SOU 2023:96
En reform för datadelning
Till statsrådet Erik Slottner
Regeringen beslutade den 14 juli 2022 att uppdra åt en särskild utredare att analysera befintlig styrning och reglering av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer. Utredaren ska utifrån analysen föreslå om och hur styrning och reglering av interoperabilitet bör och kan utvecklas.
Som särskild utredare förordnades från och med den 15 september 2022 rättschefen Erik Janzon.
Som huvudsekreterare i utredningen anställdes från och med den 15 september 2022 verksjuristen, numera rättssakkunnig, Wenche Skoglund. Som utredningssekreterare anställdes från och med den 15 september 2022 juristen Eva Maria Lennartsson Broberg och verksjuristen Philip Levin. Eva Maria Lennartsson Broberg avslutade sitt arbete i utredningen den 31 maj 2023. Som utredningssekreterare i utredningen anställdes från och med den 1 juni 2023 juristen Mathea Franzén.
Som experter att biträda utredningen förordnades den 15 september 2022 verksamhetsstrategen Helena Andersson (Myndigheten för samhällsskydd och beredskap), utredaren Hanna André (Statskontoret), verksamhetsutvecklaren Beatrice Bengtsson (Försäkringskassan), integrationsarkitekten Raul Berrio Garcia (Västra Götalandsregionen), kanslirådet Johanna Edner (Finansdepartementet), juristen Carola Ekblad (Svenskt näringsliv), dataarkitekten Mattias Ekhem (Myndigheten för digital förvaltning), säkerhetsexperten Anne-Marie Eklund Löwinder (Amelsec), ämnesrådet Magnus Enzell (Finansdepartementet), juristen Tove Korske (Lantmäteriet), verkställande direktören Christian Landgren (Iteam), departementssekreteraren Omid Mavadati (Socialdepartementet), kanslirådet Fredrik Sandberg (Näringsdepartementet), rättsliga experten Gunnar Svensson (Skatteverket) och strategiska informationsarkitekten Marie Westberg (Försvarsmakten).
Som experter att biträda utredningen förordnades den 22 november 2022 departementssekreteraren Anna Renman (Finansdepartementet) och den 2 oktober 2023 utredaren Rodabe Alavi (E-hälsomyndigheten).
Utredningen, som har tagit sig namnet Utredningen om interoperabilitet vid datadelning, redogör för uppdraget med användande av vi-form även om det inte funnits fullständig samsyn i alla delar.
Utredningen överlämnar härmed betänkandet En reform för data-
delning (SOU 2023:96). Uppdraget är med detta slutfört.
Stockholm i december 2023.
Erik Janzon
/Wenche Skoglund Mathea Franzén Philip Levin
Sammanfattning
Inledning
Sverige har sedan lång tid tillbaka haft som ambition att vara bäst i världen på att använda digitaliseringens möjligheter. Datadelning inom och med den offentliga förvaltningen spelar en central roll i att leva upp till målen för digitaliseringen av den offentliga förvaltningen. Målen kan inte nås utan bättre förutsättningar än i dag för interoperabilitet vid datadelning. Dagens brister i interoperabiliteten försvårar – och hindrar i vissa fall – datadelning inom offentlig förvaltning och med externa aktörer. Den datadelning som sker inom och med offentlig förvaltning är inte tillräckligt interoperabel, likartad eller effektiv för att leva upp till kommande krav från EU eller för att realisera nyttor med datadelning. I vissa fall är datadelningen så olikartad att manuell hantering krävs och det leder bl.a. till en sämre datakvalitet, spårbarhet och riktighet.
Sammantaget leder bristerna till att de nyttor som datadelningen kan ge inte realiseras och att digitaliseringen av offentlig förvaltning bromsas. Det finns stora nyttor för individer och offentlig förvaltning med interoperabilitet vid datadelning, såsom ett förbättrat informationsutbyte mellan myndigheter, bättre service för enskilda, en högre tillgänglighet, delaktighet, datakvalitet, effektivitet och tillit. Interoperabiliteten har också stor betydelse för samhällets innovation och ger s.k. nätverkseffekter.
Offentlig förvaltnings förmåga att möta vår tids stora utmaningar avseende brottsbekämpning, klimatförändringar, pandemier, energiförsörjning och bättre medborgarservice kan bara säkerställas med hjälp av data som kan delas inom och med förvaltningen. När interoperabiliteten brister blir utmaningarna mycket svårare att hantera.
Den offentliga förvaltningens datadelning sker i dag utifrån så olika förutsättningar att det krävs en tydlig och sammanhållen styrning i
form av ett nytt regelverk för att uppnå interoperabilitet. Den tvingande styrning som finns i dagsläget är ytterst begränsad och sker primärt sektorsvis och inte gemensamt för hela offentlig förvaltning. Vår bedömning är att det krävs att grundläggande förutsättningar för datadelning utgår från ett tydligt och sammanhängande regelverk om interoperabilitet som gäller för hela offentlig förvaltning. Behovet av en sammanhållen och likartad styrning har utifrån vår analys visat sig vara särskilt stort inom och mellan kommuner och regioner. Bristen på interoperabilitetsstyrning i Sverige ska även ses i ljuset av andra europeiska länder, särskilt de nordiska grannländerna som samtliga har kommit betydligt längre än Sverige i dessa frågor. Även i konsekvensanalysen till Europeiska kommissionens förslag till interoperabilitetsförordning1 lyfts bristande styrning och samordning på alla administrativa nivåer och mellan sektorer som orsaker till den bristande interoperabiliteten inom EU.
Vi presenterar i detta betänkande vårt förslag till ett nytt regelverk för att skapa interoperabilitet vid datadelning inom och med hela den offentliga förvaltningen.
Vårt uppdrag
Vårt uppdrag har varit att analysera befintlig styrning och reglering av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer. I uppdraget har ingått att utifrån analysen föreslå om och hur styrning och reglering av interoperabilitet vid datadelning bör utvecklas och organiseras på ett effektivt och säkert sätt. Det har vidare ingått att
- avgöra om det finns ett behov av föreskriftsrätt på området och föreslå föreskriftsrättens omfattning, med en effektiv samordning mellan den sektorsövergripande och sektorsspecifika nivån,
- överväga om det finns behov av en reglering av en förvaltningsgemensam informationsmodell,
1 Förslag till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa) (COM [2022] 720 final), se Impact Assessment Report (SWD [2022] 721 final).
- lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, säkerhet, det offentlighets- och sekretessrättsliga regelverket och dataskyddsregelverket, samt
- bedöma behovet av ytterligare utredningsinsatser.
Att beakta ett eventuellt behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet har ingått i uppdraget, dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess.
Våra förslag i korthet
Vi föreslår att det ska vara ett politiskt mål att offentlig förvaltnings mest angelägna datadelning ska vara fullt interoperabel senast år 2030. De politiska ambitionerna avseende interoperabilitet uppfattas av många myndigheter och andra aktörer som otydliga när det kommer till interoperabilitet. Vår bedömning är att hur väl Sverige ska lyckas uppnå det övergripande målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter, målen för digitaliseringspolitiken och det förvaltningspolitiska målet är avhängigt av att den offentliga förvaltningen blir interoperabel. Inget av dessa mål nämner emellertid interoperabilitet och hittills har regeringens styrning inte utgått från en uttalad ambition att förvaltningen ska bli interoperabel. De politiska initiativ som har tagits avseende datadelning och interoperabilitet har främst gällt inom olika sektorer.
I andra länder, såsom Finland, Danmark, Norge och Frankrike har både ambitionerna för och styrningen av förvaltningen varit tydligare.
Interoperabilitet vid datadelning är en viktig förutsättning för att lyckas med samhällets digitalisering. Om nyttorna med datadelning och interoperabilitet ska kunna realiseras fullt ut behöver även politiken arbeta utifrån ett mål att förvaltningen ska vara interoperabel. Ett mål bör vara mätbart. Ett konkret sätt att mäta interoperabilitet är att i framtiden mäta i vilken omfattning den offentliga förvaltningen använder de nationella interoperabilitetslösningarna och interoperabilitetslösningarna för olika sektorer.
En lag om den offentliga förvaltningens interoperabilitet
Vi föreslår att styrning för att uppnå interoperabilitet vid datadelning ska samlas i en ny lag benämnd lagen om den offentliga förvaltningens interoperabilitet. Det saknas i dag nationell styrning som gäller för hela offentlig förvaltning i syfte att data som delas ska vara interoperabel eller att den ska delas på ett interoperabelt sätt.
Styrningen av den offentliga förvaltningen när den delar data är i dag ytterst begränsad och sker i många fall i form av rekommendationer som är frivilliga att följa, genom sektorsvis styrning eller genom kortsiktiga regeringsuppdrag. Dagens brister i interoperabiliteten försvårar – och hindrar i vissa fall – datadelning inom offentlig förvaltning och datadelning med externa aktörer. Nivån av nationell, förvaltningsgemensam, interoperabilitet är inte tillräcklig för att realisera datadelningens nyttor eller för att uppnå EU:s eller Sveriges mål för offentlig förvaltnings digitalisering och styrningen är inte tillräcklig för att möta kommande EU-krav på interoperabilitet. Våra nordiska grannländer har samtliga kommit betydligt längre än Sverige i att skapa regelverk och system för interoperabilitet.
Den lag som vi föreslår ska tillämpas vid den offentliga förvaltningens datadelning. Lagen ska inte påverka tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data, eller som begränsar en sådan rätt, såsom regelverket om offentlighet och sekretess. Den ska inte heller påverka tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter.
I den offentliga förvaltningen ingår statliga myndigheter, kommuner, regioner, kommunalförbund och kommunala bolag och det är dessa som ska tillämpa kraven i lagen. För att få den nytta och effekt av datadelning som eftersträvas med interoperabilitet samt för att få gynnsamma effekter på digitaliseringen behöver hela den offentliga förvaltningen gå i samma riktning.
Viktiga definitioner förs in i lagen
Vi föreslår ett antal definitioner i lagen. Data definieras som information i digitalt format oberoende av medium. Uttrycket används som samlingsbegrepp för att beskriva all information som omfattas av tillämpningsområdet. Uttrycket har en vidsträckt innebörd och
det saknar betydelse om innehållet är läsbart för det mänskliga ögat eller om det endast kan uttolkas maskin-till-maskin. Information på pappershandlingar omfattas inte av uttrycket data.
Datadelning definieras som att tillhandahålla data eller ta del av data. Uttrycket innebär således både att dela med sig av data och att ta del av data. Datadelning kan t.ex. ske på grund av att en myndighet har en uppgiftsskyldighet, på grund av uppgiftsutbyte inom ärendehantering eller någon annan form av informationsförsörjning.
Interoperabilitet vid datadelning definieras som förmågan att tillhandahålla eller ta del av data genom informationssystem som interagerar med varandra. För att uppnå interoperabilitet vid datadelning krävs att både den tillhandahållande och mottagande myndigheten följer samma interoperabilitetslösning eller krav, t.ex. en viss öppen standard eller specifikation.
Interoperabilitetslösning definieras som en återanvändbar resurs som avser rättsliga, organisatoriska, semantiska eller tekniska krav, såsom konceptuella ramverk, riktlinjer, referensarkitekturer, tekniska specifikationer, standarder, tjänster och applikationer, samt dokumenterade tekniska komponenter, såsom källkod, som syftar till att uppnå interoperabilitet vid datadelning. En interoperabilitetslösning innehåller således beskrivningar av olika krav som informationssystem ska följa för att kunna interagera med varandra och skapa interoperabilitet vid datadelning, t.ex. maskinläsbara format, såsom JSON, och olika gränssnitt, t.ex. API. Begreppet har samma innebörd som i EU:s kommande interoperabilitetsförordning.
En nationell interoperabilitetslösning definieras som en interoperabilitetslösning som är gemensam för den offentliga förvaltningen. Lösningen används även mellan sektorer och områden med olika förvaltningsregleringar och utgår från behoven. Framtida styrning inom olika sektorer behöver utgå från de nationella interoperabilitetslösningarna och kan vara mer detaljerad.
Krav på att använda nationella interoperabilitetslösningar
Vi föreslår att offentlig förvaltning ska använda nationella interoperabilitetslösningar som meddelas genom föreskrifter, i syfte att uppnå interoperabilitet vid datadelning. Lösningarna ska dock inte användas om det av säkerhetsskäl är olämpligt för de data som omfattas av
datadelningen. En myndighet, Myndigheten för digital förvaltning (Digg), ska ansvara för att ta fram lösningarna och får föreskriva om dem. Digg kan också välja att rekommendera nationella interoperabilitetslösningar, som inte blir tvingande att använda. Vår bedömning är att det med sådan styrning blir tydligt för offentlig förvaltning vilka åtgärder som behöver vidtas. I syfte att säkerställa att lösningarna blir ändamålsenliga föreslår vi ett krav på samarbete med offentlig förvaltning och externa aktörer (privata) vid framtagandet av lösningarna och att föreskrifter får meddelas först efter att berörda aktörer getts tillfälle att yttra sig.
Andra uppgifter som Digg får ansvar för
Digg ska därtill bl.a. analysera effekten (nyttor och kostnader) som kravet på att använda nationella interoperabilitetslösningar har på offentlig förvaltning och rapportera till regeringen om utvecklingen. Vi föreslår också att Digg ska vara behörig myndighet enligt artikel 17 i EU:s kommande interoperabilitetsförordning.
Sektorsspecifik interoperabilitetsstyrning
Vår bedömning är att interoperabilitet vid datadelning inom sektorer eller områden med olika förvaltningsregleringar bör styras genom lagstiftning för respektive sektor eller område. Det finns behov av fortsatt utredning av förutsättningarna för att införa styrning av interoperabilitet inom fler sektorer eller områden motsvarande Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) som nu pågår.
