarig är den som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter.95

Den som är personuppgiftsansvarig bär ansvaret för att den behandling av personuppgifter, som ansvaret omfattar, är tillåten enligt dataskyddsregleringen dvs. att personuppgifterna behandlas för ett berättigat ändamål, att det finns en laglig grund för behandlingen, att den registrerades intressen tillvaratas etc.96 Den som är

93 Artikel 5.1 c dataskyddsförordningen, principen om uppgiftsminimering. 94 Med ”privatundantaget” avses att behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll inte omfattas av dataskyddsförordningens reglering, se artikel 2.2.c dataskyddsförordningen. 95 Artikel 4.7 dataskyddsförordningen. 96 Se t.ex. artiklarna 5, 6 och 12–22 dataskyddsförordningen.

personuppgiftsansvarig är skyldig att ersätta varje person som har lidit materiell eller immateriell skada till följd av överträdelse av dataskyddsförordningen.97 En personuppgiftsansvarig kan också vid en rättslig prövning påföras administrativa sanktionsavgifter.98

I en registerförfattning regleras normalt sett vilken aktör som är personuppgiftsansvarig för en personuppgiftsbehandling som äger rum i en viss verksamhet. I exempelvis 1 kap. 6 § lagen (2001:181) om behandling av uppgifter i Skatteverkets beskattningsverksamhet pekas Skatteverket ut som personuppgiftsansvarig för den behandling av personuppgifter som verket ska utföra. Det kan jämföras med 2 kap. 6 § patientdatalagen (2008:355) som i stället för att peka ut en specifik namngiven aktör reglerar personuppgiftsansvaret för en särskild verksamhet, nämligen vårdgivare. Enligt patientdatalagen är en vårdgivare personuppgiftsansvarig för den behandling av personuppgifter som vårdgivaren utför. Hur personuppgiftsansvaret utfaller enligt patientdatalagen kan alltså delvis vara en effekt av hur ett landsting eller en kommun har valt att organisera sig.

En konsekvens av att personuppgiftsansvar fastställs i registerförfattning kan bli att en aktör bedöms vara personuppgiftsansvarig för en personuppgiftsbehandling som denne inte helt kan råda över. Exempelvis kan en myndighet, av en annan myndighet, vara anvisad en digital tjänst för registrering och befordran av vissa uppgifter. Är den avsändande myndighetens personuppgiftsansvar utpekat i registerförfattning kan denne komma att betraktas som ansvarig för den tekniska och organisatoriska säkerheten i tjänsten trots att den avsändande myndigheten inte alls har, eller har mycket små, möjligheter att påverka eller kontrollera säkerheten i tjänsten.

Gemensamt personuppgiftsansvariga I dataskyddsförordningen har införts en bestämmelse om gemensamt personuppgiftsansvariga.99 Bestämmelsen saknar motsvarighet i dataskyddsdirektivet100 som ligger till grund för regleringen i personuppgiftslagen (1998:204). Av bestämmelsen framgår i huvudsak att om två eller flera personuppgiftsansvariga gemensamt fastställer

97 Artikel 82 dataskyddsförordningen. 98 Artikel 83 dataskyddsförordningen. 99 Artikel 26 dataskyddsförordningen. 100 Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter.

ändamålen och medlen för behandlingen ska de vara gemensamt personuppgiftsansvariga. De gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna i dataskyddsförordningen. Ansvarsfördelningen ska på lämpligt sätt återspegla de personuppgiftsansvarigas respektive roller och förhållanden gentemot den registrerade. Det gäller bl.a. skyldigheterna att tillse att de registrerade får information om personuppgiftsbehandlingen och att dessa kan utöva sina rättigheter enligt förordningen. De personuppgiftsansvariga får inom ramen för det gemensamma personuppgiftsansvaret utse en gemensam kontaktpunkt. Men oavsett hur de gemensamt personuppgiftsansvariga har fördelat ansvaret att fullgöra sina skyldigheter får den registrerade utöva sina rättigheter enligt dataskyddsförordningen emot var och en av de personuppgiftsansvariga.

I skälen till dataskyddsförordningen ges ingen ytterligare ledning i hur bestämmelsen är tänkt att tillämpas. Enligt vår uppfattning kan det dock inte uteslutas att bestämmelsen ger en öppning för att på ett mer flexibelt sätt fastställa det gemensamma personuppgiftsansvaret utifrån det ansvar respektive part i realiteten kan utöva så länge det inte påverkar den registrerades möjlighet att utöva sina rättigheter och under förutsättning att det inte strider mot den personuppgiftsansvariges skyldigheter som fastställts i t.ex. i registerförfattning.

Privatundantaget Behandling av personuppgifter som en fysisk person utför som ett led i verksamhet av rent privat natur eller som har samband med hans eller hennes hushåll omfattas inte av dataskyddsförordningens reglering (det s.k. privatundantaget).101 Att dataskyddsförordningen inte är tillämplig vid sådan behandling som en privatperson utför som ett led i verksamhet av rent privat natur innebär t.ex. att denne inte kan åläggas ett personuppgiftsansvar för behandlingen i fråga eller vara skyldig att skydda uppgifterna på lämpligt sätt.

Vem som är personuppgiftsansvarig för den behandling av personuppgifter som en privatperson utför inom ramen för en digital tjänst med ett eget utrymme har varit föremål för diskussion under de senaste åren bl.a. i förhållande till Skatteverkets förmedlingstjänst Mina meddelanden. Datainspektionen har i ett svar på en förfrågan

101 Artikel 2.2 c dataskyddsförordningen.

från Skatteverket angående personuppgiftsansvaret i tjänsten Mina meddelanden uttalat att privatundantaget i 6 § personuppgiftslagen102innebär att fysiska personer ofta inte kan åläggas ett ansvar för behandlingar av personuppgifter som de utför i brevlådan.103

Utredningen om effektiv styrning av nationella digitala tjänster har föreslagit en författningsreglering av personuppgiftsansvaret för de aktörer som behandlar personuppgifter inom ramen för Mina meddelanden.104

Frågan om vem som är personuppgiftsansvarig för den behandling av personuppgifter som utförs av en privatperson inom ramen för ett eget utrymme är för närvarande uppe för prövning i förvaltningsrätten.105 Målet gäller eHälsomyndighetens hälsokonto Hälsa för mig.106

Juridiska personers personuppgiftsansvar Juridiska personer som behandlar personuppgifter i ett eget utrymme omfattas inte av det ovan beskrivna privatundantaget. Det innebär att en juridisk person kan vara ensamt eller gemensamt personuppgiftsansvarig för den behandling av personuppgifter som utförs i ett eget utrymme. En juridisk person som är personuppgiftsansvarig för en personuppgiftsbehandling i ett av en myndighet tillhandahållet eget utrymme saknar emellertid förutsättningar att garantera fullständig efterlevnad av dataskyddsregleringen. Även om en juridisk person i regel självständigt kan avgöra om en digital tjänst med eget utrymme ska användas för att utföra vissa myndighetsärenden107 och eventuellt kan påverka vilka uppgifter som ska behandlas i tjänsten kan denne i princip aldrig påverka vilka tekniska och organisatoriska säkerhetsåtgärder som ska vidtas för att skydda uppgifterna i fråga. Det kan därför enligt vår bedömning ifrågasättas om en juridisk person kan bära hela personuppgiftsansvaret för alla

102 Privatundantaget i 6 § personuppgiftslagen överensstämmer i sak med privatundantaget som föreskrivs i artikel 2.2 c i dataskyddsförordningen. 103Svar på Skatteverkets förfrågan om personuppgiftsansvar i Mina Meddelanden, Datainspektionen, 27 april 2015, dnr 111-2014. 104 Se förslag till lag om infrastruktur för digital post, SOU 2017:114. 105 Förvaltningsrätten i Stockholm, mål nr 11458-17. 106 Hälsa för mig är en tjänst där enskilda individer ska kunna skapa ett personligt konto och lagra uppgifter om sin hälsa. eHälsomyndigheten tillhandahåller den tekniska plattformen för tjänsten och kan ge tredje part möjlighet att utveckla hälsorelaterade tjänster t.ex. appar för användarna. 107 Jfr dock Skatteverkets tjänst för rot- och rutavdrag där endast digitala kommunikationskanaler kan användas för att ge in en ansökan till Skatteverket.

delar av den behandling av personuppgifter som sker inom ramen för ett eget utrymme.