Uppdrag till MSB om skyddsnivåer
Vi föreslår också att Myndigheten för samhällsskydd och beredskap (MSB) ska ges i uppdrag att utreda om adekvata, gemensamma och koordinerade skyddsnivåer eller andra lämpliga säkerhetsåtgärder kan användas vid datadelning inom hela den offentliga förvaltningen och med externa aktörer. I uppdraget bör ingå att bedöma om befintlig rådgivning och befintligt stöd som finns i dag till samtliga myndigheter är tillräckligt eller om stödet behöver stärkas bl.a. till följd av ökad datadelning.
Summary
Introduction
Sweden has long had the ambition of being best in the world at harnessing the possibilities of digital transformation. Data sharing within and with public administration is key to achieving the aims of public administration’s digital transformation. Those aims cannot be achieved without first improving the current interoperability conditions for data sharing. The current lack of interoperability complicates – and in certain cases impedes – data sharing within public administration and with external actors. The data sharing that takes place within and with public administration is not sufficiently interoperable, uniform or effective to satisfy the forthcoming EU requirements or to realise the benefits of data sharing. In certain cases, data sharing takes place between systems so dissimilar that manual processing is required, resulting in poorer data quality, traceability, correctness, etc.
Due to the collective shortcomings, the potential benefits of data sharing cannot be realised and the digital transformation of public administration is hindered. Interoperability offers major benefits for individuals and public administration, such as improved exchange of information between government agencies, better service for individuals and greater accessibility, participation, data quality, effectiveness and public trust. Interoperability is also very important for the innovation of society and produces network effects.
The public sector’s ability to address the major challenges of our time as regards law enforcement, climate change, pandemics, energy supply and better service to citizens can only be ensured using data that can be shared within and with public administration. When interoperability is lacking, challenges become much more difficult to manage.
Public administration’s data sharing currently takes place under conditions that vary to the extent that clear and cohesive governance
is needed in the form of a new regulatory framework so as to achieve interoperability. The binding governance currently in place is extremely limited and applies primarily within individual sectors rather than collectively for all parts of public administration. Our assessment is that fundamental conditions for data sharing must be based on a clear and cohesive regulatory framework on interoperability that applies to all parts of public administration. Based on our analysis, the need for cohesive and uniform governance has proved especially important within and between municipalities and regions. The lacking interoperability governance in Sweden should also be viewed in comparison with other European countries, particularly the other Nordic countries, which have all made significantly more progress in this area. The impact assessment for the proposed Interoperable Europe Act1 also highlights lacking governance and coordination at all administrative levels and between sectors as causes for the lacking interoperability within the EU.
This report presents our proposals for a new regulatory framework to establish interoperability in data sharing within and with all parts of public administration.
Our remit
Our remit has been to analyse existing systems of governance and regulation of interoperability in data sharing within public administration and between public administration and external actors. Our remit has included, based on our analysis, proposing whether and how systems of governance and regulation of interoperability in data sharing should be developed and organised effectively and securely. It has also included:
- determining whether a right to issue regulations in this area is needed and, if so, proposing the scope of said right, with effective coordination at cross-sectoral and sectoral level;
- considering whether regulation of a common information model for all parts of public administration is needed;
1 Proposal for a Regulation of the European Parliament and of the Council laying down measures for a high level of public sector interoperability across the Union (COM [2022] 720 final), see
Impact Assessment Report (SWD [2022] 721 final).
- presenting legislative proposals based on our considerations, taking into account existing requirements concerning areas such as archiving, security, the regulatory framework for public access to information and secrecy, and the regulatory framework for data protection; and
- assessing the need for further investigation.
Part of our remit has been to consider a potential need for stronger information security arising from enhanced interoperability. However, this does not include proposing amendments to the regulatory framework for information security, protective security, data protection or public access to information and secrecy.
Our proposals in brief
We propose defining the policy objective as achieving full interoperability for the most important data sharing of public administration by 2030. Many government agencies and other actors find that interoperability policy ambitions are unclear. Our assessment is that public administration must become interoperable for Sweden to succeed in achieving its overarching objective of being best in the world at utilising the possibilities of digital transformation and the aims of digital transformation policy and administrative policy. In the meantime, none of those objectives explicitly mention interoperability, and the Government’s system of governance thus far has not been based on a stated ambition of public administration becoming interoperable. Political initiatives regarding data sharing and interoperability have been taken primarily within individual sectors or areas having different administrative regulations.
In other countries such as Denmark, Finland, France and Norway, ambitions and governance of interoperability concerning all parts of public administration have been clearer.
Interoperability in data sharing is an important prerequisite for succeeding in the digital transformation of society. To fully realise the benefits of data sharing and interoperability, policy must be based on the objective of public administration becoming interoperable. An objective should be measurable, and a concrete way of measuring interoperability in future is to measure the extent to which public
administration employs interoperability solutions at national level and at sectoral level.
A public administration interoperability act
We propose that governance to achieve interoperability in data sharing should be set out in a new public administration interoperability act. There is currently no national system of governance applicable to all parts of public administration aimed at requiring shared data to be interoperable or data to be shared in an interoperable way.
Currently, governance of public administration’s data sharing is extremely limited and is in many cases implemented in the form of non-binding recommendations, on a sector-specific basis or as shortterm government assignments. Current interoperability shortcomings complicate – and in certain cases impede – data sharing within public administration and data sharing with external actors. The current level of national (applicable to all parts of public administration) interoperability is not sufficient to realise the benefits of data sharing or to achieve the EU’s or Sweden’s aims for the digital transformation of public administration. Moreover, the governance is inadequate to meet forthcoming EU interoperability requirements. Our Nordic neighbours have all made significantly greater progress than Sweden on establishing a regulatory framework and a system for interoperability.
The act we propose would govern public administration’s data sharing. The act should not affect the application of provisions of any act or ordinance granting access to data or limiting such rights, such as the public access to information and secrecy regulatory framework. Nor should it affect the application of provisions of any act or ordinance on personal data privacy.
Public administration comprises government agencies, municipalities, regions, local authority federations and municipal companies. These organisations will be subject to the requirements set out by the act. All parts of public administration need to be moving in the same direction to realise the benefits and effects of data sharing that are the aim of interoperability, and to harness the beneficial effects of digital transformation.
Important definitions under the act
We propose a number of definetions under the act. ‘Data’ refers to information in digital format, irrespective of medium. It is an umbrella term for all types of information falling within the scope of application. The term has broad meaning and applies regardless of whether the content is legible to the human eye or can only be interpreted through machine-to-machine interaction. Data does not refer to information on a paper document.
‘Data sharing’ is defined as providing or accessing data. Data sharing can take place, for example, when a government agency is obliged to provide information, when information is exchanged in case processing or when information is provided in some other way.
‘Interoperability in data sharing’ is defined as the capability to provide or to access data by use of information systems that interact with each other. To achieve interoperability in data sharing, both the providing and accessing parties must employ the same interoperability solution or requirements, such as certain open standards or specifications.
‘Interoperability solution’ refers to a reuseable asset concerning legal, organisational, semantic or technical requirements to enable cross-border interoperability, such as conceptual frameworks, guidelines, reference architectures, technical specifications, standards, services and applications, as well as documented technical components, such as source code, with the aim of achieving interoperability in data sharing. An interoperability solution therefore comprises descriptions of various requirements that information systems must have to interact with each other and achieve interoperability in data sharing. This includes machine-readable formats such as Javascript Object Notation (JSON) and various interfaces such as an Application Programming Interface (API). The meaning of this term is the same as in the proposal for an Interoperable Europe Act.
A ‘national interoperability solution’ is defined as a common interoperability solution employed by all parts of public administration. The solution is also employed between sectors and areas having different administrative regulations, and based on need. Future governance within various sectors needs to be based on national interoperability solutions and may be more detailed in its requirements.
Requirements on employing national interoperability solutions
We propose that public administration should employ national interoperability solutions communicated in the form of a regulation by the Agency for Digital Government with the aim of achieving interoperability. However, those solutions should not be employed if they are deemed unsuitable for the data to be shared based on security aspects. The Agency for Digital Government will be responsible for developing the national interoperability solutions, and may prescribe which national interoperability solutions are to be employed. The Agency for Digital Government can also chose to recommend national interoperability solutions, that would not be mandatory to employ. Our assessment is that such governance would make it clear which measures are to be taken by public administration. To ensure that the solutions are fit for purpose, we propose requiring that public administration and (private) actors collaborate on the development of the solutions and that regulations cannot be announced until those who are affected by the regulations has been consulted.
Other tasks for the Agency for Digital government
The Agency would also analyse the effects (costs and benefits) of a requirement to employ national interoperability solutions on public administration and report on the progress of development to the Government. We further propose that the Agency for Digital Government should be the national competent authority in accordance with Article 17 of the EU:s forthcoming Interoperable Europe Act.
Sector governance
Our assessment is that interoperability in data sharing within sectors or areas having different administrative regulations should be governed through legislation for the relevant sector or area. There is need for further investigation of the conditions for introducing governance of interoperability within sectors or areas equivalent to the Inquiry on infrastructure for health data as a national interest (S 2022:10), which is currently in progress.
Task for the Swedish Civil Contingencies Agency on protection levels
We also propose that the Swedish Civil Contingencies Agency should be tasked with investigating whether adequate, common and coordinated protection levels or other suitable security measures can be used in data sharing within all parts of public administration and with external actors. This task should include assessing whether advice or support currently available to all government agencies is sufficient or if further support is needed due to increased data sharing, etc.
1. Författningsförslag
1.1. Förslag till lag (202X:000) om den offentliga förvaltningens interoperabilitet
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § I denna lag finns bestämmelser om interoperabilitet vid datadelning.
Lagen ska tillämpas av den offentliga förvaltningen vid datadelning. Med den offentliga förvaltningen avses i denna lag statliga myndigheter, kommuner, regioner, kommunalförbund och kommunala bolag.
Med kommunala bolag avses sådana bolag som omfattas av 2 kap. 3 § offentlighets- och sekretesslagen (2009:400).
2 § Denna lag påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data, eller som begränsar en sådan rätt.
Lagen påverkar inte heller tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter.
Ord och uttryck i lagen
3 § I lagen avses med
data: information i digitalt format oberoende av medium, datadelning: att tillhandahålla data eller ta del av data,
interoperabilitet vid datadelning: förmågan att tillhandahålla eller
ta del av data genom informationssystem som interagerar med varandra,
interoperabilitetslösning: en återanvändbar resurs som avser rätts-
liga, organisatoriska, semantiska eller tekniska krav, såsom konceptuella ramverk, riktlinjer, referensarkitekturer, tekniska specifikationer, standarder, tjänster och applikationer, samt dokumenterade tekniska komponenter, såsom källkod, som syftar till att uppnå interoperabilitet vid datadelning,
nationell interoperabilitetslösning: interoperabilitetslösning som
är gemensam för den offentliga förvaltningen.
Nationella interoperabilitetslösningar
4 § Den offentliga förvaltningen ska vid datadelning använda nationella interoperabilitetslösningar enligt föreskrifter som har meddelats med stöd av 5 §.
Första stycket ska inte tillämpas för de data som omfattas av datadelningen om det är olämpligt med hänsyn till krav på informationssäkerhet eller krav på skydd av Sveriges säkerhet.
Bemyndigande
5 § Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om nationella interoperabilitetslösningar.
Denna lag träder i kraft den 1 januari 2025.
1.2. Förslag till förordning (202X:000) om den offentliga förvaltningens interoperabilitet
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § Denna förordning kompletterar lagen (202X:000) om den offentliga förvaltningens interoperabilitet.
2 § Termer och uttryck i denna förordning har samma betydelse som i lagen (202X:000) om den offentliga förvaltningens interoperabilitet.
Nationella interoperabilitetslösningar
3 § Myndigheten för digital förvaltning ska
1. ta fram nationella interoperabilitetslösningar i samarbete med offentlig förvaltning och andra aktörer, samt
2. analysera vilka nyttor och kostnader som användning av nationella interoperabilitetslösningar innebär för den offentliga förvaltningen.
Bemyndigande
4 § Myndigheten för digital förvaltning får, efter att berörda aktörer getts tillfälle att yttra sig, meddela föreskrifter om nationella interoperabilitetslösningar enligt 5 § lagen om den offentliga förvaltningens interoperabilitet.
Denna förordning träder i kraft den 1 januari 2025.
1.3. Förslag till förordning (202X:000) om ändring i förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning
Härigenom föreskrivs att det i förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning ska införas en ny paragraf, 3 a §, av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 a §
Myndigheten ska
1. stödja den offentliga förvaltningen i syfte att uppnå interoperabilitet,
2. beakta internationellt interoperabilitetsarbete,
3. vara behörig myndighet enligt artikel 17 i Europaparlamentets och rådets förordning (EU) nr XXXX/ xxxx om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa), och
4. årligen rapportera till regeringen om hur den offentliga förvaltningens interoperabilitet utvecklas.
Denna förordning träder i kraft den 1 januari 2025.
2. Utredningens uppdrag och arbete
2.1. Utredningens uppdrag
Regeringen beslutade den 14 juli 2022 att ge en särskild utredare i uppdrag att analysera befintlig styrning och reglering av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer. Utredaren ska utifrån analysen föreslå om och hur styrning och reglering av interoperabilitet bör och kan utvecklas. Syftet är att öka den offentliga förvaltningens förmåga att samverka digitalt genom att dela data på ett effektivt och säkert sätt samtidigt som den personliga integriteten värnas och säkerheten i systemen och i samhället förblir robust. Utredningsarbetet ska utgå från det arbete som Myndigheten för digital förvaltning utför när det gäller den digitala infrastrukturen Ena (Sveriges digitala infrastruktur).
Utredaren ska bl.a.
- överväga om och hur regleringen av sektorsövergripande interoperabilitet bör och kan utvecklas, om det finns ett behov av föreskriftsrätt på området och i så fall föreslå föreskriftsrättens omfattning,
- överväga hur en möjlig föreskriftsrätt bör fördelas så att det blir en effektiv samordning mellan den sektorsövergripande och sektorsspecifika nivån,
- överväga hur en effektiv styrning av interoperabilitet bör organiseras,
- överväga om det finns behov av en reglering av en förvaltningsgemensam informationsmodell,
- lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket samt tillämplig dataskyddsreglering, och
- bedöma behovet av ytterligare utredningsinsatser.
Utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess.
2.2. Utredningens arbete
Utredningsarbetet påbörjades den 15 september 2022. Utredningen har under arbetets gång i enlighet med våra direktiv inhämtat synpunkter och fört dialog med statliga myndigheter, kommuner, regioner och företag. Vi har även inhämtat synpunkter från bl.a. samverkansprogrammet eSam, Sveriges kommuner och regioner, Svenskt näringsliv samt branschorganisationer. Dialog har också förts med representanter från Danmark, Finland och Norge. Vi har arrangerat två workshops med företrädare från den offentliga förvaltningen respektive näringslivet och intresseorganisationer.
Vidare har vi löpande fört dialog med utredningen Hälsodata som nationellt intresse – en lagstiftning för interoperabilitet (S 2022:98) och Utredningen om sekundäranvändning av hälsodata (S 2022:04). Möten har även hållits med Fastighetsregisterlagsutredningen (Ju 2022:09), Utredningen om e-recept och patientöversikter inom EES (S 2020:10), Bidragsbrottsutredningen (S 2021:03) samt med bokstavsutredaren för genomförandet av EU:s dataförvaltningsförordning.
2.3. Utgångspunkter för utredningens arbete och avgränsningar
2.3.1
Hur data ska delas
En viktig utgångspunkt är att vår utredning tar sikte på hur data delas, inte att data ska delas. Våra direktiv omfattar inte att reglera nya skyldigheter för den offentliga förvaltningen att dela data eller försörja samhället med information. Delning av data ska utgå från befintliga rättsliga förutsättningar, som exempelvis lagstadgat informationsförsörjningsansvar eller skyldighet att lämna uppgifter. Vidare kan det i verksamhetsreglering framgå att data ska delas. Delning av data måste därutöver vara förenlig med EU:s dataskyddsförordning1 och anslutande nationell reglering till skydd av personuppgifter samt med offentlighets- och sekretesslagen (2009:400).
Enligt vårt synsätt är styrning av hur data delas en förutsättning för att effektiv datadelning ska uppnås och för att delning av data ska öka över tid. Samma synsätt återfinns i EU:s reglering om data som tillgängliggörs för vidareutnyttjande, i öppna data-direktivet2 och dataförvaltningsförordningen3, som harmoniserar regler för bl.a. format och villkor för vidareutnyttjande.
2.4. Centrala begrepp
I betänkandet använder vi oss av vissa begrepp som är centrala för att förstå betänkandet och våra förslag. I detta avsnitt beskriver vi vad vi avser med begreppen.
1 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). 2 Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (omarbetning). 3 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltningsförordning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten).
2.4.1. Interoperabilitet
IT-standardiseringsutredningen menade att ett av de mer betydelsefulla skälen att standardisera informationsteknik är att man säkerställer att olika delar kan samverka; fysiska apparater och sladdar ska fungera ihop och metoder för att överföra data måste vara oberoende av vem som tillverkat apparaterna.4 Utöver det behövs samstämmighet i presentation av överförda data och t.o.m. viss tolkning av dem. Utredningen menade också att denna förmåga till samverkan i regel kallas interkonnektivitet eller interoperabilitet, varav interoperabilitet är det mest förekommande begreppet.
I artikel 3.7 i Inspiredirektivet5 definieras interoperabilitet som möjlighet att kombinera rumsliga datamängder och få tjänster att samverka, utan regelbundet återkommande manuellt ingripande, så att resultatet blir sammanhängande och så att mervärdet hos dessa datamängder och datatjänster ökar.
I Europeiska kommissionens förslag till interoperabilitetsförordning6 definieras gränsöverskridande interoperabilitet som en förmåga som gör det möjligt för nätverks- och informationssystem att användas av offentliga myndigheter i olika medlemsstater och av unionens institutioner, organ och byråer för att interagera med varandra genom datadelning med hjälp av elektronisk kommunikation (artikel 2.1). Rådet har inför förhandlingarna med Europaparlamentet föreslagit en annan definition: ”förmågan hos unionsenheter och offentliga organ i medlemsstaterna att interagera med varandra över gränserna genom att dela data, information och kunskap genom digitala processer och följa de rättsliga, organisatoriska, semantiska och tekniska kraven relaterade till sådan gränsöverskridande interaktion”.7 Vi vet i skrivande stund ännu inte vilken den slutliga definitionen kommer att bli.
4
Den osynliga infrastrukturen – om förbättrad samordning av offentlig IT-standardisering
(SOU 2007:47), s. 71. 5 Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire). 6 Förslag till Europarlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa) (COM [2022] 720 final). 7 På engelska: ”the ability of Union entities and public sector bodies of Member States to interact with each other across borders by sharing data, information and knowledge through digital processes and following the legal, organisational, semantic and technical requirements related to such cross-border interaction”, Rådets mandat för förhandlingar med Europaparlamentet (rådsdokument 12898/23), 29 september 2023.
I kommissionens förslag till dataförordning8 definieras interoperabilitet något annorlunda: ”förmågan hos två eller fler dataområden eller kommunikationsnät, system, produkter, applikationer eller komponenter att utbyta och använda data för att utföra sina funktioner” (artikel 2.19).
I det Europeiska ramverket för interoperabilitet (EIF) definieras interoperabilitet som ”organisationers förmåga att interagera mot ömsesidigt fördelaktiga mål, vilket inbegriper utbyte av information och kunskap mellan dessa organisationer, genom de affärsprocesser de stödjer, genom utbyte av data mellan deras IKT-system”.9
E-delegationen definierade interoperabilitet som förmåga och möjlighet hos system, organisationer eller verksamhetsprocesser att fungera tillsammans och kunna kommunicera med varandra genom att överenskomna regler följs.10 Denna definition användes också av Utredningen om välfärdsteknik i äldreomsorgen11 och används inom Ena.12
Vi kan konstatera att de definitioner som används för att beskriva interoperabilitet i och för sig skiljer sig åt till sina ordalydelser, men att de i allmänhet tar sikte på förmågan hos informationssystem att fungera tillsammans vid utbyte av data. Ibland innehåller definitionerna också förmågor hos verksamheter och organisationer. När vi använder begreppet interoperabilitet vid datadelning avser vi förmågan att tillhandahålla eller ta del av data genom informationssystem som interagerar med varandra.
Fyra lager av interoperabilitet
Enligt EIF behöver interoperabilitet betraktas utifrån fyra lager: juridik, organisation, semantik och teknik. Interoperabilitet inom samtliga lager behöver föreligga för att uppnå full interoperabilitet. Från ett omvänt perspektiv kan dessa fyra lager agera som hinder mot inter-
8 Förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) (COM [2022] 68 final). 9 På engelska ”the ability of organisations to interact towards mutually beneficial goals, involving the sharing of information and knowledge between these organisations, through the business processes they support, by means of the exchange of data between their ICT systems”, https://joinup.ec.europa.eu/collection/nifo-national-interoperability-frameworkobservatory/1-introduction (hämtad 2023-11-17). 10 E-delegationen, Vägledning för digital samverkan, version 4.1 (2015). 11Framtidens teknik i omsorgens tjänst (SOU 2020:14), s. 52. 12 Digg m.fl., Säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn (Dnr: 2019-100), s. 4.
operabilitet: utan exempelvis rättsliga, organisatoriska, semantiska eller tekniska förutsättningar på plats uppstår brister i interoperabiliteten.
Rättslig interoperabilitet
Rättslig interoperabilitet innebär att det inte finns rättsliga hinder mot att dela de data som ska delas. Digitaliseringsrättsutredningen konstaterade 2018 att de rättsliga hindren för digitalisering kan kategoriseras utifrån rättsliga hinder, rättsliga osäkerheter och avsaknad av reglering.13 Vi anser att de rättsliga hindren för interoperabilitet vid datadelning kan kategoriseras på samma sätt. Ett exempel på bristande rättslig interoperabilitet är om data omfattas av sekretess och därför inte får delas till en annan aktör. Ett annat exempel är om data inte kan delas mellan två aktörer därför att det finns rättsliga osäkerheter eller olika rättsliga tolkningar mellan de två aktörerna som medför att de avstår från att dela data. Om det inte finns rättsliga förutsättningar för datadelning så utgör detta en brist för interoperabiliteten vid datadelning.
Vi vill emellertid understryka att det givetvis finns legitima rättsliga hinder för datadelning i form av exempelvis sekretess för uppgifter, och att varje sådant hinder inte bör ses som en interoperabilitetsbrist som behöver undanröjas.
Organisatorisk interoperabilitet
Organisatorisk interoperabilitet avser förmågan hos organisationer som deltar i datautbyte att säkerställa att deras verksamheter och processer kan dela och använda data. Här ingår också enligt vår uppfattning tillit mellan inblandade parter, som är en central del i att lyckas med interoperabilitet. Den som delar data och den som ska använda delade data bör kunna ha tillit till den eller de aktörer som använder respektive delar data.
13Juridik som stöd för förvaltningens digitalisering (SOU 2018:25), s. 133.
Semantisk interoperabilitet
Semantisk interoperabilitet tar sikte på den data som utbyts och att den går att förstå genom hela utbyteskedjan.14 Det kan bl.a. innebära att använda begrepp vars innebörd är gemensam för de inblandade parterna eller att data beskrivs på ett sådant sätt att den går att förstå. Det kan också handla om att data delas i sådana format att data enkelt kan bearbetas och användas av dem som tar del av data. Om det föreligger semantiska hinder mot att dela data, exempelvis därför att en datamängd som delas är strukturerad på ett sådant sätt att den inte enkelt kan bearbetas av en maskin, så utgör detta en brist för interoperabiliteten vid datadelning.
Teknisk interoperabilitet
Teknisk interoperabilitet innebär att de tekniska förutsättningarna finns på plats för att kunna dela data. Teknisk interoperabilitet avser oftast infrastrukturen, hårdvaran och mjukvaran som används för datadelning. Det kan också beskrivas som de tekniska förutsättningarna för att två system ska kunna utbyta information.15 Delar som ingår i den tekniska interoperabiliteten är bl.a. tjänster för det faktiska datautbytet och säkra kommunikationsprotokoll.16
2.4.2. Datadelning
Våra direktiv definierar inte vilken slags datadelning som avses. I direktiven nämns emellertid vikten av att kunna kombinera datamängder med varandra, att kunna dela data för att effektivisera verksamheter, möta samhällsutmaningar och delning av stora maskinläsbara datamängder. Direktiven avser inte sådant tillhandahållande och mottagande som sker i enstaka fall, som exempelvis utlämnande av allmän handling eller enstaka uppgiftsutbyten mellan myndigheter. Snarare ska det vara fråga om någon form av informationsförsörjning i syfte att skapa nytta med datadelningen. Digitaliseringsrätts-
14 Europeiska kommissionen, Europeiska interoperabilitetsramen – genomförandestrategi (COM [2017] 134 final, bilaga 2), s. 27. 15 https://finto.fi/tt/sv/page/t14 (hämtad 2023-11-08). 16 Europeiska kommissionen, Europeiska interoperabilitetsramen – genomförandestrategi (COM [2017] 134 final, bilaga 2), s. 27.
utredningen beskrev informationsförsörjning som digitala uppgiftsutbyten mellan myndigheter inom ramen för ärendeprocesser eller på grund av uppgiftsskyldigheter, men också sådant tillhandahållande som sker av myndigheter med författningsreglerat ansvar att försörja samhället med information.17
2.4.3. Offentlig förvaltning
Det framgår av utredningens direktiv att uppdraget avser interoperabilitet vid datadelning inom offentlig förvaltning och från offentlig förvaltning till externa aktörer. Offentlig förvaltning definieras inte i direktiven och en allmänt vedertagen definition av offentlig förvaltning saknas i övrigt. Vi har därför varit nödgade att definiera vad som avses med offentlig förvaltning inom ramen för vårt arbete.
Begreppet offentlig förvaltning kan i bred mening beskrivas som all den organisation som bereder och verkställer statsmakternas (regeringens och riksdagens) beslut.18 Enligt 1 kap. 8 § regeringsformen (RF) finns för rättsskipningen domstolar och för den offentliga förvaltningen statliga och kommunala myndigheter. Statliga myndigheter lyder under regeringen.
Av 1 kap. 7 § RF framgår att det i Sverige finns kommuner på lokal och regional nivå. Kommuner på lokal nivå kallas kommuner och kommuner på regional nivå kallas regioner, vilket också framgår av 1 kap. 1 § kommunallagen (2017:725) (KL) där det föreskrivs att Sverige indelat i kommuner och regioner. Enligt 1 kap. 2 § KL sköter kommuner och regioner på demokratins och den kommunala självstyrelsens19 grund de angelägenheter som anges i lagen eller annan författning. De får också, med de begränsningar som framgår av lag, överlämna skötseln av kommunala angelägenheter till kommunala bolag, stiftelser och föreningar (3 kap. 11 § KL).
Med ett helägt kommunalt bolag avses ett aktiebolag där kommunen eller regionen direkt eller indirekt innehar samtliga aktier och med ett delägt kommunalt bolag avses ett aktiebolag eller handelsbolag där kommunen eller regionen bestämmer tillsammans med någon annan (10 kap. 2 § KL). I 10 kap. 3–4 § KL föreskrivs villkor som ska
17Juridik som stöd för förvaltningens digitalisering (SOU 2018:25), s. 444. 18 https://www.ne.se/uppslagsverk/encyklopedi/l%C3%A5ng/f%C3%B6rvaltning (hämtad 2023-11-15). 19 Se mer i kapitel 5.
vara uppfyllda för att skötseln ska få lämnas över till ett helägt respektive delägt kommunalt bolag.