Rättspraxis och tidigare utredning Rättspraxis är knapphändig vad gäller myndigheters personuppgiftsansvar i digitala tjänster som tillhandahålls enskilda. Viss ledning för bedömningen av personuppgiftsansvaret kan emellertid hämtas i Högsta förvaltningsdomstolens avgörande HFD 2012 ref. 21. I målet prövade domstolen Försäkringskassans personuppgiftsansvar vid tillhandhållande av en elektronisk självbetjäningstjänst för anmälan av tillfällig föräldrapenning. Bakgrunden var att Datainspektionen i ett tillsynsbeslut hade förelagt Försäkringskassan att, som personuppgiftsansvarig, genomföra en risk- och sårbarhetsanalys av sin sms-tjänst för anmälan av tillfällig föräldrapenning. Högsta förvaltningsdomstolen fastställde inledningsvis att Försäkringskassan bestämt ändamål och medel med behandlingen, dvs. att anmäla sjukfall genom en särskild anvisad kommunikationskanal. Därefter gjorde domstolen bedömningen att den serie av åtgärder i fråga om personuppgifter som vidtas i de aktuella fallen kan betraktas som ett led i Försäkringskassans behandling av uppgifter i enskilda ärenden. Det gäller trots att Försäkringskassan saknar möjlighet att påverka hur uppgifterna hanteras innan de blir tillgängliga för kassan.

Rättsfallet ger uttryck för att en personuppgiftsansvarig som tillhandahåller och anvisar enskilda en särskild kommunikationskanal också ansvarar för den behandling som sker innan uppgifterna inkommit till myndigheten. Även om den personuppgiftsansvarige inte kan uppfylla sitt ansvar fullt ut är denne skyldig att vidta nödvändiga säkerhetsåtgärder för att uppgifterna som behandlas i tjänsten ska ha ett tillräckligt skydd också innan de överförs till den personuppgiftsansvarige i fråga.

Utredningen om effektiv styrning av nationella digitala tjänster har tagit ett vidare grepp i fråga om bedömningen av personuppgiftsansvar när det gäller behandling av personuppgifter inom ramen för ett eget utrymme. I sitt delbetänkande föreslår utredningen att regeringen utreder och tar ställning till hur offentliga myndigheter ska behandla och förhålla sig till s.k. eget utrymme.108 Ett par remissinstanser har avstyrkt förslaget bl.a. mot bakgrund av att frågan om

108SOU 2017:23 s. 225.

personuppgiftsansvar ytterst avgörs av bestämmelserna i dataskyddsförordningen eller av nationell reglering av personuppgiftsansvar.

Våra överväganden om fördelning av personuppgiftsansvar Begreppet personuppgiftsansvarig tjänar dels till att avgöra vem eller vilka som ansvarar för efterlevnaden av dataskyddsregleringen, dels till att peka ut vem eller vilka myndigheter eller andra aktörer den registrerade kan vända sig till för att utöva sina rättigheter. Likväl som det kan vara tämligen självklart vem som är personuppgiftsansvarig för en viss behandling kan det också vara förenat med avsevärda svårigheter att med en hög grad av exakthet fastställa ramarna för respektive aktörs personuppgiftsansvar i myndighetsgemensamma digitala tjänster med eget utrymme. Betydelsen av att med en tillräckligt hög grad av precision fastställa personuppgiftsansvaret kan emellertid förväntas öka bl.a. med beaktande av dataskyddsförordningens nya sanktionsmöjligheter.

För varje personuppgiftsbehandling som utförs i den offentliga förvaltningen finns en eller flera myndigheter som bär personuppgiftsansvaret för behandlingen ifråga. Hur ansvaret fördelas ska utredas av de parter som har del i personuppgiftsbehandlingen innan behandlingen påbörjas.

Utgångspunkten är att personuppgiftsansvaret fördelas utifrån omständigheterna i det enskilda fallet. I en myndighetsgemensam tjänst med eget utrymme kan det t.ex. förekomma att vissa myndigheter bär ett gemensamt personuppgiftsansvar medan andra aktörers ansvar har en mer begränsad räckvidd. En myndighet vars personuppgiftsansvar är fastställt i registerförfattning har regelmässigt ett mer begränsat bedömningsutrymme avseende gränserna för sitt personuppgiftsansvar jämfört med en myndighet eller annan aktör vars personuppgiftsansvar följer direkt av dataskyddsförordningen.

Komplexiteten i dagens digitala miljöer där flera olika parter kan dela på eller ha tillgång till samma digitala infrastruktur och där informationsöverföring sker sekundsnabbt gör att det kan vara förenat med komplicerade avvägningar att vid alla tillfällen och med hög grad av precision fastställa och fördela personuppgiftsansvaret. Hur ska t.ex. personuppgiftsansvaret fördelas när en myndighet registrerar och skickar uppgifter till en annan myndighet inom ramen för den mottagande myndighetens digitala infrastruktur? Övergår

ansvaret när den avsändande myndigheten trycker på skicka-knappen eller är ansvaret gemensamt med den mottagande myndighetens under tiden registreringen pågår? Upphör den avsändande myndighetens personuppgiftsansvar när en tjänsteman vid myndigheten tryckt på skicka-knappen eller sträcker det sig längre än så? Är en myndighets personuppgiftsansvar reglerat i registerförfattning kan det leda till att myndighetens personuppgiftsansvar utsträcks till att omfatta sådana områden myndigheten i praktiken inte kan råda över, t.ex. ansvar för tekniska och organisatoriska säkerhetsåtgärder i en tjänst som rent faktiskt tillhandahålls och förvaltas av en annan part.

Om det, med beaktande av omständigheterna i det enskilda fallet, inte är möjligt att med hög grad av precision fastställa personuppgiftsansvaret behöver det finnas andra metoder för att fördela ansvaret. Vissa remissinstansers ställningstaganden vid beredningen av Utredningen om effektiv styrning av nationella digitala tjänsters delbetänkande109 i kombination med vad som förmedlats under vårt kartläggningsarbete pekar mot att det finns en tydlig vilja hos myndigheter att själva bedöma personuppgiftsansvar även när det är både rättsligt och tekniskt komplicerat. Att i författning peka ut personuppgiftsansvar kan förvisso vara lämpligt i vissa fall men utgångspunkten bör enligt vår uppfattning vara att myndigheter har egen kapacitet och förmåga att fastställa och fördela personuppgiftsansvar. För att detta ska kunna realiseras behöver myndigheterna emellertid få nödvändigt stöd för att kunna göra korrekta bedömningar.

I vårt kartläggningsarbete har det framhållits att praktiskt utformade vägledningar eller typfallsmodeller skulle vara till god hjälp i myndigheters arbete med att fastställa och fördela personuppgiftsansvar. Vi uppfattar att det finns ett klart behov av sådant stödmaterial men kan också se att det kommer att kvarstå situationer där t.ex. komplexiteten i ett it-system kan medföra att det, trots hjälp av stödmaterial, är svårt att fastställa exakt i vilken omfattning respektive aktör är personuppgiftsansvarig. För sådana situationer behöver det finnas en acceptans för att personuppgiftsansvaret i vissa delar måste fastställas genom överenskommelse eller avtal som är specifika för situationen i fråga.

109SOU 2017:114.

Dataskyddsförordningens nya bestämmelse om gemensamt personuppgiftsansvariga110 reglerar att gemensamt personuppgiftsansvariga i viss utsträckning genom överenskommelse (arrangemang) kan fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt förordningen. Under förutsättning att det är tydligt för den registrerade vilka som är personuppgiftsansvariga och vem denne kan vända sig till för att utöva sina rättigheter bör en sådan fördelning inte ha några negativa effekter för den registrerade. Enligt vår uppfattning bör det också i andra svårbedömda situationer finnas utrymme att, även när personuppgiftsansvaret inte är gemensamt, fastställa fördelningen av personuppgiftsansvaret t.ex. i en överenskommelse.111

Rättslig grund för personuppgiftsbehandlingen

En myndighet som tillhandahåller en digital tjänst med eget utrymme, och som bedöms vara personuppgiftsansvarig för den behandling av personuppgifter som utförs i det egna utrymmet, behöver ha en rättslig grund för behandlingen i fråga.112 Den personuppgiftsbehandling som sker i ett eget utrymme omfattas enligt vår uppfattning av den rättsliga grunden allmänt intresse. De förslag som vi har lämnat i kapitel 8.3.3, som innebär ett åliggande för myndigheter att, med vissa undantagsmöjligheter, tillhandahålla digitala mottagningsfunktioner för att ta emot handlingar från enskilda ger en än stabilare rättslig grund också i personuppgiftshänseende.

För egna utrymmen där syftet är att enskilda under längre tid t.ex. ska kunna lagra personuppgifter som är känsliga kan det emellertid, enligt vad vi kan se, behövas särskilda rättsliga överväganden om personuppgiftsbehandlingen har stöd i gällande rätt. Regeringen har också i propositionen om den nya dataskyddslagen anfört att vissa remissinstanser påpekat att det inte är möjligt att tillämpa de bestämmelser i den generella dataskyddslag som Dataskyddsutredningen föreslagit, när känsliga personuppgifter behandlas i myndigheters

110 Artikel 26 dataskyddsförordningen. 111 Se även om personuppgiftsbiträdesavtal i kapitel 11. 112 Artikel 6.1 e dataskyddsförordningen och Ny dataskyddslag, prop. 2017/18:105, 2 kap. 2 § punkten 1.

s.k. egna utrymmen. Regeringen konstaterade att de särskilda frågeställningar som rör sådan behandling inte föranletts av dataskyddsförordningen och behandlade dem därmed inte i det lagstiftningsärendet. 113

8.4.5. Behövs reglering eller annat stöd för ökad rättslig stabilitet?

Utredningens bedömning: Rättsläget avseende digitala tjänster

med eget utrymme är i viss mån oklart. Det är angeläget att förbättra de rättsliga förutsättningarna så att utveckling av nya digitala tjänster baserat på användning av eget utrymme inte hindras eller hämmas i onödan.

Utredningens förslag: En myndighet ska ges i uppdrag att, i

samverkan med Datainspektionen114 och Myndigheten för samhällsskydd och beredskap, ta fram allmänna råd eller annat stödmaterial om hur myndigheter i förening med gällande rätt kan utveckla digitala tjänster som innefattar eget utrymme.

Skälen för utredningens bedömning och förslag

Behovet av egna utrymmen i digitala tjänster och rättsläget

I vårt arbete har vi noterat att det inte synes finnas några tecken på en teknik- eller samhällsutveckling som innebär att det inom överskådlig tid kan väntas växa fram helt nya sätt för kommunikation till och från förvaltningen, dvs. som i tekniskt avseende väsentligt skiljer sig från de digitala tjänster för ansökningar eller anmälningar via webben som i dag är kända. Med beaktande av vad som framkommit i kartläggningen och vad som erfarenhetsmässigt är känt bedömer vi tvärtom att bl.a. det egna utrymmet som företeelse kommer att bli mer och mer aktuellt i den digitala förvaltningen. Den offentliga förvaltningen kommer att behöva svara upp mot allmänhetens ökade förväntningar på smidiga och användarvänliga digitala tjänster som inte innebär att ofärdiga ansökningar blir allmänna handlingar.

113 A. prop. s. 82. 114 Datainspektionen byter namn till Integritetsskyddsmyndigheten under 2018.

Under kartläggningen har det också framkommit att det finns framtida behov av att, med avstamp i de egna utrymmen för tjänster gentemot enskilda som finns tillgängliga, återanvända de rättsliga koncept som det egna utrymmet innebär för att skapa nya tjänster för digital kommunikation vid verksamhetsmässiga informationsutbyten myndigheter emellan. Myndighetsgemensamma processer kan med andra ord förenklas och effektiviseras genom att en myndighet tillhandahåller ett eget utrymme åt en annan myndighet.

Som framgått av beskrivningen av kartläggningsresultatet och våra inledande överväganden om bl.a. personuppgiftsansvaret är rättsläget avseende sådana utrymmen i viss utsträckning oklart. Vår kartläggning visar också att det, trots befintlig praxis och förarbetsuttalanden, fortfarande finns tveksamhet i frågan om hur digitala tjänster med eget utrymme kan eller bör utformas för att vara förenliga med 2 kap. 10 § första stycket tryckfrihetsförordningen, dvs. hur tjänster kan utformas samtidigt som de rent tekniskt sett omfattas av lokutionen ”endast som led i teknisk bearbetning eller teknisk lagring för annans räkning”. Frågorna gäller också vilken typ av service som kan ges inom ramen för ett eget utrymme utan att allmänna handlingar skapas, eller hur de allmänna handlingar som uppstår ska hanteras av myndigheten. I anknytning till de beskrivna frågeställningarna finns även frågor om eller under vilka förutsättningar särskilt författningsstöd krävs för att tillhandahålla och behandla personuppgifter, bl.a. känsliga sådana, i ett eget utrymme. Vidare föreligger osäkerhet i frågor som rör fördelning av personuppgiftsansvar. En bedömning av personuppgiftsansvarets fördelning uppges sällan ge ett juridiskt helt säkerställt resultat trots att myndigheterna lägger ned mycket tid och kraft i bedömningarna. Flera har också framhållit att de vägledningar som finns i och för sig är av stor praktisk betydelse för myndigheternas utvecklingsarbete men att det kan råda tveksamhet vid tillämpning eftersom det inte av lagstiftaren eller regeringen har pekats ut vilken aktör som ska ge stöd och vägledning, med följd att det kan vara svårt att hänvisa till normgivning eller en etablerad rättskälla om frågor ställs på sin spets vid en rättslig prövning.

Med beaktande inte minst av vilka kostnader som är förenade med de utvecklingsarbeten som bedrivs har vi förståelse för den, här med våra sammanfattande ord, beskrivna osäkerhet som har getts

tillkänna under kartläggningen. Rättsläget är även enligt vår bedömning i viss utsträckning oklart. Den övergripande frågan om vilken fördelning av ansvar och risker som bör göras mellan lagstiftaren, regeringen respektive av enskilda myndigheter i samband med förvaltningens digitalisering ger sig också till känna.

Utgångspunkten att varje myndighet är fristående kan tala för att de myndigheter som känner tveksamhet beträffande de rättsliga förutsättningarna får avvakta till dess att framväxten av författningar, förarbeten, praxis och andra rättskällor ger ett, enligt varje tillämpare, tillräckligt stabilt stöd för att ansvariga i myndigheten ska känna trygghet i att gå vidare med digitaliseringsåtgärder som innefattar ett eget utrymme. Med beaktande av vårt uppdrag bedömer vi emellertid att ökad rättslig stabilitet för utformningen av digitala tjänster med eget utrymme behövs för att den digitala förvaltningen redan i ett kortare tidsperspektiv ska kunna fortsätta utvecklas på ett sätt som är såväl tryggt som effektivt. Det är med andra ord angeläget att förbättra de rättsliga förutsättningarna så att utveckling av nya digitala tjänster baserat på användning av eget utrymme inte hindras eller hämmas i onödan.