Enligt 3 kap. 8 § KL får kommuner och regioner bilda kommunalförbund och lämna över skötseln av kommunala angelägenheter till sådana förbund. I ett kommunalförbund ska det som beslutande församling finnas ett förbundsfullmäktige eller en förbundsdirektion (9 kap. 3 § KL).
I 1 § andra stycket förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning föreskrivs att med offentlig förvaltning avses statliga myndigheter, kommuner och regioner. Enligt Riksarkivet avses med offentlig förvaltning såväl statliga myndigheter som kommuner och landsting (nuvarande regioner).20
Ett närliggande begrepp till offentlig förvaltning är offentlig sektor. Lagen (2022:818) om den offentliga sektorns tillgängliggörande av data, ska tillämpas av myndigheter och offentliga företag när det gäller data som har samband med en tjänst av allmänt intresse som företaget tillhandahåller och som inte är direkt konkurrensutsatt. Med myndighet jämställas ett s.k. offentligt styrt organ när det gäller data som har samband med en tjänst av allmänt intresse som organet tillhandahåller.
I 2 kap. tryckfrihetsförordningen (1949:105) finns bestämmelser om allmänna handlingars offentlig och rätten att ta del av sådana handlingar. En handling är allmän, om den förvaras hos en myndighet. Med myndighet avses ett organ som ingår i den statliga och kommunala förvaltningen. Regeringen, förvaltningsmyndigheterna, domstolarna och de kommunala nämnderna är myndigheter. Med myndighet jämställs i 2 kap. TF också riksdagen och beslutande kommunal församling (5 §). Däremot är inte bolag, föreningar eller stiftelser myndigheter även om staten eller en kommun helt äger eller bestämmer över dem. I 2 kap. 3 § offentlighets- och sekretesslagen (2009:400) (OSL) föreskrivs emellertid att rätten att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också ska gälla handlingar hos aktiebolag, handelsbolag, ekonomiska föreningar och stiftelser där kommuner eller regioner utövar ett rättsligt bestämmande inflytande. Sådana bolag, föreningar och stiftelser ska vid tilllämpningen av offentlighets- och sekretesslagen jämställas med myndigheter.
20 https://riksarkivet.se/offentlig-forvaltning (hämtad 2023-11-09).
Vi kan konstatera att begreppen offentlig förvaltning och offentlig sektor när de används i författningar inte fullt ut omfattar samma aktörer. Vid bedömningen avseende hur offentlig förvaltning ska definieras inom ramen för vårt arbete har vi vägt in relevanta regelverk, de behov avseende styrning av interoperabilitet vid datadelning vi har identifierat samt vad vi anser är lämpligt och ändamålsenligt. Vi har också vägt in att det principiellt inte ska spela någon roll hur den offentliga förvaltningen har valt att utföra en viss verksamhet som åligger den. En princip om organisationsneutralitet ska med andra ord tillämpas. Som framgår ovan kan exempelvis kommuner och regioner besluta att utföra sina åligganden genom bl.a. nämnder eller genom kommunala bolag. De kan också bilda kommunalförbund.
Vi har därför valt att definiera offentlig förvaltning som statliga myndigheter, statliga myndigheter, kommuner, regioner, kommunalförbund och kommunala bolag. Med kommunala bolag menas sådana bolag som avses i 2 kap. 3 § OSL. Däremot har vi inte funnit skäl till att låta ekonomiska föreningar och stiftelser som också nämns i samma bestämmelse omfattas av begreppet offentlig förvaltning.
2.4.4. Sektorer och sektorsspecifik styrning
I vår utredning använder vi begreppet sektor och sektorsspecifik styrning. Vi har inte definierat begreppet sektor, men vi menar i allmänhet att en sektor består av en begränsad mängd aktörer som agerar inom samma avgränsade område, eller hanterar samma, eller liknande sorters datamängder eller har gemensam verksamhetsreglering, som exempelvis hälso- och sjukvården. När vi talar om sektorsspecifik styrning menar vi således sådan styrning som träffar enbart aktörer i en viss sektor.
På EU-nivå används i dag begreppet dataområden, som exempelvis i förslaget om ett europeiskt hälsodataområde (EHDS).21 Inom arbetet med grunddata, som bedrivs inom ramen för Ena22, används begreppet grunddatadomän och avser där grunddata som hör ihop
21 Förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde (COM[2022] 197 final). 22 Se kapitel 6.
inom ett område t.ex. person, företag samt fastighets- och geografisk information.23
2.5. Betänkandets disposition
I kapitel 3 presenteras svenska och europeiska politiska mål avseende digitalisering.
I kapitel 4 redovisas utredning och analys av den offentliga förvaltningens interoperabilitet vid datadelning.
Kapitel 5 beskriver förutsättningarna för styrning genom författningar och i kapitel 6 presenteras nuvarande styrning av interoperabilitet vid datadelning.
I kapitel 7 behandlas behovet av informationssäkerhet vid datadelning.
Kapitel 8 innehåller en internationell utblick. I kapitel 9 finns våra överväganden och förslag. Kapitel 10 behandlar förslagens ikraftträdande. I kapitel 11 redovisas förslagens konsekvenser och i kapitel 12 finns författningskommentarerna.
23 Myndigheten för digital förvaltning, Ramverk för nationella grunddata inom den offentliga förvalt-
ningen, Version 2.0, 13 januari 2023.
3. En effektivare offentlig förvaltning kräver interoperabilitet
3.1. Förvaltnings- och digitaliseringspolitikens mål
3.1.1. Målet för den statliga förvaltningspolitiken
Målet för den statliga förvaltningspolitiken i Sverige är en innovativ och samverkande statsförvaltning som är rättssäker och effektiv, har väl utvecklad kvalitet, service och tillgänglighet, och som därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete.1 Regeringens förvaltningspolitik omfattar alla myndigheter under regeringen. I propositionen2 där regeringen formulerade målet för den statliga förvaltningspolitiken gjordes flera uttalanden om förvaltningens digitalisering, bl.a. sägs att offentliga och privata aktörer bör samverka för att skapa tjänster, som bl.a. genom automatisering och självservice möter människors och företags behov i olika situationer. Vidare sägs att den offentliga förvaltningen borde samverka kring delning och återanvändning av information för att åstadkomma minskat uppgiftslämnande.3
Det framgår tydligt att digitalisering anses vara ett viktigt medel för att nå det förvaltningspolitiska målet. Målet är, trots att det är över tio år gammalt, fortsatt relevant eftersom det är formulerat på ett sådant sätt att det går att tillämpa och styras av över tid.4
Det förvaltningspolitiska målet avser endast myndigheter under regeringen och omfattar inte kommuner och regioner. I propositionen där målet föreslogs konstaterade regeringen emellertid att staten
1Prop. 2009/10:175 s. 27. 2Prop. 2009/10:175. 3Prop. 2011/12:1 Utgiftsområde 22 s. 104. 4 Statskontoret har gjort en liknande bedömning men har även konstaterat att målet i praktiken har ett begränsat genomslag i myndigheternas arbete. Se Statskontoret, En innovativ och sam-
verkande förvaltning – 10 år med det förvaltningspolitiska målet, s. 6–7.
och den kommunala sektorn har ett gemensamt ansvar för viktiga samhällsfunktioner och att det därför behövs ett bra samspel och en tydlighet i ansvarsfördelningen och i statens styrning.5
I senare propositioner har det framförts att det är viktigt att utveckling och införande av en långsiktigt hållbar och säker digital infrastruktur stöder fortsatt hög kvalitet inom utbildning, vård och omsorg, socialtjänst och andra välfärdsområden, inte minst i ljuset av den växande hotbilden från antagonistiska aktörer.6 Det framförs också att det är ett delat ansvar mellan staten, kommunerna och regionerna att utveckla välfärden.7
År 2020 tecknade regeringen och Sveriges kommuner och regioner, SKR, en avsiktsförklaring vars syfte var att etablera en process mellan staten, kommuner och regioner för utveckling och införande av en långsiktigt hållbar digital infrastruktur till stöd för välfärden.8Samma år ingick regeringen och SKR en överenskommelse om äldreomsorg som syftade till att ge kommunerna bättre förutsättningar att verksamhetsutveckla genom digitalisering inom äldreomsorgen.9 Fler överenskommelser har tecknats mellan staten och SKR efter det.
I budgetpropositionen för 2024 föreslog regeringen att satsa 77 miljoner kronor år 2024 och beräknade 123 miljoner kronor år 2025 samt 141 miljoner kronor år 2026 för att utveckla en nationell gemensam digital infrastruktur för hälso- och sjukvården där staten tar ett större ansvar. Regeringen skriver att infrastruktur med gemensamma standarder ska möjliggöra att hälsodata blir tillgängliga i hela vårdkedjan för all vård, såväl kommunal och regional vård som tandvård, oavsett huvudman.10
3.1.2. Målet för digitaliseringspolitiken
Digitaliseringspolitiken handlar om att använda och främja de möjligheter som digitaliseringen för med sig för samhället: för individer, näringsliv, civilsamhälle och offentlig förvaltning.11 Det övergripande
5Prop. 2009/10:175 s. 28. 6Prop. 2022/23:1 Utgiftsområde 22 s. 107. 7Prop. 2022/23:1 Utgiftsområde 22 s. 107. 8En avsiktsförklaring mellan staten och Sveriges kommuner och regioner om utveckling av väl-
färdens digitala infrastruktur, 2020, s. 4.
9 Överenskommelse mellan staten och Sveriges Kommuner och Regioner om äldreomsorg – teknik,
kvalitet och effektivitet med den äldre i fokus, 2020, s. 6.
10Prop. 2023/24:1 Utgiftsområde 9 s. 45. 11 https://www.regeringen.se/regeringens-politik/digitaliseringspolitik/ (hämtad 2023-08-17).
målet för digitaliseringspolitiken är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.12 Målet har varit vägledande för digitaliseringspolitiken i över ett decennium. Det har kompletterats med bl.a. strategier, exempelvis För ett hållbart digitaliserat
Sverige – En digitaliseringsstrategi.13 I strategin hänvisas uttryckligen
till målet.
Det finns andra strategier för digitaliseringspolitiken som inte uttryckligen hänvisar till målet men som har samma syfte. Ett exempel är Data – en underutnyttjad resurs för Sverige: En strategi för ökad
tillgång av data för bl.a. artificiell intelligens och digital innovation14,
som regeringen beslutade 2021. I strategin uttalas att Sverige bättre ska dra nytta av tillgängliga data med hjälp av de dataanalyser som kan göras med till t.ex. AI, såväl inom olika sektorer som mellan sektorer. Enligt strategin innebär det i sin tur ett behov att främja interoperabilitet mellan olika sektorer och dataområden samt att definiera riksintressanta, särskilt värdefulla och strategiska datamängder som kräver nationell styrning.
Eftersom målet är avhängigt hur Sverige presterar i relation till resten av världen, används diverse globala och europeiska mätningar för att bedöma om Sverige når målet eller inte. För att följa upp digitaliseringspolitiken används bl.a. indikatorer från Europeiska kommissionens senast publicerade index Digital Economy och Society Index (DESI) samt Eurostat som visar Sverige i relation till övriga länder inom Europeiska unionen.15 I budgetpropositionen för 2024 konstaterade regeringen att Sverige placerar sig högt när det kommer till att använda digitaliseringens möjligheter men att vi hamnar efter ledande länder som Danmark och Finland, särskilt vad gäller digitalisering inom den offentliga förvaltningen.16 Sammanfattningsvis bedömde regeringen att Sverige i dagsläget inte når det övergripande målet med digitaliseringspolitiken men att det finns goda förutsättningar för att i huvudsak uppnå målen i EU:s policyprogram för det digitala decenniet 2030.17
När det gäller digitaliseringen av den offentliga förvaltningen är regeringens mål en enklare vardag för medborgare, en öppnare för-
12Prop. 2011/12:1 Utgiftsområde 22 s. 84, bet. 2011/12:TU1, rskr. 2011/12:87. 13 N2017/03643/D. 14 I2021/02739. 15Prop. 2021/22:1 Utgiftsområde 22 s. 93. 16Prop. 2023/24:1 Utgiftsområde 22 s. 105. 17Prop. 2021/22:1 Utgiftsområde 22 s. 93.
valtning som stöder innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.18
3.1.3. Andra politikområden
Datadelning är relevant för många politikområden. Som exempel kan nämnas att målet för kriminalpolitiken är att minska brottsligheten och att öka människors trygghet.19 Inom ramen för politikområdet finns i dagsläget bl.a. behov som inkluderar informationsutbyte som syftar till att motverka felaktiga utbetalningar och brott mot välfärdssystemen. Vidare behövs utbyte av uppgifter för planering, genomförande och efterarbete vid myndighetsgemensamma kontroller av arbetsplatser i syfte att motverka fusk, regelöverträdelser och brottslighet i arbetslivet.20
3.2. Behov av bättre interoperabilitet har identifierats tidigare
Nyttorna förenade med datadelning och behovet av interoperabilitet har identifierats sedan lång tid tillbaka, liksom den starka kopplingen till de politiska målen. Ibland har emellertid andra termer använts. I budgetpropositionen för 2020 uttalade regeringen att digitalt informationsutbyte kräver gemensamma standarder och begreppsmodeller. Regeringen uttalade även att en infrastruktur som möjliggör digitalt informationsutbyte är en nödvändighet för att nå målet att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.21
Det har under åren vidtagits olika åtgärder som har haft till syfte att öka interoperabiliteten i den offentliga förvaltningen. Det har också genomförts utredningar som på olika sätt har berört frågan hur den offentliga förvaltningens interoperabilitet kan förbättras och som har lämnat olika förslag. Utredningarnas uppdrag har inte varit begränsade till enbart interoperabilitet men frågan har berörts i utredningarna. Nedan redogör vi för några exempel på åtgärder och utredningar.
18 https://www.regeringen.se/regeringens-politik/digitaliseringspolitik/mal-fordigitaliseringspolitik/ (hämtad 2023-04-04). 19 https://www.regeringen.se/regeringens-politik/rattsvasendet/mal-for-rattsvasendet/ (hämtad 2023-08-28). 20Utökat informationsutbyte (Ds 2022:13), s. 83. 21Prop. 2019/20:1 Utgiftsområde 22 s. 114.