Uppdrag att ta fram allmänna råd eller annat stödmaterial

Vi ska enligt våra direktiv inte lämna förslag till författningsändringar i grundlag. Någon förändring vad avser den nu aktuella bestämmelsen i tryckfrihetsförordningen för att åstadkomma ökad rättslig tydlighet kan alltså inte föreslås. Vi ska inte heller lämna några förslag till ändringar i personuppgiftslagstiftningen. Det är alltså inte heller aktuellt att förslå särskild lagreglering inom det området.

Vi har inledningsvis övervägt att i reglering formulera de handlingsdirektiv rörande tillämpningen av tryckfrihetsförordningen som regeringen hittills endast gett uttryck för i förarbetsuttalanden115 i nya rättsregler. Men vi bedömer också, utöver de ovan beskrivna ramarna för utredningens arbete, att en sådan reglering riskerar att bli alltför handlingsbegränsande i myndigheters framtida utvecklingsarbeten.

115Prop. 2016/17:180 s. 141 f. och prop. 2016/17:198 s. 16.

Som ovan nämnts utgår myndigheternas beslutsfattare ofta från de rekommendationer som ges i tillgängliga vägledningar när nya digitala tjänster med eget utrymme utvecklas. Samtidigt har vi under kartläggningen förstått att det finns ett önskemål om stödmaterial med en av lagstiftaren eller regeringen utpekad ansvarig avsändare.

Med beaktande av det ovan anförda och de förutsättningar vi har i vårt uppdrag bedömer vi att ökad rättslig stabilitet kring hur myndigheter i förening med gällande rätt kan utveckla digitala tjänster som innefattar eget utrymme bör kunna uppnås genom en mjukare styrning på uppdrag av regeringen, t.ex. i form av uppdrag för en viss myndighet att ta fram allmänna råd eller annat stödmaterial. På så sätt skulle den myndighetspraxis som har utvecklats, och som i vart fall delvis får anses etablerad med beaktande av förarbetsuttalanden och rättspraxis, fortsatt kunna befästas. I jämförelse med författningsreglering är förutsättningarna dessutom bättre att på ett enklare och mer effektivt sätt anpassa allmänna råd eller annat stödmaterial efter kommande rättsutveckling.

Allmänna råd är inte tvingande. Dess funktion är snarare att förtydliga innebörden i lag, förordning eller myndighetsföreskrifter och att ge generella rekommendationer om dess tillämpning.116 Inom ramen för allmänna råd eller annat stödmaterial kan t.ex. rekommendationer utfärdas om hur digitala tjänster med eget utrymme kan utformas i förening med gällande rätt. Där kan också rekommendationer lämnas om hur tjänsten kan utformas samtidigt som service till enskilda användare kan ges utan att allmänna handlingar skapas hos myndigheten, alternativt hur myndigheter ska hantera allmänna handlingar som skapas när service tillhandahålls. Där skulle även metodmässiga frågor om eller under vilka förutsättningar en digital tjänst med eget utrymme behöver särskilt lagstöd kunna diskuteras.

I stödmaterial kan myndigheter dessutom ges mer handgripligt stöd för bedömningar av personuppgiftsansvar. Där kan också utfärdas rekommendationer och tillhandahållas verktyg, t.ex. mallar för överenskommelse, som myndigheterna kan använda som ett kompletterande verktyg när exempelvis it-systemen är så komplexa

116 I 1 § författningssamlingsförordningen (1976:725) definieras allmänna råd som sådana generella rekommendationer om tillämpningen av en författning som anger hur någon kan eller bör handla i ett visst hänseende. Det behövs inget särskilt bemyndigande för att en myndighet ska få besluta allmänna råd på sitt område, se Regeringens proposition 1983/84:119 om förenkling av myndig-

heternas föreskrifter, anvisningar och råd, s. 24.

att det kan vara svårt att med en hög grad av precision fastställa respektive aktörs personuppgiftsansvar utifrån omständigheterna i det enskilda fallet.

Sammanfattningsvis bedömer vi att regeringen bör uppdra åt en myndighet att ta fram rekommendationer i allmänna råd eller i annat stödmaterial om hur myndigheter i förening med gällande rätt kan utveckla digitala tjänster som innefattar eget utrymme. En sådan åtgärd bedömer vi skulle bidra till att öka den rättsliga stabiliteten för utformningen av digitala tjänster med eget utrymme och på det sättet undanröjs också tveksamhet som annars kan fördröja framtagandet av fler sådana tjänster. Det förfarandet hindrar enligt vår bedömning inte att även andra myndigheter i samverkan bidrar till arbetet med att ta fram och förvalta stödmaterialet, tvärtom ser vi det som en förutsättning att även andra aktörer med inblick i pågående utvecklingsarbeten kan bidra. Den myndighet som ges uppdraget bör också samverka med Datainspektionen och Myndigheten för samhällsskydd och beredskap eftersom de frågor som aktualiseras, som framgått, även rör skydd för personuppgifter och informationssäkerhet.

Konsekvenser av förslaget

Som framgått i det ovanstående förväntas förslaget leda till att öka den rättsliga stabiliteten för utformningen av digitala tjänster med eget utrymme och på det sättet undanröja tveksamhet som annars kan fördröja framtagandet av fler sådana tjänster. Samtidigt kan goda förutsättningar ges för enkla och rättssäkra förfaranden i samband med att förvaltningen blir allt mer digitalt tillgänglig.

Förslaget kan medföra att den myndighet som ges uppdraget får extra kostnader för de resurser som kommer att behövas för att ta fram allmänna råd eller annat stödmaterial. För närvarande är Myndigheten för digital förvaltning under bildande och arbete pågår med att tilldela myndigheten resurser.117 Om den myndigheten ges uppdraget är det svårt att beräkna de ytterligare resurser som krävs med anledning av förslaget i förhållande till myndighetens sammantagna uppdrag. Vi kan därför inte beräkna särskild resursåtgång för denna del och överlämnar också frågan om vilken myndighet som

117Inrättande av en myndighet för digitalisering av den offentliga sektorn (dir. 2017:117).

bör ges uppdraget till regeringen. Andra myndigheter bör inte drabbas av särskilda kostnader av förslaget, tvärtom kan förvaltningen som helhet förväntas bedriva ett mer kostnadseffektivt digitaliseringsarbete med det stöd som föreslås. För Datainspektionen och Myndigheten för samhällsskydd och beredskap bör den resursåtgång som föreslagen samverkan medför rymmas inom befintliga anslag. För generella konsekvenser av våra förslag hänvisas till kapitel 14.2.

9. Informationssäkerhet

9.1. Informationssäkerhet i en digital förvaltning

God informationssäkerhet är en grundläggande byggsten för den fortsatta utvecklingen av en trygg, innovativ och effektiv digital förvaltning. Hanteringen av information i elektroniska kommunikationsnät och it-system ökar i alla delar av samhället. Om hanteringen av, och säkerheten för, informationen brister riskerar det att få omfattande säkerhets- och integritetsmässiga konsekvenser för samhället i stort och för enskilda. I takt med att den digitala utvecklingen skapar nya möjligheter behöver förvaltningen därför kunna hantera både nationella och globala säkerhetsutmaningar.

Under de senaste åren har frågor om bristande informationssäkerhet och anknytande it-incidenter som drabbat den offentliga förvaltningen orsakat massmedial uppmärksamhet. Här kan t.ex. nämnas en driftstörning hos en av de större leverantörerna under hösten 2011 som fick till följd att vissa verksamheter, både offentliga och privata, i princip inte kunde använda sina it-system under flera veckor.1 Lite närmare i tiden ligger Transportstyrelsens avsteg från säkerhetsskyddsregleringen vid utkontraktering, vilket bl.a. lett till en anmälan till konstitutionsutskottet om granskning av regeringen.2 Även andra informationssäkerhetsrelaterade frågor om privata leverantörers tillgång till uppgifter, säkerhetsskyddsavtal och val av krypteringsmetod har varit föremål för diskussion och journalistisk granskning under senare tid.3

1 Se t.ex. Reflektioner kring samhällets skydd och beredskap vid allvarliga it-incidenter, En studie av

konsekvenserna i samhället efter driftstörningen hos Tieto i november 2011, Myndigheten för samhälls-

skydd och beredskap, den 21 februari 2012, MSB 367-12. 2 Se bl.a. Wikipedia Transportstyrelsens it-upphandling, den 11 januari 2018 och Granskning av reger-

ingen med anledning av Transportstyrelsens it-upphandling, utskottsdokument 2016/17:dnr2581.

3 Se t.ex. Sveriges Radios rapportering om polisens beslut om alternativ krypteringsmetod (hämtad den 15 januari 2018 ). http://sverigesradio.se/sida/artikel.aspx?artikel=6770725

Parallellt med bl.a. den journalistiska granskningen avseende itincidenter och ifrågasatta säkerhetsrutiner kan vi dock skönja en ökad medvetenhet om vikten av god informationssäkerhet i alla typer av verksamheter liksom uppmärksamhet kring hur säkerhetsförebyggande åtgärder bäst kan utformas. Regeringen har också nyligen föreslagit en ny säkerhetsskyddslag4 och lagrådsremiss om informationssäkerhet för samhällsviktiga och digitala tjänster.5 Därtill diskuteras säkerhetsfrågor allt oftare i den offentliga debatten. I någon mening kan även dataskyddsförordningens6 ikraftträdande antas ha bidragit till detta fokus.

Mot bakgrund av att informationssäkerhet spelar en avgörande roll för den fortsatta utvecklingen av en trygg, innovativ och effektiv digital förvaltning har vi valt att hantera dessa frågor i ett eget kapitel, utöver de hänvisningar och överväganden som genomgående präglar även andra kapitel. Syftet är främst att här närmare belysa det juridiska regelverk som styr informationssäkerhetsarbetet i den offentliga förvaltningen och att undersöka eventuella behov av komplettering eller anpassning av regleringen. Vi vill även åskådliggöra vikten av informationssäkerhet med särskilt fokus på myndigheters utkontraktering av it-drift och andra it-baserade funktioner, både till privata och till offentliga leverantörer.

9.2. Kartläggningsresultatet

Inom ramen för kartläggningsarbetet, och övriga kontakter som utredningen haft, har vi uppmärksammat att många av de informationssäkerhetsmässiga utmaningar myndigheterna står inför är gemensamma för hela förvaltningen. Det har påtalats att en avgörande förutsättning för att informationssäkerhetsfrågorna ska få den uppmärksamhet de förtjänar i en verksamhet är att frågorna prioriteras av myndighetsledningen. Verksamheten behöver därtill avsätta tillräckliga resurser, såväl tidsmässiga som personella, för att kunna arbeta aktivt och löpande med informationssäkerheten. Om det saknas tillräckliga resurser för informationssäkerhetsarbetet finns det en risk för att verksamhetens fokus läggs på leveranserna i

4Ett modernt och stärkt skydd för Sveriges säkerhet – ny säkerhetsskyddslag,prop. 2017/18:89. 5 Lagrådsremissen Informationssäkerhet för samhällsviktiga och digitala tjänster, den 15 februari 2018. 6 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG.

kärnverksamheten i första hand och på säkerheten i andra hand. Våra förslag i kapitel 8 med huvudregler om digital kommunikation ska inte heller förstås som att säkerheten ska komma i andra hand, den är i stället en nödvändig grund.

Flera aktörer har också framhållit behovet av att hantera informationssäkerhetsmässiga aspekter vid myndighetssamverkan. Det gäller särskilt myndighetssamverkan eller som inkluderar informationsutbyten. Information som utbyts mellan myndigheter behöver ha ett tillräckligt skydd hos alla aktörer som hanterar den. Informationsutbyten kan också medföra att nya informationsmängder uppstår. Det behöver finnas en beredskap för att hantera dessa informationsmängder på ett säkert och ansvarsfullt sätt.

När det gäller upphandling av it7 har komplexiteten i att formulera ett välgrundat och behovsanpassat upphandlingsunderlag som uppfyller samtliga myndighetens krav, inklusive säkerhetsåtgärder, framhållits (se kapitel 11).

Ett par myndighetsrepresentanter har också påtalat att det finns ett regleringsunderskott på informationssäkerhetsområdet. Det har beskrivits att avsaknaden av reglering tenderar att medföra att varje myndighet uppfinner sina egna rutiner för informationssäkerhet när det gäller klassning av informationstillgångar, utformning av roller och behörighetstilldelning för åtkomst till information i it-system, val av tekniska, administrativa och organisatoriska säkerhetsåtgärder etc. En tydligare reglering som lägger grunden till en förvaltningsgemensam syn på informationssäkerheten i den offentliga förvaltningen efterfrågas.

9.3. Säkerhet – en prioriterad fråga

9.3.1. De politiska målen för informationssäkerhet

Regeringens mål för digitaliseringen av den offentliga förvaltningen är en enklare vardag för medborgare, en öppnare förvaltning som stödjer innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.8 Det ska också finnas de bästa förutsättningarna för alla att på ett säkert sätt ta del av, ta ansvar för samt ha tillit till det digitala samhället.9 För att alla ska våga lita på digitala

7 Med it avses här it-drift och andra it-baserade funktioner. 8Budgetpropositionen för 2018, prop. 2017/18:1, utg.omr. 2 s. 93. 9För ett hållbart Sverige – en digitaliseringsstrategi, s. 16 om delmålet D-trygghet.

tjänster krävs säkra digitala system som värnar den personliga integriteten och att identifierade sårbarheter hanteras.

Säkerhet i vid bemärkelse är ett område som prioriteras av regeringen. Under 2017 har regeringen tagit fram dels en nationell säkerhetsstrategi, dels en nationell strategi för samhällets informations- och cybersäkerhet.10 I den nationella säkerhetsstrategin finns en samlad redovisning av regeringens syn på säkerhet ur ett brett perspektiv. Den anger inriktningen och är samtidigt ett ramverk för det arbete som krävs för att gemensamt värna Sveriges säkerhet. Strategin syftar till att stärka vår förmåga att effektivt och samordnat förebygga och möta omedelbara och långsiktiga hot och utmaningar.

De huvudsakliga syftena med den nationella strategin för samhällets informations- och cybersäkerhet är dels att bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet, dels att höja medvetenheten och kunskapen i hela samhället. I strategin har regeringen pekat ut ett antal strategiska prioriteringar varav en är att säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet. Målsättningen i denna del är bl.a. att offentlig förvaltning ska ha kännedom om hot och risker, ta ansvar för sin informationssäkerhet och bedriva ett systematiskt informationssäkerhetsarbete. För att förbättra förutsättningarna för, i första hand, statsförvaltningen att bedriva ett systematiskt informationssäkerhetsarbete på ett mer samordnat sätt uttalar regeringen att det ska finnas en nationell modell till stöd för detta arbete. Vidare ska det finnas en ändamålsenlig tillsyn som skapar förutsättningar för ökad informations- och cybersäkerhet i samhället. Regeringen framhåller att en förutsättning för att reglerna på informationssäkerhetsområdet ska få det genomslag som är avsett är att det finns en tillsyn som kan utföras på ett effektivt och ändamålsenligt sätt.

10Nationell säkerhetsstrategi, Statsrådsberedningen, januari 2017 och Nationell strategi för

samhällets informations- och cybersäkerhet, Skr. 2016/17:213. Med begreppet cybersäkerhet

avses i skrivelsen informationssäkerhet för digital information.

9.3.2. Pågående regeringsinitiativ kring informationssäkerhet

Informationssäkerhet m.m.

För närvarande pågår ett antal utredningar och andra initiativ som syftar till att stärka säkerheten ytterligare i den offentliga förvaltningen. Flera initiativ är särskilt inriktade på att stärka skyddet för information när myndigheter utkontrakterar, eller överväger att utkontraktera, it-drift.