Nämnden för elektronisk förvaltning (e-nämnden) bildades 2004 och hade till uppgift att stödja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte mellan myndigheter samt mellan myndigheter och enskilda. Nämnden fick bl.a. besluta om de standarder eller liknande krav som skulle vara gemensamma för det elektroniska informationsutbytet för myndigheter under regeringen samt bistå med information och utarbeta riktlinjer.22 Nämnden beslutade emellertid aldrig om några föreskrifter. Däremot togs ett antal vägledningar och riktlinjer fram. Två exempel är Riktlinjer för teckenupp-
sättning för namnskrivning i svensk elektronisk förvaltning (e-nämn-
den 05:05) och Vägledning för myndighetsföreskrifter vid införande av
e-tjänster (e-nämnden 05:03). Nämnden lades ner i slutet av 2005 i
samband med att Verket för förvaltningsutveckling (Verva) inrättades.
Verva inrättades 2006 och var central förvaltningsmyndighet för utveckling av en sammanhållen statlig förvaltning.23 Myndigheten hade i 3 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte ett bemyndigande att meddela föreskrifter i fråga om standarder eller liknande krav som skulle vara gemensamma för elektroniskt informationsutbyte för myndigheter under regeringen, dvs. motsvarande bemyndigande som e-nämnden hade i sin instruktion. Verva meddelade med stöd av bemyndigandet föreskrifter om statliga myndigheters arbete med säkert elektroniskt informationsutbyte.24 Syftet med föreskrifterna var att i förvaltningen skapa förutsättningar för ett säkert och förtroendefullt elektroniskt informationsutbyte genom att myndigheterna bedriver sin verksamhet med den säkerhet som är nödvändig med hänsyn till den enskilda myndighetens förutsättningar. Vidare meddelade Verva föreskrifter om att en särskild standard skulle följas vid statliga myndigheters elektroniska fakturahantering.25 Myndigheten publicerade bl.a. Väg-
ledningen 24-timmarswebben, som syftade till att ge stöd i arbetet med
att använda webben som en kanal för att effektivisera myndigheternas ärenden och processer. Verva lades ned vid årsskiftet 2008/2009.
221 § förordningen (2003:769) med instruktion för Nämnden för elektronisk förvaltning. 231 § förordning (2005:860) med instruktion för Verket för förvaltningsutveckling. 24 Vervas föreskrifter om statliga myndigheters arbete med säkert elektroniskt informationsutbyte, (VERVAFS 2007:2). I föreskrifterna ställdes krav på att myndigheterna skulle tillämpa ett ledningssystem för informationssäkerhet i former enligt ISO/IEC-standarderna 27001 och 27002. Motsvarande krav ställs sedan 2009 av Myndigheten för samhällsskydd och beredskap i föreskrifterna om informationssäkerhet för statliga myndigheter, i sin senaste version MSBFS 2020:6. 25 Vervas föreskrifter om statliga myndigheters elektroniska fakturor (VERVAFS 2007:1).
I anslutning till att Verva lades ned inrättades 2009 en delegation för e-förvaltning efter beslut av regeringen.26 Delegationen antog namnet E-delegationen och arbetet pågick under flera års tid. Delegationen bedrev arbete inom många områden inom e-förvaltning, bl.a. inom området interoperabilitet. Delegationen hade emellertid inte mandat att utfärda myndighetsföreskrifter. Delegationen överlämnade sammanlagt tretton betänkanden varav slutbetänkandet27 överlämnades i juni 2015.
År 2018 bildades Myndigheten för digital förvaltning (Digg). Myndighetens övergripande uppdrag är att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig.28 Läs mer om myndighetens uppdrag och arbete i kapitel 6.
År 1997 föreslog Grunddatabasutredningen att det skulle införas en lag om grunddata.29 Lagförslaget syftade till att tillgodose samhällets behov av grunddata i register och databaser inom offentlig förvaltning. Det innehöll en definition av grunddata, och regeringen skulle bemyndigas att bestämma vilka uppgifter som skulle utgöra grunddata samt vilka myndigheter som skulle ansvara för sådana data. Ansvaret innebar bl.a. att skapa god tillgänglighet till grunddata, informera om de grunddata som finns tillgängliga, upplysa om formerna för åtkomst till grunddata, samt utveckla och redovisa grunddatas kvalitet. Det föreslogs vidare att en särskild nämnd skulle inrättas för styrning och samordning. Nämnden skulle enligt utredningens förslag få meddela ytterligare föreskrifter som behövdes för att uppnå syftena med myndigheternas ansvar. Bemyndigandet innefattade enligt utredningen bl.a. möjlighet att föreskriva om standardisering och förvaltning om det behövdes för att uppnå enhetlighet.
Förslaget behandlades av regeringen i propositionen Statlig för-
valtning i medborgarnas tjänst.30 Regeringen konstaterade att arbetet
med att dra upp riktlinjer för den mest grundläggande informationen, dvs. grunddata, var ett prioriterat område. Den konstaterade emellertid också att det krävdes en bredare och djupare analys av vissa frågor innan ställning kunde tas till omfattningen av det offentliga åtagandet för grunddata. Vissa frågor, såsom definition av grunddata och
26 Dir. 2009:19. 27En förvaltning som håller ihop (SOU 2015:66). 28 1 § 1 st. förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning. 29Grunddata – i samhällets tjänst (SOU 1997:146). 30Prop. 1997/98:136.
precisering av myndigheternas ansvar, behövde klarläggas ytterligare. Utredningens lagförslag genomfördes inte men ett flertal myndigheter arbetar i dag utifrån ett grunddataperspektiv (se mer i kapitel 6).
I betänkandet Den osynliga infrastrukturen – om förbättrad samord-
ning av offentlig IT-standardisering (SOU 2007:47) lämnade IT-stan-
dardiseringsutredningen ett flertal förslag med bäring på it-standardisering och elektroniskt informationsutbyte. Utredningen föreslog bl.a. att en central kanslifunktion skulle inrättas vid Verva för att utveckla och förvalta förutsättningarna för interoperabilitet (ett interoperabilitets- och standardiseringskansli). Kanslifunktionen föreslogs samordna, förankra, publicera och underhålla de förvaltningsgemensamma kravspecifikationerna samt ge metod- och expertstöd i it-standardiseringsfrågor inom den offentliga förvaltningen, särskilt avseende begreppsstandarder. Som vägledning i detta arbete ansåg utredningen att en form (arkitektur) för att främja interoperabilitet inom den offentliga förvaltningen borde utvecklas och förvaltas. En öppen webbbaserad katalogtjänst för de gemensamma kravspecifikationerna föreslogs också. Utredningen föreslog dessutom att 2 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte skulle kompletteras. Enligt bestämmelsen ska en myndighet i sin verksamhet främja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga förvaltningen. Utredningen föreslog att bestämmelsen bl.a. skulle kompletteras med ett krav att användningen av tekniska specifikationer för elektronisk informationshantering som överensstämmer med en nationell eller internationell standard som godkänts av ett erkänt standardiseringsorgan skulle främjas. Kompletteringarna infördes inte i förordningen.
Digitaliseringsrättsutredningen gjorde flera iakttagelser avseende användning av informationsstandarder i den offentliga förvaltningen.31Inom ramen för utredningens kartläggningsarbete hade det tydligt framgått att myndigheter har behov av gemensamma informationsstandarder och att det efterfrågades standarder för bl.a. digitala format, certifikat, gränssnitt och metadata. I kartläggningsarbetet hade det påtalats att det behövs en samordning av vilka krav på standarder som ska ställas av det offentliga när system utvecklas eller upphandlas. Att det inte funnits någon utpekad aktör som haft ansvar för frågan om gemensamma standarder för informationshanteringen inom den offentliga förvaltningen hade under kartläggningen påpekats vara
31Juridik som stöd för förvaltningens digitalisering (SOU 2018:25), s. 92–93.
en brist. Utredningen konstaterade vidare att det på föreskriftsnivå behöver finnas en samordning för att få en helhetssyn i relation till det som omfattar hela förvaltningen och det som enbart omfattar ett visst område. Utredningen lämnade inga förslag avseende informationsstandarder men noterade att regeringen vid tidpunkten hade fattat beslut om att inrätta Digg. Vi beskriver Diggs uppdrag i kapitel 6. Där beskrivs också uppdraget att etablera en förvaltningsgemensam digital infrastruktur.
3.2.1. Förvaltningen har inte styrts genom tydliga krav
Det har under lång tid i Sverige bedrivits arbete för att utveckla den offentliga förvaltningens digitalisering på ett samordnat sätt. Arbetet har tagit sig olika former. Syftet har formulerats på olika sätt men vår bedömning är att det övergripande syftet har varit dels att förvaltningen ska arbeta mer enhetligt för att få en mer sammanhängande förvaltning, dels att förvaltningen ska få stöd i sitt digitaliseringsarbete. Det har bl.a. handlat om att hjälpa förvaltningen att reda ut den komplexitet som digitalisering ofta innebär, exempelvis genom att beskriva hur olika bedömningar kan göras.
När det gäller styrning av förvaltningen kan vi konstatera att det primärt har rört sig om exempelvis vägledningar och i vissa fall rekommendationer. Författningsstyrning genom lagar, förordningar och myndighetsföreskrifter har varit begränsad. Detta trots att vissa instanser har haft mandat att meddela myndighetsföreskrifter på området samt att det har lämnats förslag från kommittéer och andra myndigheter om sådan styrning. De mandat (bemyndiganden) som har funnits på plats har varit begränsade till myndigheter under regeringen och har således inte omfattat kommuner och regioner. Som exempel kan nämnas Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter samt säkerhetsåtgärder i informationssystem för statliga myndigheter.32
Det går inte att ge ett entydigt svar till varför tydligare krav genom författning inte har blivit verklighet. Vi kan emellertid konstatera att digitalisering är ett komplext område som utvecklas snabbt. Det ut-
32 Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6) respektive myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder för informationssystem för statliga myndigheter (MSBFS 2020:7).
vecklas ständigt ny teknik som den offentliga förvaltningen måste förhålla sig till. Vår uppfattning är att mycket av det stöd som finns att tillgå har varit på en övergripande och beskrivande nivå, även om det finns exempel på mer detaljerat stöd. Mycket har haft formen av ”så här kan ni tänka”, ”beakta det här” eller ”säkerställ detta”. Stödet pekar många gånger på vad som ska göras men sällan hur det ska göras. Det blir i stället upp till varje aktör inom förvaltningen att göra bedömningen. Vi kan vidare konstatera att tydligare styrning inte har blivit verklighet, trots förslag under särskilt 1990- och 00-talet.
3.3. EU:s mål och prioriteringar
EU har begränsade möjligheter att styra de offentliga förvaltningarna i respektive medlemsstat (se mer i kapitel 5). Det förhindrar emellertid inte att unionen formulerar mål och prioriteringar för förvaltningarna eller mål som på olika sätt påverkar förvaltningarna. Exempelvis omfattar och påverkar EU:s ambitioner avseende den inre marknaden, där den digitala inre marknaden på senare år att fått stort fokus, även medlemsstaternas offentliga förvaltningar. Kommissionen konstaterade 2015 i sin strategi för den digitala inre marknaden att transformeringen av den globala ekonomin till en digital ekonomi väcker utmanande politiska frågor för offentliga myndigheter som kräver samordnade EU-insatser.33 Regeringen konstaterade i budgetpropositionen för 2016 att arbete och erfarenheter från e-förvaltningsarbete inom EU kan vara till användning i den svenska förvaltningen.34 2016 presenterade kommissionen en handlingsplan för e-förvaltning för åren 2016–2020.35 I handlingsplanen presenterade kommission visionen att offentliga förvaltningar och institutioner i Europeiska unionen senast 2020 skulle vara öppna, effektiva och inkluderande. De skulle tillhandahålla gränslösa, individanpassade, användarvänliga och obrutna digitala offentliga tjänster åt alla medborgare och företag i EU samt använda innovativa metoder för att utforma och tillhandahålla bättre tjänster som är anpassade till medborgarnas och företagens behov och önskningar. Slutligen skulle de utnyttja de möjligheter som den nya digitala miljön erbjuder för att underlätta sina kontakter med intressenter och med varandra. Kom-
33 COM(2015) 192 final, s. 3. 34Prop. 2015/16:1 Utgiftsområde 22 s. 120. 35 COM(2016) 179 final.
missionens vision var således kompatibel med de svenska målen och ambitionerna för digitaliseringspolitiken och målen för den offentliga förvaltningen.
Nedan redogör vi för mål, ambitioner och initiativ som har tillkommit efter strategin för den digitala marknaden och handlingsplanen för e-förvaltning.
3.3.1. Det digitala decenniet
Det digitala decenniet är parlamentets och rådets policyprogram inom digitaliseringsområdet.36 Programmet innehåller mål för 2030 inom fyra områden: kompetens, digital omställning av näringslivet, säker och hållbar digital infrastruktur och digitalisering av offentlig service. Styrningen av programmet bygger på en samarbetsmekanism där kommissionen och medlemsstaterna utifrån prognoser tillsammans sätter nationella mål för digitaliseringen.
Inom området Kompetens är målsättningen att det ska finnas 20 miljoner it-specialister, där en större andel än i dagsläget ska vara kvinnor. Därutöver ska minst 80 procent av befolkningen ha grundläggande digitala färdigheter.
Inom området Digital omställning av näringslivet är målet att 75 procent av EU:s företag 2030 ska använda molntjänster, AI eller stordata. Över 90 procent av de små och medelstora företagen ska ha åtminstone en grundläggande digitaliseringsnivå.
Inom området Säker och hållbar digital infrastruktur är målsättningen att det ska finnas snabbt internet för alla, att EU:s andel av världsproduktionen av halvledare ska fördubblas, att det ska finnas 10 000 klimatneutrala och säkra kantnoder och att databehandling ska kunna ske med hjälp av den första datorn med kvantacceleration.