Regeringen har som ovan nämnts nyligen lämnat en lagrådsremiss med förslag till lag om informationssäkerhet för samhällsviktiga och digitala tjänster.11 Lagförslaget syftar till att uppfylla kraven i det s.k. NIS-direktivet12 som träder i kraft i maj 2018 (se även kapitel 9.5.2).

Flera statliga utredningar har under de senaste åren lämnat förslag som syftar till att stärka informationssäkerheten i den offentliga förvaltningen. Utredningen om effektiv styrning av nationella digitala tjänster har i sitt slutbetänkande föreslagit att regeringen inleder ett arbete med att samordna och strukturera reglering inom informationssäkerhetsområdet och tar fram rättsliga krav till stöd för att samtliga offentliga myndigheter ska införa ett systematiskt och riskbaserat informationssäkerhetsarbete. Utredningen föreslår också att Myndigheten för samhällsskydd och beredskap (MSB) ges i uppdrag att utreda hur tillsyn över informationssäkerhetsområdet och incidentrapportering kan genomföras.13

Utredningen NISU 2014 lämnade i sitt slutbetänkande förslag på en ny förordning om statliga myndigheters informationssäkerhet. Utredningen föreslog också att tillsynen över den statliga sektorns informationssäkerhet skulle samordnas och förstärkas genom att ge MSB i uppdrag att bedriva tillsyn över statliga myndigheters informationssäkerhetsarbete. Därtill lämnade utredningen ett antal förslag i syfte att utveckla statens beställarkompetens för att kunna upphandla tillfredsställande it-lösningar.14

Försäkringskassan har fått ett tidsbegränsat uppdrag av regeringen (som avser åren 2017–2020) att erbjuda samordnad och säker

11 Lagrådsremissen Informationssäkerhet för samhällsviktiga och digitala tjänster, den 15 februari 2018. 12 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en höggemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen. 13reboot – omstart för den digitala förvaltningen, (SOU 2017:114), kap. 9.

14 Informations- och cybersäkerhet i Sverige, Strategi och åtgärder för säker information i staten,

(SOU 2015:23).

it-drift för vissa myndigheter. Uppdraget ska utföras i samverkan med bl.a. MSB. Regeringen beskriver att etableringen av samordnade funktioner för gemensam it-drift mellan myndigheter ska ske stegvis, med fokus på funktioner och myndigheter där åtgärder bedöms leda till högre informationssäkerhet.15 Därtill har Post- och telestyrelsen, med anledning av ett regeringsuppdrag, utrett och lämnat förslag på en förvaltningsmodell för skyddade it-utrymmen för offentliga aktörer som bedriver säkerhetskänslig verksamhet.16

När det gäller myndigheters utkontraktering generellt har det under de senaste åren genomförts olika regeringsuppdrag i syfte att bl.a. utreda olika former för myndigheter att utkontraktera it-drift. Här kan bl.a. nämnas att Statens servicecenter har analyserat förutsättningarna för att skapa en samordnad och gemensam funktion för delar av statliga myndigheters it-verksamhet.17 Vi redogör närmare för den rapporten i kapitel 9.6.2.

Säkerhetsskydd

Säkerhetsskyddslagstiftningen genomgår för närvarande ett omfattande reformarbete och en ny säkerhetsskyddslag har föreslagits träda i kraft den 1 april 2019 (se kapitel 9.5.3).18 Justitiedepartementet har därtill i en promemoria föreslagit skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet.19 De föreslagna ändringarna, som införs i säkerhetsskyddsförordningen (1996:633), kommer att träda i kraft den 1 april 2018.

Den pågående statliga utredningen om vissa säkerhetsskyddsfrågor har därtill i uppdrag att kartlägga behovet av att förebygga att säkerhetsskyddsklassificerade uppgifter eller i övrigt säkerhetskänslig

15Uppdrag att erbjuda samordnad och säker statlig it-drift, regeringsbeslut den 24 augusti 2017, Fi2017/03257/DF. 16Förslag till en förvaltningsmodell för skyddade it-utrymmen, Post- och telestyrelsen, den 15 februari 2018, dnr. 17-8280. 17En gemensam statlig molntjänst för myndigheternas it-drift. Delrapport i regeringsuppdrag om

samordning och omlokalisering av myndighetsfunktioner, Statens servicecenter, den 7 februari

2017, dnr 10052-2016/1121. 18Prop. 2017/18:89. 19Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig

verksamhet, Ju 2017/07544/L4.

verksamhet utsätts för risker i samband med utkontraktering, upplåtelse och överlåtelse av sådan verksamhet och att föreslå olika förebyggande åtgärder, t.ex. tillståndsprövning. Utredaren ska också föreslå ett system med sanktioner i säkerhetsskyddslagstiftningen och hur en ändamålsenlig tillsyn ska vara utformad.20

Regeringen har därtill gett Säkerhetspolisen i uppdrag att redovisa dels en samlad bild av vilka generella brister som finns i säkerhetsskyddet hos de myndigheter Säkerhetspolisen har tillsyn över som bedriver mest skyddsvärd verksamhet, dels vilka ytterligare åtgärder som kan behöva vidtas för att hantera dessa brister.21

9.3.3. Granskning av informationssäkerhet i offentlig förvaltning

Under de senaste åren har granskningar av informationssäkerheten i offentlig förvaltning visat upp en oroande bild. Riksrevisionen konstaterade i en rapport 2016, efter att ha undersökt informationssäkerhetsarbetet på nio olika myndigheter, att arbetet med informationssäkerhet på de granskade myndigheterna låg på en nivå som var märkbart under vad som var tillräckligt. Riksrevisionen menade att förståelsen för vikten av en god informationssäkerhet överlag var för liten, med följd att arbetet med informationssäkerhet inte prioriteradess tillräckligt högt i förhållande till riskerna.22

I en av MSB, under 2014, utförd granskning av informationssäkerheten i kommunerna konstaterades att över 70 procent inte arbetade systematiskt med informationssäkerhet, över 40 procent hade inte någon utpekad funktion för informationssäkerhet och ungefär samma andel inte genomförde riskanalys avseende informationssäkerhet.23

20 Utkontraktering av säkerhetskänslig verksamhet, sanktioner och tillsyn – tre frågor om säker-

hetsskydd, Dir. 2017:32.

21 Uppdrag till Säkerhetspolisen om fördjupat kunskapsunderlag om arbetet med säkerhetsskydd

hos myndigheterna med mest skyddsvärd verksamhet , regeringsbeslut den 26 oktober 2017,

Ju2017/08266/PO. 22Informationssäkerhetsarbete på nio myndigheter, En andra granskning av informationssäkerhet

i staten, Riksrevisionen, maj 2016, RIR 2016:8.

23En bild av kommunernas informationssäkerhetsarbete 2015, Myndigheten för samhällsskydd och beredskap, december 2015, MSB943 och Informationssäkerheten i Sveriges kommuner. Analys och

rekommendationer utifrån MSB:s kommunenkät 2015, Myndigheten för samhällsskydd och

beredskap, december 2016, MSB1045.

MSB utförde också under 2014 en kartläggning av informationssäkerhetsarbetet hos samtliga myndigheter som omfattas av MSB:s föreskrifter om statliga myndigheters informationssäkerhet.24 Det övergripande syftet med kartläggningen, som genomfördes som en enkätundersökning, var att säkerställa att föreskrifternas utformning gav ett ändamålsenligt stöd för statliga myndigheters systematiska arbete med informationssäkerhet. Någon fördjupad analys av resultatet har inte publicerats, men av MSB:s rapport framgår att myndigheterna själva uttryckte ett behov av ökat stöd inom vissa områden bl.a. kravställning, uppföljning, informationsklassning och kontinuitetsplanering.25

Under 2016 genomförde Säkerhetspolisen en inventering av säkerhetsskyddet hos myndigheter och institutioner som utifrån sin verksamhet är av högt skyddsvärde t.ex. energiförsörjning, telekommunikation och finanssektor. Resultatet visade att ju mer frekvent en myndighet hanterar generella säkerhetsfrågor i sin kärnverksamhet, desto bättre är den på säkerhetsskydd. Men hos ett flertal myndigheter fanns brister i arbetet med t.ex. den egna säkerhetsanalysen.26

9.4. Att möta nya risker

9.4.1. God informationssäkerhet stödjer och skapar tillit

Informationssäkerhetsarbete är en stödjande verksamhet som syftar till att öka kvaliteten hos samhällets funktioner. I och med den ökande digitaliseringen är god informationssäkerhet en förutsättning för att nya företeelser som uppstår, och ny teknik som utvecklas, ska kunna fungera och användas på ett säkert sätt.

Informationssäkerhet innebär en strävan efter att skydda information så att den alltid finns när den behövs (tillgänglighet), att det går att lita på att den är korrekt och inte manipulerad eller förstörd

24 MSBFS 2009:10, nu ersatt av MSBFS 2016:1. 25En bild av myndigheternas informationssäkerhetsarbete 2014 – tillämpning av MSB:s före-

skrifter, Myndigheten för samhällsskydd och beredskap, augusti 2014, MSB740.

26 Säkerhetspolisens pressmeddelande den 16 mars 2017, http://www.sakerhetspolisen.se/ovrigt/pressrum/aktuellt/aktuellt/2017-03-16sakerhetsskyddet-maste-starkas/gapet-mellan-hot-och-skydd-vaxer-sakerhetsskyddetmaste-starkas.html

(riktighet), att endast behöriga personer får ta del av den (konfidentialitet) och att det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet). Informationssäkerheten garanteras genom dels administrativa åtgärder för att skydda information som t.ex. föreskrifter eller behörighetsrutiner, dels tekniska åtgärder för it-säkerhet eller fysiska inpasseringskontroller.

Inom informationssäkerhetsområdet betonas ofta vikten av att verksamheter inför ett ledningssystem för informationssäkerhet, förkortat LIS. Ledningssystem för informationssäkerhet är ett stöd för hur informationssäkerhetsarbetet styrs i en verksamhet.27 En central del är att verksamheten måste ha (myndighets)ledningens uttalade stöd i sitt arbete med informationssäkerhet. Det finns olika typer av svenska och internationella standarder som underlättar arbetet med ledningssystem för informationssäkerhet. Utifrån sådana standarder tar ledningssystem för informationssäkerhet sin utgångspunkt i en verksamhetsanpassad riskanalys och informationssäkerhetsarbetet följer en tydlig process.28

Genom god informationssäkerhet i den offentliga förvaltningen skapas tillit till de digitala tjänster och kommunikationskanaler förvaltningen tillhandahåller enskilda. Privatpersoner och företag har befogade krav på att den digitala förvaltningen upprätthåller en hög säkerhet när myndigheternas informationsmängder bearbetas, lagras och kommuniceras. Men även myndigheter emellan krävs en viss form av tillit till varandras informationssäkerhet för att bl.a. samverkan kring digitala informationsutbyten ska kunna komma till stånd.

God informationssäkerhet bidrar dessutom till att en verksamhet kan bedrivas på ett ändamålsenligt och effektivt sätt, att risken för att drabbas av avbrott eller störningar i driftmiljön minskar och att enskilda, vars uppgifter hanteras, inte utsätts för kränkningar genom att t.ex. obehöriga får åtkomst till uppgifterna eller att uppgifterna sprids på ett otillåtet sätt.

27 MSB har utvecklat ett metodstöd för systematiskt informationssäkerhetsarbete. Metodstödet finns tillgängligt på webben, informationssakerhet.se 28 Se t.ex. den svenska och internationella standardserien SS-ISO/IEC 27000.

9.4.2. Informationssäkerhetsrisker i en digital förvaltning

Samtidigt som digitaliseringens fördelar välkomnas står det klart att de risker och hot som behöver hanteras i dessa sammanhang är några av våra mest komplexa säkerhetsutmaningar. Säkerhetspolisen konstaterar i sin årsbok 2016 att den största risken för samhället och totalförsvaret utgörs av bristande informationssäkerhet. Försvarets radioanstalt (FRA) framhåller i sin årsrapport 2016 att säkerheten generellt hos myndigheter och statliga bolag inte är dimensionerad för den befintliga hotbilden.

Ovanstående uttalanden kan betraktas i ljuset av att det sker en ständigt växande hantering av information i elektroniska kommunikationsnät och it-system, både inom det offentliga och inom det privata. Äldre, men framför allt relativt sett nya, företeelser som artificiell intelligens, molntjänster, sakernas internet, sociala medier, stora datamängder (big data) och öppna data är exempel på områden där stora datamängder kan hanteras. Om det uppstår brister i hanteringen av information, och i synnerhet i skyddet av densamma, riskerar detta att få omfattande konsekvenser både för samhället i stort och för enskilda individers integritet. Bristande säkerhetsrutiner kan resultera i ett försämrat förtroende för digitala tjänster och för de myndigheter som tillhandahåller tjänsterna i fråga. Allvarliga och upprepade störningar i myndigheters it-system kan leda till förtroendekriser, som kan sprida sig till fler aktörer och tjänster och även till andra sektorer.

Utvecklingen och användningen av ny teknik och nya innovationer innebär också att nya hot och risker behöver hanteras. Hot- och riskskalan inom det informationsteknologiska området spänner från mindre omfattande risker för den enskilde individen till väl planerade, och med precision riktade, angrepp mot vitala delar av samhällets funktionalitet. Även antagonistiska hot såsom informationsoperationer och elektroniska angrepp mot skyddsvärda informations- och kommunikationssystem t.ex. i form av dataintrång, sabotage eller spionage behöver mötas. Detsamma gäller olika former av störningar i mjuk- eller hårdvara eller störningar i driftmiljö. Yttre fysiska händelser som t.ex. bränder, avgrävda kablar, översvämningar och solstormar utgör också en del av hotbilden. I andra fall är det den mänskliga faktorn som ligger bakom incidenter, eller som utnyttjas vid angrepp.

Teknikutvecklingen har därtill underlättat framväxten av en kriminell, gränsöverskridande, internetbaserad tjänstesektor, s.k.

crime-as-a-service. Det innebär i princip att vem som helst, på inter-

net, kan köpa t.ex. ett utpressningsprogram29 som kan användas i brottsliga syften. Ett annat exempel är malware-as-a-service

30

där

program med skadlig kod säljs som färdiga lösningar och som kan återanvändas i olika sammanhang. Ekonomiskt driven it-brottslighet kan inriktas mot att t.ex. utnyttja den mänskliga faktorn eller angripa datorer som inte har försetts med de senaste säkerhetsuppdateringarna. Även dessa typer av hot och risker behöver hanteras i en allt mer digital förvaltning.

9.5. Gällande rätt om informationssäkerhet

9.5.1. Inledning

Som framgått i kapitel 4 finns bestämmelser om informationssäkerhet i flera olika regelverk. I huvudsak reglerar författningarna antingen skydd för information i viss typ av verksamhet eller särskilt skydd för viss typ av information. I syfte att här närmare åskådliggöra den juridiska kartan inom området följer nedan en redogörelse av ett antal författningar som ur ett informationssäkerhetsperspektiv är mer eller mindre centrala för den offentliga förvaltningen. I detta kapitel går vi dock inte närmare in på den straffrättsliga reglering som innebär kriminalisering av vissa handlingar, t.ex. brottsbalkens reglering av dataintrång.

29 Ett utpressningsprogram (ransomware) är en skadlig programvara som krypterar filerna på en dator. För att häva krypteringen eller återfå kontrollen över datorn kräver utpressningsprogrammet en lösensumma eller annat som gynnar förövaren som ligger bakom programmet (Wikipedia den 5 januari 2018, ”Ransomware”). 30 Malware (sabotageprogram) är ett samlingsbegrepp för oönskade datorprogram eller delar av datorprogram som har utvecklats i syfte att störa it-systemet för att samla in information i smyg eller utnyttja för ändamål som inte gagnar användaren (Wikipedia den 5 januari 2018, ”Malware”).