Inom området Digitalisering av offentlig service är målet för år 2030 att viktig offentlig service ska finnas tillgänglig till 100 procent på nätet, att alla i EU ska ha tillgång till sina patientjournaler på nätet och att 80 procent av alla medborgare i EU ska kunna skaffa ett digitalt id.
Programmet bygger på kommissionens meddelande Digital kom-
pass 2030: den europeiska vägen in i det digitala decenniet.37 I meddelan-
36 Europaparlamentets och rådets beslut (EU) 2022/2481 av den 14 december 2022 om inrättande av policyprogrammet för det digitala decenniet 2030. 37 COM(2021) 118 final.
det konstaterar kommissionen bl.a. att Europa måste utnyttja digitaliseringen till att genomföra ett paradigmskifte för hur medborgare, offentliga förvaltningar och demokratiska institutioner interagerar och säkerställa interoperabilitet på alla förvaltningsnivåer och för alla offentliga tjänster.38
3.3.2. Digitala rättigheter och principer
Europaparlamentet, rådet och kommissionen antog i december 2022 en interinstitutionell förklaring om digitala rättigheter och principer för det digitala decenniet.39
De digitala rättigheter och principer som beskrivs i förklaringen kompletterar befintliga rättigheter, t.ex. de som är inskrivna i EU:s stadga om de grundläggande rättigheterna och i lagstiftningen om dataskydd och integritet. Förklaringen ska hjälpa allmänheten att förstå sina digitala rättigheter och vägleda EU-länderna och företagen i arbetet med ny teknik. Syftet är att alla i EU ska få ut så mycket som möjligt av den digitala omställningen.
Rättigheterna och principerna är följande:
- Sätta människorna och deras rättigheter i centrum för den digi-
tala omställningen: Digital teknik bör skydda människors rättig-
heter, stödja demokratin och se till att alla digitala aktörer agerar ansvarsfullt och säkert. EU främjar dessa värden i hela världen.
- Bidra till solidaritet och inkludering: Tekniken bör föra oss samman, inte skapa klyftor. Alla bör ha tillgång till internet, digitala färdigheter, digitala offentliga tjänster och rättvisa arbetsvillkor.
- Säkerställa valfrihet på nätet: Människor bör kunna dra nytta av en rättvis digital miljö, vara skyddade mot olagligt och skadligt innehåll och känna sig trygga när de interagerar med ny och framväxande teknik såsom artificiell intelligens.
- Främja delaktighet i det digitala offentliga rummet: Allmänheten bör kunna delta i det demokratiska livet på alla nivåer och ha kontroll över sina personuppgifter.
38 COM(2021) 118 final, s. 12. 39 Europeisk förklaring om digitala rättigheter och principer för det digitala decenniet (2023/ C 23/01).
- Öka människors trygghet, säkerhet och egenmakt: Den digitala miljön bör vara säker och trygg. Alla, såväl barn som gamla, bör känna att de har kontroll och är skyddade.
- Främja en hållbar digital framtid: Digitala apparater bör bidra till hållbarhet och den gröna omställningen. Människor måste känna till deras miljöpåverkan och energiförbrukning.
I sin årliga lägesrapport om det digitala decenniet ska kommissionen utvärdera hur de digitala principerna följs. Kommissionen ska också göra en Eurobarometerundersökning varje år för att samla in kvalitativa uppgifter och ta reda på invånarnas syn på hur de digitala principerna tillämpas i de olika medlemsländerna.
3.3.3. En EU-strategi för data och gemensamma europeiska dataområden
EU:s datastrategi
En EU-strategi för data är ett policydokument från kommissionen.40
Syftet med datastrategin är att öka användningen av och efterfrågan på data och databaserade produkter och tjänster på den inre marknaden. Målet är att skapa ett gemensamt europeiskt dataområde, som i strategin beskrivs som ett område där både personuppgifter och ickepersonuppgifter, inklusive känsliga företagsuppgifter, är säkra och samtidigt åtkomliga för företag.
Den problembild som identifieras som utgångspunkt för datastrategin består i fragmenterad reglering av åtkomst till och användning av data, obalanserat marknadsinflytande med påverkan på konkurrensen som följd, bristande datakvalitet och interoperabilitet mellan data inom och mellan sektorer, bristande styrning av dataanvändning, bristande utbud av och efterfrågan på molnbaserad datainfrastruktur och datateknik, ökade möjligheter för enskilda personer att utöva sina rättigheter som inte fullt ut tas tillvara, brist på kompetens inom dataanalys samt utmaningar kopplade till informations- och cybersäkerhet.
40 COM(2020) 66 final.
Europeiska dataområden
De gemensamma europeiska dataområdena utvecklas ytterligare i ett arbetsdokument från kommissionen.41 Där anges bl.a. följande. Inrättandet av EU-gemensamma, interoperabla dataområden i strategiska sektorer syftar till att undanröja juridiska och tekniska hinder för datadelning genom att kombinera nödvändiga verktyg, infrastrukturer och regler. Ett EU-gemensamt dataområde samlar relevant datainfrastrukturer och styrningsramverk för att underlätta datainsamling och datadelning. Exempel på europeiska gemensamma dataområden som identifieras i kommissionens arbetsdokument är bl.a. industri (”Industrial manufacturing data space”), miljö (”Green Deal data space”), hälsa (”Health data space”) och offentlig administration (”Data spaces for public administrations”).
Det finns en rad olika åtgärder som EU kan vidta för att främja och styra inrättandet av ett dataområde, såsom olika former av finansiering och införande av lagstiftning som reglerar dataområdet. I dagsläget finns bara ett förslag till sådan reglering. Det träffar hälsodataområdet i form av ett förslag till förordning om det europeiska hälsodataområdet.42 Förslaget är just nu föremål för förhandling i rådet och i parlamentet. När det gäller övriga dataområden, kan EUregleringar tillkomma framöver.
3.4. Målen och utvecklingen föranleder behov av interoperabilitet
Givet de fastställda politiska målen i Sverige och EU samt den tekniska utvecklingen bedömer vi att den offentliga förvaltningen inte bara behöver fortsätta att utveckla sina verksamheter med hjälp av digitalisering, den behöver också gör det på ett mer effektivt sätt än i dag. Datadelning inom och från den offentliga förvaltningen är en förutsättning för att aktörerna ska kunna utföra sina uppgifter och kommer att spela en central roll för att nå de politiska målen.
Datadelning är således en förutsättning för att förvaltningen i framtiden ska bli mer innovativ, rättssäker, samverkande och effek-
41 Europeiska kommissionen, Commission Staff Working Document on Common European
Data Spaces (SWD[2022] 45 final).
42 Förslag till Europaparlamentets och rådets förordning om ett europeiskt hälsodataområde (COM[2022] 197 final).
tiv. Kvalitet, service och tillgänglighet kan höjas genom att data kan delas inom eller med den offentliga förvaltningen (se mer i kapitel 4). Interoperabilitet nämns inte i de svenska politiska målen men är en förutsättning för att målen ska kunna nås. En modern offentlig förvaltning kan t.ex. inte vara samverkande utan att vara interoperabel när den delar data. Att sträva efter interoperabilitet vid datadelning bör därför vara en självklarhet för den offentliga förvaltningen.
4. Interoperabilitet vid datadelning
4.1. Inledning
Den offentliga förvaltningen hanterar och delar dagligen stora mängder data. Data spelar en central roll i förvaltningen och är nödvändig för att kunna bedriva den dagliga verksamheten, för att kunna planera verksamheten och för att kunna fatta beslut. Data som behövs kan vara producerad i verksamheten eller hämtas eller lämnas från andra aktörer, inklusive data från enskilda. För vissa myndigheter utgör hantering av data själva kärnverksamheten, t.ex. för statistikmyndigheterna samt för myndigheter som har stora register som förser samhället med nödvändig information som Skatteverket och Bolagsverket.
I detta kapitel presenterar vi nyttor med interoperabilitet, utmaningar och hinder för interoperabilitet och exempel på lösningar för att förbättra interoperabiliteten.
4.2. Nyttor med interoperabilitet och datadelning
Datadelning leder i sig inte till att nyttor realiseras. Det är först när data som delas också kan användas som nyttor kan realiseras. Den centrala roll som data spelar i den offentliga förvaltningen innebär att tillgång till användbara data är en förutsättning för att förvaltningen ska klara av sitt uppdrag.
Syftet med att datadelningen inom och med den offentliga förvaltningen ska vara interoperabel är inte nödvändigtvis interoperabiliteten i sig. Interoperabilitet vid datadelning är i stället en nödvändig förutsättning för att kunna dela data som sedan, kan användas. Den är därför en nödvändig förutsättning för den fortsatta digitaliseringen av offentlig förvaltning, för effektiviteten hos densamma och för att uppnå nätverkseffekter. Vidare är interoperabilitet även en förutsättning för innovation och en hållbar tillväxt. Interoperabilitet kan också
bidra till tillit mellan myndigheter och andra aktörer i offentlig förvaltning, bl.a. genom ett koordinerat arbetssätt och koordinerade skyddsnivåer. Interoperabiliteten vid datadelning kan därmed leda till en höjd informationssäkerhet och ett bättre skydd av Sveriges säkerhet. I konsekvensanalysen avseende kommissionens förslag till interoperabilitetsförordning (interoperabilitetsförordningen) anges att interoperabiliteten är en nyckelförutsättning för en framgångsrik digitalisering av offentlig sektor.1 Den slutsatsen är enligt vår bedömning i högsta grad relevant även för svenska, nationella förhållanden. Det finns ett flertal rapporter som betonar värdet av ökad datadelning, även om nyttan med datadelningen är svår att kvantifiera. När det gäller kvantitativa nyttor anser OECD – mot bakgrund av ett antal studier – att ökad datadelning från offentlig förvaltning kan leda till ökade sociala och ekonomiska fördelar, de senare motsvarande 0,1 till 1,5 procent av BNP.2
Regeringen konstaterar i strategin Data – en underutnyttjad resurs
för Sverige – att god tillgång till data är en allt viktigare förutsättning
för innovation, hållbar tillväxt, och minskad resursåtgång.3 I samma strategi framförs som mål att statliga myndigheter och statliga företag år 2023 ska ha en god förmåga att dela data på ett både öppet och kontrollerat sätt.
Att uppnå interoperabilitet vid datadelning inom och med offentlig förvaltning är mer konkret av avgörande betydelse för samhällets förmåga att hantera komplexa samhällsutmaningar som ofta kräver sektorsöverskridande datadelning. En effektiv datadelning mellan myndigheter och andra aktörer – även mellan olika sektorer eller områden – är av avgörande betydelse för att kunna möta nuvarande och kommande kriser såsom pandemier, klimathot, gängbrottslighet och i beredskapssituationer. Interoperabilitet för en effektiv datadelning handlar också om att klara samhällets välfärdsuppdrag, som att effektivisera och förbättra myndigheters kärnverksamheter och motarbeta bidragsbrottslighet. Det handlar även om att lösa samhällets kompetensförsörjning, liksom att effektivisera och förenkla medborgarnas möte med den offentliga förvaltningen, att möjliggöra en kunskapsbaserad förvaltning, samt uppnå regeringens digitaliseringsmål.
1 Europeiska kommissionen, Impact Assessment Report (SWD[2022] 721 final). 2 OECD Digital Economy Outlook 2020, s. 138–139. 3 Regeringen, Data – en underutnyttjad resurs för Sverige: En strategi för ökad tillgång av data för
bl.a. artificiell intelligens och digital innovation (I2021/02739), 20 oktober 2021, s. 1.
En datamängd kan givetvis analyseras enskilt. Genom att kombinera datamängder kan emellertid analysmöjligheterna öka.
Den offentliga förvaltningen står för en viktig del av produktionen av de datamängder som det digitala samhället bygger på.4 Enligt skäl 13 i öppna datadirektivets5 ingress utgör information från den offentliga sektorn eller information som samlas in, framställs, reproduceras och sprids inom ramen för en offentlig verksamhet eller en tjänst av allmänt intresse, ett betydelsefullt utgångsmaterial för produkter och tjänster med digitalt innehåll. Det framgår vidare att informationen kommer att bli en ännu viktigare innehållsresurs genom utvecklingen av avancerad digital teknik såsom artificiell intelligens, distribuerad databasteknik och sakernas internet.
Det finns således många goda skäl till att data behöver delas. Vi beskriver nedan de mest angelägna samhällsområden som vi har identifierat, där förbättrad interoperabilitet skulle leda till den ökade datadelning som krävs för att förvaltningen ska kunna möta nutida och framtida samhällsutmaningar på ett effektivt sätt.
4.2.1. Förmåga att möta kommande kriser
Framtida kriser kan inte förutses. Men det kan förutses att data behövs när kriser uppstår. Genom standardiserade sätt för att utbyta data kan den offentliga förvaltningen enkelt och snabbt dela data när behov uppstår. Att datadelningen är standardiserad är således en förutsättning för att hantera plötsligt uppkomna kriser som exempelvis krig, skogsbränder och pandemier.