9.5.2. Informationssäkerhet i olika verksamheter

Statliga myndigheter

Krav på statliga myndigheters informationssäkerhet finns i förordning (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap. Förordningen kompletteras av MSB:s föreskrifter om statliga myndigheters informationssäkerhet och om statliga myndigheters rapportering av it-incidenter.31

Av förordningen framgår att varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. Behovet av säkra ledningssystem för informationssäkerhet ska särskilt beaktas. Vidare regleras en skyldighet för myndigheterna att rapportera it-incidenter till MSB.32

I de till förordningen anknytande föreskrifterna om statliga myndigheters informationssäkerhet finns ytterligare reglering kring utformning av ledningssystem för informationssäkerhet, allmänna krav på myndigheternas informationssäkerhetsarbete samt krav på intern incident- och kontinuitetshantering. Föreskrifterna om statliga myndigheters rapportering av it-incidenter innehåller detaljerade krav på vilka typer av incidenter som ska rapporteras, när och hur rapportering ska ske samt vad som gäller vid utkontraktering. I anslutning till båda föreskrifterna har MSB tagit fram allmänna råd som förtydligar innebörden av bestämmelserna i föreskrifterna och ger generella rekommendationer om tillämpningen.

Kommuner och landsting

För kommuner och landsting gäller lagen (2006:544) om kommuners och landstings åtgärder inför och vid extraordinära händelser i fredstid och höjd beredskap med tillhörande förordning. Regleringen omfattar emellertid inte specifika bestämmelser om informationssäkerhet i bemärkelsen säker informationshantering.

31 MSBFS 2016:1 och 2016:2. 3219 och 20 §§ förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.

Hälso- och sjukvård

Hälso- och sjukvården hanterar en stor mängd känslig information och informationshanteringen behöver uppfylla kraven på patientsäkerhet och god kvalitet. Hantering av patientinformation regleras av patientdatalagen (2008:355) och patientdataförordningen (2008:360) samt Socialstyrelsens föreskrifter och allmänna råd om journalföring och behandling av personuppgifter i hälso- och sjukvården.33 I föreskrifterna finns detaljerad reglering av kraven på informationssäkerhet när vårdgivare behandlar patienters personuppgifter i hälso- och sjukvården.

Samhällsviktiga tjänster

NIS-direktivet, som ska vara genomfört i svensk lagstiftning senast i maj 2018, syftar till att förbättra den inre marknadens funktion genom att fastställa åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem.34 Direktivet innebär bl.a. skyldigheter för vissa leverantörer av samhällsviktiga tjänster, och vissa leverantörer av digitala tjänster, att vidta säkerhetsåtgärder för att hantera risker samt förebygga och hantera incidenter i nätverk och informationssystem som de är beroende av för att tillhandahålla tjänsterna. Leverantörerna ska också rapportera incidenter som har en betydande eller avsevärd inverkan på kontinuiteten i tjänster.

I direktivet identifieras sju sektorer som tillhandahåller samhällsviktiga tjänster. Dessa är bankverksamhet, digital infrastruktur, energi, finansmarknadsinfrastruktur, hälso- och sjukvård, leverans och distribution av dricksvatten samt transport.

Efterlevnaden av regelverket ska enligt direktivet ske genom att en eller flera tillsynsmyndigheter utses. En sådan tillsynsmyndighet ska ha befogenhet och medel för att kontrollera att leverantörerna uppfyller sina skyldigheter samt fastställa regler om sanktioner vid överträdelse av regelverket.

33 HSLF-FS 2016:40. 34 Lagrådsremissen Informationssäkerhet för samhällsviktiga och digitala tjänster, den 15 februari 2018, vari föreslås en ny lag om informationssäkerhet för samhällsviktiga och digitala tjänster.

9.5.3. Informationssäkerhet för viss typ av information

Allmänna handlingar

Skydd för vissa typer av information finns i flera olika författningar. En del författningar är av mer generell karaktär och omfattar betydande delar av myndigheters informationstillgångar, t.ex. allmänna handlingar. Av 2 kap. tryckfrihetsförordningen framgår vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och som huvudregel ska vara offentliga. Vissa allmänna handlingar innehåller dock känsliga uppgifter och i offentlighets- och sekretesslagen (2009:400) regleras därför vilka uppgifter i sådana handlingar som ska beläggas med sekretess.

En myndighets allmänna handlingar bildar myndighetens arkiv och enligt arkivregleringen ska sådana handlingar antingen gallras eller bevaras. Arkivlagen (1990:782), arkivförordningen (1991:446) samt Riksarkivets anknytande föreskrifter35 syftar bl.a. till att säkra riktigheten hos, och skapa tillgänglighet till, allmänna handlingar. Arkivregleringen är för närvarande föremål för översyn i syfte att bl.a. att modernisera och anpassa regleringen till utvecklingen på området.36

Säkerhetsskydd – skydd av säkerhetskänslig verksamhet

Säkerhetsskyddslagen (1996:627) och anknytande förordning (1996:633) ställer krav på särskilda skyddsåtgärder (säkerhetsskydd) för den information som kan påverka rikets säkerhet. Lagen gäller vid verksamhet hos staten, kommunerna och landstingen, men även aktiebolag, handelsbolag, föreningar och stiftelser över vilka staten, kommunerna och landstingen utövar ett rättsligt bestämmande inflytande.37 Lagen gäller också för enskilda om verksamheten är av betydelse för rikets säkerhet.

Med säkerhetsskydd avses bl.a. skydd av uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen och som rör

35 Se t.ex. Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar, RA-FS 2009:1 och Riksarkivets föreskrifter och allmänna råd om tekniska krav på elektroniska handlingar, RA-FS 2009:2. 36Översyn av arkivområdet, (dir. 2017:106). 374 § säkerhetsskyddslagen.

rikets säkerhet.38 Informationssäkerhet är en av tre grundläggande säkerhetsskyddsåtgärder i säkerhetsskyddslagen och ska förebygga att uppgifter som omfattas av sekretess och som rör rikets säkerhet obehörigen röjs, ändras eller förstörs.39 Vilka uppgifter som en myndighet ska hålla hemliga med hänsyn till rikets säkerhet avgörs efter en säkerhetsanalys hos respektive myndighet. Ytterligare bestämmelser om kraven på informationssäkerhet finns i säkerhetsskyddsförordningen.40 Försvarsmakten och Säkerhetspolisen ansvarar för tillsyn och kontroll av säkerhetsskyddet hos myndigheter och andra som lagen gäller för.41

Som nämnts i kapitel 9.3.2 pågår för närvarande en reform av säkerhetsskyddslagstiftningen och en ny säkerhetsskyddslag föreslås träda i kraft den 1 april 2019.42

Dataskyddsförordningen – skydd för personuppgifter

Dataskyddsförordningens bestämmelser om säkerhet tar sikte på behandlingen av personuppgifter.43 Den som behandlar personuppgifter (personuppgiftsansvarig och/eller personuppgiftsbiträde) ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen. Vid val av säkerhetsåtgärder ska förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos it-systemen och it-tjänsterna beaktas. Vidare ska även förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en teknisk eller fysisk incident beaktas. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför, i synnerhet i form av oavsiktlig eller olaglig förstöring, förlust eller ändring liksom obehörigt röjande av eller obehörig åtkomst till de personuppgifter

38 6 § 2 säkerhetsskyddslagen. 39 7 § 1 säkerhetsskyddslagen. 40913 §§säkerhetsskyddsförordningen. 4131 § säkerhetsskyddslagen och 39 § säkerhetsskyddsförordningen. 42Prop. 2017/18:89. 43 Personuppgifter är enligt definitionen i artikel 4.1 varje upplysning som avser en identifierad eller identifierbar fysisk person, varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikator eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.

som behandlas.44 Därtill finns en skyldighet för personuppgiftsansvariga att anmäla personuppgiftsincidenter till ansvarig tillsynsmyndighet.45 Datainspektionen,4