Det betyder i sin tur att interoperabilitet är nödvändigt för att kunna agera tillsammans i ett krisläge.6 Ett tydligt exempel på detta finns inom totalförsvaret. Totalförsvaret är indelat i militär verksamhet (militärt försvar) och civil verksamhet (civilt försvar) som bedrivs av bl.a. statliga myndigheter, kommuner, regioner, näringsliv och frivilliga försvarsorganisationer.7 Det är således många myndigheter och andra aktörer som behöver arbeta tillsammans. Inom ramen för totalförsvaret används en mängd olika system som måste kunna kom-
4 Dir. 2022:118, s. 4. 5 Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn. 6Prop. 2020/21:30 s. 76. 7 https://www.fhs.se/utbildning/vara-amnen-och-omraden/totalforsvar.html (hämtad 2023-10-04).
municera med och förstå varandra. Systemen måste kunna dela stora mängder data, även i realtid. Det kan också uppstå behov inom totalförsvaret att snabbt kunna ta del av nya kategorier data för att kunna agera effektivt i ett krisläge.8
Behov av nya datadelningar kan uppstå snabbt i en krissituation. Som ett nyligt exempel ska nämnas covid-19-pandemin. Coronakommissionen pekade i sina betänkanden på betydelsen av data med hög kvalitet. Kommissionen pekade också på att detaljerade uppgifter med kort eftersläpning, t.ex. om hälsoläget eller det ekonomiska läget i olika delar av samhället, är en nödvändig förutsättning för att övervaka en kris medan den pågår samt för att kunna besluta om ändamålsenliga åtgärder i krishanteringen, dvs. att ”fatta rätt beslut vid rätt tillfälle”.9 Enligt uppgift kunde det under pandemin krävas dagliga telefonsamtal till varje region, och ibland till varje sjukhus i en region, för att få aktuella siffror över hur många patienter som var inlagda och hade konstaterad covid totalt i landet. Det kan jämföras med Norge, där dessa uppgifter delades via API.
Att data är en förutsättning för att klara framtida pandemier har uttryckts också av Folkhälsomyndigheten. Folkhälsomyndigheten beskriver att bättre tillgänglighet till korrekta hälsodata krävs för att styra åtgärder rätt, och att samverkan kring hälsodata behöver intensifieras: datainhämtning behöver bli snabbare, vara automatiserad och mer detaljerad. Därutöver har data som samlats in om hanteringen av pandemin kunnat visa vilka effekter som åtgärder som vidtogs hade på bl.a. elever i grundskolor, och bostadsområden med hög befolkningstäthet.10 Vår uppfattning är att snabb tillgång till data från olika källor och sektorer som kan sambearbetas är en förutsättning för att kunna hantera framtida pandemier och läsa av tidigare kriser.
Ett tydligt behov av sektorsöverskridande interoperabilitet uppstod vid covid-19-krisen när Statens Veterinärmedicinska anstalt (SVA) fick i tillfälligt uppdrag av regeringen att använda sina analysmetoder för att bistå i arbetet diagnostik av covid-19-viruset inom ramen för pandemibekämpningen. När SVA skulle dela resultatet av sina analyser med regionerna fanns det inga inarbetade sätt att dela data med
8 Begreppet interoperabilitet har en mer omfattande innebörd för totalförsvaret än den definition som vi använder. Inom totalförsvaret innefattas t.ex. förmågan att kunna öva och agera tillsammans i skarpt läge med även metodmässig och teknisk interoperabilitet. Prop. 2020/21:30 s. 109. 9Sverige under pandemin (SOU 2022:10), s. 679 och 680. 10 Folkhälsomyndighetens generaldirektör Karin Tegmark Wisell, Så måste Sverige rusta inför nästa pandemi, DN Debatt, 13 maj 2023.
humansjukvården på, och de olika regionerna använde sig av olika system som krävde särskilda anpassningar för att kunna dela data som behövde delas, samtidigt som det var brådskande.11 Det ledde till att det tog längre tid att genomföra uppdraget och det kan antas att kostnaderna för datadelning hade blivit lägre om det inte hade krävts särskilda anpassningar för olika slags system.
När en stor kris uppstår behöver många åtgärder vidtas snabbt. Covid-19-pandemin och de stora skogsbränderna under senare år är tydliga exempel på sådana kriser. Sådana skogsbränder kräver att många människor snabbt evakueras, i vissa fall till andra kommuner eller regioner än där de är bosatta. Invånarna behöver både sjukvård, matleveranser och stöd i form av pengar. För att kunna hantera sådana kriser på bästa sätt behöver myndigheterna ha tillgång till information om personerna, om var de befinner sig och om vägar, bebyggelse, skog och områdets geografi, vilket i dagsläget inte fungerar tillräckligt bra.12 För att krishanteringen ska fungera bättre krävs att myndigheterna snabbt och säkert kan utbyta de data som behövs för att kunna hantera krisen. Myndigheternas it-system måste kunna utbyta data. Enkel och interoperabel tillgång till den data som behövs saknas emellertid i dag. Enligt vår bedömning försämrar detta Sveriges beredskap vid allvarliga kriser.
MSB konstaterar i en rapport om brandsommaren 2018 att bekämpning av skogsbränder kräver situationsmedvetenhet vilket i sin tur förutsätter bl.a. geodata av hög kvalitet. Skogsbrukets ”skogskartor” är enligt MSB oundgängliga eftersom de ger både topografisk information och information om bränslesituationen i grova drag med ett färskt ortofoto13 som bakgrund. Myndigheten menade samtidigt att det när rapporten skrevs inte fanns någon mekanism för att snabbt ge räddningstjänsterna tillgång till dessa kartor.14 Brist på tillgång till kartor var även ett problem under skogsbränderna i Värmland 2014. Ett problemområde för polisen var bristen på heltäckande kartor.15
11 Enligt underlag till utredningen från SVA. 12 Åke Grönlund m.fl., Här är den svaga punkten för Sveriges beredskap, DN Debatt, 11 april 2023. 13 Skalriktiga flygbilder. 14 Myndigheten för samhällsskydd och beredskap, Brandsommaren 2018 – Vad hände, och varför? s. 146–147. 15 Crismart, Bara skog som brinner? Utvärdering av krishanteringen under skogsbranden i Väst-
manland 2014, s. 89.
Ytterligare ett exempel på brister vid datadelning uppstod under utbrottet av svinpest bland vildsvin under hösten 2023. Vid utbrottet fanns inte några inarbetade tekniska kanaler för rapportering mellan de involverade aktörerna som deltog i bekämpningen. I det tidiga skedet skedde kommunikationen enbart skriftligt via e-post eller muntligt via telefon. För att kunna dela data främst med Jordbruksverket, Länsstyrelsen och jägarna skapade SVA helt nya system. För att utveckla system behövde myndigheten själv utveckla system för hur informationen skulle samlas in och sammanställas för att användas i vidare rapporter och lägesbilder. Slutresultatet upplevs som väldigt bra, men bygger på att system för insamlande, sammanställning och delning eller överföring har utvecklats under pågående händelse.16
4.2.2. Förmåga att hantera komplexa, sektorsövergripande samhällsutmaningar
Sverige står inför en rad komplexa samhällsutmaningar som kräver sektorsövergripande datadelning, som exempelvis brottslighet, klimatförändringar och förändringar på arbetsmarknaden. Förmågan att dela data behöver därvid ses ur ett bredare perspektiv än bara förmågan att kunna dela data inom sektorer. Data behöver kunna delas mellan aktörer inom offentlig förvaltning oaktat vilken sektor en aktör tillhör. Det är därför viktigt att standardisering av datadelning sker på nationell nivå där den måste vara gemensam.
Datadelning har stor betydelse för att förbättra möjligheterna till brottsbekämpning och brottsförebyggande arbete. Analyser av data kan exempelvis bidra till att bedöma risker i syfte att sätta in insatser eller vidta åtgärder där de gör mest nytta. Ökad tillgång till data kan även bidra till att misstänkta brott upptäcks17 samt förbättra förutsättningarna för att utreda brott. Det finns emellertid hinder mot ett effektivt informationsutbyte på detta område.
I delbetänkandet Stärkt arbete med att bekämpa bidragsbrott –
Administrativt sanktionssystem och effektivare hantering av misstänkta brott (SOU 2022:37) redovisas bl.a. flera statliga myndigheters och
kommuners upplevelser avseende möjligheter att motverka felaktiga utbetalningar. Sammanfattningsvis menar många myndigheter att ett ökat informationsutbyte skulle effektivisera arbetet. Det konstateras
16 Enligt underlag till utredningen från SVA. 17 Se t.ex. skälen för inrättandet av Utbetalningsmyndigheten (prop. 2022/23:34).
också att det kan vara tillåtet för en beslutande myndighet att via direktåtkomst inhämta vissa uppgifter från en annan myndighet, men att det ibland saknas it-stöd som möjliggör en sådan överföring.18 I vissa fall finns dessutom rättsliga hinder mot informationsutbyte, exempelvis på grund av sekretess eller dataskyddsbestämmelser.
I en rapport om informationsutbyte mellan myndigheter, kommuner och arbetslöshetskassor angående utbetalningar från välfärdssystemen, anges att det på flera håll finns ytterligare behov av tekniska lösningar som möjliggör elektroniskt utbyte av uppgifter i större utsträckning än vad som sker i dag.19 Det anges också att avsaknad av digitala lösningar mellan vissa av de berörda aktörerna innebär att uppgifter inte delas trots att det är förenligt med gällande rätt. Vidare konstateras att det fortfarande finns hinder som beror på myndigheternas, kommunernas och arbetslöshetskassornas digitala infrastrukturer.20
Ett exempel från ett annat område – väderdata – belyser hur kombinerandet av olika datamängder kan öka nyttan av datadelning. Data om väder kan användas inom olika sektorer och för olika ändamål, som sjöfart och jordbruk, där data kan användas för bl.a. planering. När det går att kombinera väderdata med jordbruksdata, möjliggörs dock även analyser av hur vädret påverkar skörden och när det är bäst att så och skörda. Rymdstyrelsen menar att data som avser jordbruk även kan användas för att analysera förändringar på kalfjället eller i öppet hav.21
Ett annat exempel på nyttan med att kombinera data från olika sektorer rör s.k. livslångt lärande.22 Sju statliga myndigheter23 som tillsammans arbetat med ett regeringsuppdrag om livslångt lärande, har konstaterat att digitaliseringen ger stora möjligheter att skapa skräddarsydda tjänster för matchning, utbildning, vägledning och prognoser.24 När tjänster byggs utifrån ett livslångt lärande-perspektiv kan
18 Stärkt arbete med att bekämpa bidragsbrott – Administrativt sanktionssystem och effektivare
hantering av misstänkta brott (SOU 2022:37), s. 320.
19Utökat informationsutbyte (Ds 2022:13), s. 173–174. 20Utökat informationsutbyte (Ds 2022:13), s. 173–174. 21 Swedish Space Data Lab, Nationellt rymddatalabb – för planetens bästa, s. 2. 22 Begreppet livslångt lärande används för att beskriva individers möjligheter att upprätthålla och utveckla de kunskaper och färdigheter som behövs under hela arbetslivet, särskilt mot bakgrund av en föränderlig arbetsmarknad som präglas av strukturomvandling och teknisk utveckling. Se Riksrevisionens rapport Det livslånga lärandet inom högre utbildning (RIR 2016:15). 23 Arbetsförmedlingen, Myndigheten för digital förvaltning, Myndigheten för yrkeshögskolan, Skolverket, Statistiska centralbyrån, Universitets- och högskolerådet, Verket för innovationssystem (Vinnova). 24 Arbetsförmedlingen, Uppdrag att utveckla en sammanhållen datainfrastruktur för kompetensförsörjning och livslångt lärande, s. 18.
data behövas från många olika myndigheter och organisationer. En tjänst för enskilda personer kan t.ex. behöva hämta data från skolor och andra utbildningsinstitut samt från personens arbetsgivare. De sju myndigheterna har emellertid även konstaterat att de flesta tjänster i dag byggs i egna, separata system med egna data, eget språk och låsta tekniska strukturer vilket leder till att utvecklingen sker i stuprör där allt från utbud till kompetensdata hamnar i informationssilos och inte delas.25 Bättre förutsättningar för datadelning skulle kunna bidra till att stärka individers ställning på arbetsmarknaden, samtidigt som privat och offentlig sektors kompetensbehov tillgodoses.26Annorlunda uttryckt försvåras sannolikt regeringens och myndigheternas insatser för att få ner arbetslösheten av bristande interoperabilitet inom området.
Aktuella data av god kvalitet behövs även för ett effektivt och ändamålsenligt arbete med klimatomställning. Klimatkommunerna27har t.ex. uppmanat regeringen och dess myndigheter att göra en ordentlig satsning för att se till att kommunerna via Sveriges Dataportal, dataportal.se får tillgång till tillförlitlig, aktuell och heltäckande energi- och klimatstatistik att använda i sitt omställningsarbete.28
Den statliga myndigheten Tillväxtanalys har konstaterat att tillgång till data och standardiserade metoder även är avgörande för att finansmarknadens aktörer ska kunna utvärdera portföljens29 klimatexponering och mäta hur de investerande företagen arbetar med sina hållbarhetsmål.30
4.2.3. Effektivisera och förenkla medborgares möte med den offentliga förvaltningen
Ett viktigt skäl för ökad datadelning är att medborgarnas förväntningar på den offentliga förvaltningen ökar och att delning av data krävs för att förvaltningen ska kunna svara upp mot dessa förvänt-
25 Arbetsförmedlingen, Uppdrag att utveckla en sammanhållen datainfrastruktur för kompetens-
försörjning och livslångt lärande, s. 18.
26 Se bl.a. regeringsuppdrag att utveckla en sammanhållen datainfrastruktur för kompetensförsörjning och livslångt lärande, N2021/01915. 27 En förening för kommuner och regioner som jobbar aktivt med lokalt klimatarbete, https://klimatkommunerna.se/om-oss/ (hämtad 2023-09-14). 28 https://www.aktuellhallbarhet.se/alla-nyheter/debatt/brist-pa-klimatdata-forsvararkommunernas-klimatarbete--har-ar-vara-forslag/ (hämtad 2023-09-12). 29 Med portfölj avses här samlade tillgångar av t.ex. aktier och andra värdepapper. 30 Tillväxtanalys, Näringslivets klimatomställning (PM 2022:10), s. 92.
ningar. Som exempel utvecklar och tillhandahåller offentlig förvaltning e-tjänster som medborgare kan använda, på webbplatser eller i applikationer. Inte sällan förbättras användarupplevelsen av sådana tjänster om data som används i tjänsten kan hämtas från olika aktörer, så att den enskilde inte själv behöver fylla i uppgifter. Därtill bör enskilda som tillhandahåller data till den offentliga förvaltningen kunna göra detta på ett enkelt och standardiserat vis. En annan förväntan på den offentliga förvaltningen är att samma data inte ska behöva lämnas flera gånger av en enskild, som beskrivs i avsnittet ovan om minskat uppgiftslämnande.
Vår utredning tar inte sikte på tillhandahållande av e-tjänster och liknande till enskilda. Vi menar emellertid att interoperabitet vid datadelning är en förutsättning för att den offentliga förvaltningen på sikt ska kunna tillhandahålla sådana tjänster som förenklar medborgares kontakt med dem.
Genom ökad interoperabilitet vid datadelning kan existerande tjänster förbättras och nya tjänster utvecklas som kan underlätta medborgarnas vardag, särskilt ur ett livshändelseperspektiv. Olika händelser i livet kan aktualisera att data från olika myndigheter i olika sektorer inom förvaltningen måste användas. Om dessa kan dela data mellan sig finns möjligheter att underlätta för medborgaren som inte själv behöver överlämna uppgifter till respektive myndighet.
Om det exempelvis fanns en tjänst för medborgaren att kommunicera med hela förvaltningen skulle vardagen förenklas. En tjänst som gjorde det möjligt för medborgaren att samlat ta emot information från hela den offentliga förvaltningen, t.ex. tider för vårdbesök, recept för läkemedel och olika beslut eller intyg, skulle ge medborgaren en samlad bild över kontakterna med förvaltningen och spara tid. En förutsättning för en sådan tjänst är dock att data som visas i tjänsten kan delas på ett interoperabelt sätt till tjänsten, och att data är strukturerad på ett sådant sätt att den enkelt kan visas och användas i applikationen.
Det finns goda exempel på den här typen av medborgartjänster i andra länder. Ett exempel är appen Diia i Ukraina (som vi beskriver närmare i kapitel 8). Över 70 offentliga tjänster är tillgängliga genom appen och medborgarna får tillgång till bl.a. digitala handlingar såsom id-kort och körkort.31 I Norge finns Norge.no och Altinn (se kapitel 8). I Sverige finns Verksamt, som samlar kommunikationen
31 https://diia.gov.ua/ (hämtad 2023-12-04).
mellan företag och myndigheter. Ett annat svenskt exempel är tjänsten minPension som samlar information från staten och pensionsbolagen om enskilda medborgarens pension och visar den samlat.32Ytterligare exempel, som visserligen inte omfattar den offentliga förvaltningen men som illustrerar vad som är möjligt, är att bankkunder i en bankapp också kan se sina konton hos andra banker.
Inom Ena, den digitala infrastruktur som har etablerats under ledning av Myndigheten för digital förvaltning (Digg), finns byggblock som förbättrar förutsättningarna för förvaltningen att samlat kommunicera med medborgarna, exempelvis byggblocket API-hantering och byggblocket Mina ärenden. Mina ärenden är ett sätt att standardisera hur ärendeåterkoppling kan fungera och syftar till att förbättra det digitala mötet med det offentliga för privatpersoner och företag.33Sedan tidigare finns också den väletablerade tjänsten Mina meddelanden (Digital post) som tillhandahålls av Digg, som gör det möjligt för myndigheter att skicka digital post till medborgares digitala brevlådor. Mina meddelanden hanterar i dagsläget enbart envägskommunikation från myndigheter.
En samlad tjänst eller en app för medborgare kan, utöver att visa information från förvaltningen, också underlätta kontakter som initieras av medborgare. Som exempel kan nämnas när en skolelev blir sjuk och inte kan gå till skolan. Vårdnadshavaren behöver meddela detta till skolan och Försäkringskassan, för det fall hen behöver vårda barnen samt ansöka om tillfällig föräldrapenning. Det kan också krävas kontakter med hälso- och sjukvården. Det handlar om att lämna samma uppgift till flera myndigheter eller andra aktörer inom skilda sektorer eller områden. I en sådan situation, för att omhänderta behovet hos vårdnadshavaren och skoleleven, måste det finnas interoperabilitet över sektorer, eftersom databehovet i en sådan app eller tjänst inte är begränsat till enbart en sektor.
Förvaltningsgemensam interoperabilitet skulle även förbättra möjligheterna till ökad automatisering, där en samlad tjänst för medborgare kan vara navet utifrån medborgarens perspektiv. Om olika myndigheters system (eller tjänster) kommunicerar med varandra så behöver medborgaren bara använda en tjänst eller app. I exemplet med den sjuka skoleleven skulle det räcka med att vårdnadshavaren
32 Verksamheten drivs och finansieras till hälften av staten, till hälften av pensionsbolagen, https://www.minpension.se/om-minpension (hämtad 2023-09-06). 33 https://www.skatteverket.se/omoss/samverkan/offentligaaktorer/minaarenden.4.339cd9fe 17d1714c07787cb.html (hämtad 2023-09-06).
genom tjänsten meddelar att eleven är sjuk. Elevens skola får information och vårdnadshavaren får frågan om hen också vill ansöka om tillfällig föräldrapenning samt boka tid för vårdbesök. Om de inblandade myndigheterna behöver kompletterande uppgifter som en annan myndighet har kan de dela uppgifterna mellan sig. I vissa fall kan datadelningen vara förenad med ett samtycke från vårdnadshavaren som den lämnar genom den samlade tjänsten.
För att vara praktiskt möjlig att utveckla och vara hanterbar krävs interoperabilitet mellan framför allt myndigheter men även vissa privata aktörer. Myndigheterna måste t.ex. utgå från samma tekniska och semantiska specifikationer. Det kan i teorin vara möjligt att bygga en sådan tjänst utifrån dagens förutsättningar men eftersom tekniken och semantiken skiljer sig åt inom förvaltningen skulle det krävas omfattande utvecklingsinsatser. Tjänsten skulle behöva hantera ett brett spektrum av tekniska förutsättningar, och en stor mängd begrepp skulle behöva beskrivas eller definieras. Behovet av sådana åtgärder minskar betydligt om förvaltningen utgår från förvaltningsgemensamma specifikationer.
De rättsliga förutsättningarna för en samlad tjänst för medborgare behöver självfallet utredas vidare. Det kan emellertid konstateras att det inom den offentliga förvaltningen redan i dag finns s.k. egna utrymmen34 där myndigheter erbjuder olika typer av tjänster för medborgare. Det finns således inom förvaltningen redan erfarenhet av att även ur ett rättsligt perspektiv utveckla tjänster utifrån användarens behov. Det rör sig i dag dock om olika tjänster som kräver separat inloggning och åtkomst.
4.2.4. Effektivisera kärnverksamheterna i offentlig förvaltning
Den offentliga förvaltningen behöver dela data för att utföra sina uppgifter inom kärnverksamheterna. Det handlar bl.a. om att dela data inom ramen för ärendehandläggning och vid samverkan. Genom att standardisera hur data utbyts förenklas arbetet inom kärnverksamheterna och mindre fokus behöver läggas på kostsamma processer att etablera nya metoder för datadelning eller på manuell hantering av data. Kostnadsbesparingar kan bl.a. bestå i att manuell överföring
34 Eget utrymme kan beskrivas som ett skyddat förvar som tillhandahålls elektroniskt endast som led i teknisk bearbetning eller teknisk lagring för användarens räkning.
av uppgifter eller manuell insamling av uppgifter som redan finns i olika system inte längre behövs och genom automatisering av datadelning kan man undvika de kostnader som manuell hantering medför.
Handläggningen av ekonomiskt bistånd är ofta helt beroende av att kommunen kan få uppgifter från olika myndigheter såsom Försäkringskassan, Arbetsförmedlingen och Skatteverket. I dagsläget försvåras handläggningen både av sekretessbestämmelser och svårigheten att få del av uppgifter på ett enkelt sätt.35 Många kommuner har i dag ingen särskild automatiserad eller organiserad kontroll med inriktning på att hitta felaktiga utbetalningar och misstänkta bidragsbrott.36
I dag baseras den officiella statistiken på skolområdet helt på manuell datainsamling, där myndigheter och andra aktörer skickar in efterfrågade uppgifter till Statistiska centralbyrån (SCB) som filer. Filerna är uttagna från aktörernas datasystem eller manuellt ifyllda. Uppgifterna i sig håller en hög kvalitet enligt SCB men uppgiftslämnarbördan är betungande. SCB arbetar med att utreda förutsättningarna för att hämta in sådana uppgifter direkt från de skoladministrativa systemen i syfte att minska uppgiftslämnarbördan.37
Inom ramen för att förbättra kärnverksamheterna inom offentlig förvaltning ska också nämnas förmågan till ökad insyn, minskat uppgiftslämnande och automatisering samt användning av ny teknik.
Ökad insyn
Ökad tillgång till data ökar förutsättningarna för insyn i den offentliga förvaltningens verksamheter. Data är information som kan visa hur myndigheter agerar. Det kan bl.a. visa vilka beslut som fattas och på vilka grunder i olika delar av landet, eller hur förvaltningen använder sina medel. I Sverige omfattas den offentliga förvaltningen sedan länge av handlingsoffentligheten vilket bidrar till medborgarnas möjligheter till insyn. Genom att öka informationsspridningen med hjälp av datadelning, det vill säga att information tillgängliggörs i digitala format, kan transparensen och möjligheterna att analysera
35 Stärkt arbete med att bekämpa bidragsbrott Administrativt sanktionssystem och effektivare han-
tering av misstänkta brott (SOU 2022:37), s. 226.
36 Stärkt arbete med att bekämpa bidragsbrott Administrativt sanktionssystem och effektivare han-
tering av misstänkta brott (SOU 2022:37), s. 224.
37 Enligt underlag från SCB. Se även regeringsbeslut, Utbildningsdepartementet, Ändring av
regleringsbrev för budgetåret 2023 avseende anslag 4:4 inom utgiftsområde 16 Utbildning och universitetsforskning, 2923-05-04, U2023/01545.
hur förvaltningen utför sitt uppdrag öka ytterligare. Genom bättre insyn för bl.a. media kan förtroendet hos allmänheten öka och behov av förbättringar i myndigheternas arbete identifieras.
Minskat uppgiftslämnande och hämta från bästa källan
Genom att hämta data direkt från den bästa källan sparas både tid och resurser. Det innebär att den bästa källan måste kunna dela data under sådana förutsättningar att hela förvaltningen kan ta del av den när den behövs. Förbättrade möjligheter att hämta data från bästa källan är viktigt för att kunna effektivisera förvaltningens arbete och ge enskilda bättre service. Enskilda myndigheter behöver då inte bygga upp eller förvalta egna databaser över sådan data som de enkelt kan hämta direkt från andra.
Ökad datadelning mellan myndigheter inom förvaltningen kan även realisera principen om att en uppgift endast ska behöva lämnas en gång (”once only principle”).38 På så sätt kan behovet av att medborgare, företag – och i vissa fall andra myndigheter – behöver lämna samma uppgift flera gånger minska. Om en viss uppgift, om t.ex. ett företag, en gång har lämnats till en myndighet inom förvaltningen ska uppgiften enligt denna princip inte behöva lämnas till den offentliga förvaltningen igen. De myndigheter som behöver uppgiften hämtar den i stället från källan, vilket också leder till att data av hög kvalitet används. Principen kommer exempelvis till uttryck i förordningen (2018:1264) om digitalt inhämtande av uppgifter från företag, där det föreskrivs att de statliga myndigheter som omfattas så långt det är möjligt ska använda sådana uppgifter om företag som finns tillgängliga inom statsförvaltningen så att företag inte behöver lämna samma uppgifter flera gånger.39 En rekommendation i det svenska ramverket för digital samverkan är att privatpersoner och företag, så långt som möjligt, enbart ska behöva lämna en uppgift en gång till myndigheter.40
I regeringsuppdraget om Säker och effektiv tillgång till grunddata identifierade myndigheterna i uppdraget att det förekommer att myn-
38 The Once only principle framgår också av Tallindeklarationen som Sverige har anslutit sig till, se Tallindeklarationen om e-förvaltning av den 6 oktober 2017 på www.eu2017.ee/news/insights/tallinn-declaration-egovernment-ministerial-meetingduringestonian-presidency. 39 4 § förordning om digitalt inhämtande av uppgifter från företag. 40 Myndigheten för digital förvaltning, Svenskt ramverk för digital samverkan 1.3, s. 31.
digheter som behöver hämta uppgifter från en annan myndighet inte sällan köper data via marknadstjänster i stället för att hämta direkt från den myndighet som tillhandahåller data. Sådana parallella strukturer driver kostnader i olika former och riskerar sämre kvalitet på data, än om det skulle hämtas från källan.41
När det handlar om att dela uppgifter mellan myndigheter måste dock sekretessregelverket och reglerna om skydd för personuppgifter beaktas. Sekretess gäller som huvudregel mellan myndigheter men det finns ett stort antal uppgiftsskyldigheter och sekretessbrytande bestämmelser.42
Automatisering och användning av ny teknik
Myndigheter kan med stöd av förvaltningslagen (2017:900)43 respektive kommunallagen (2017:725)44 fatta vissa beslut automatiserat. Automatiserat beslutsfattande kan beskrivas som när en hel ärendeprocess har automatiserats, så att beslut kan fattas av ett it-system utan att en handläggare tittar på ärendet.45 Automatiserat beslutsfattande kan bidra till bl.a. effektivisering och kostnadsbesparingar. En förutsättning för att kunna fatta beslut automatiserat är emellertid att myndigheten har tillgång till relevanta data och data av hög kvalitet samt ändamålsenliga system. Kraven på handläggningen av ett ärende är således inte lägre ställda vid automatiserat beslutsfattande än vid manuellt beslutsfattande. Om tillgången till data inom den offentliga förvaltningen ökar kan fler ärenden än i dag bli föremål för automatiserat beslutsfattande. Artificiell intelligens (AI) kan bl.a. användas för att sortera stora mängder information och göra analyser. Välfungerande och säkra AI-modeller kräver stora mängder data av hög kvalitet för att kunna tränas, något ökad tillgång till data genom datadelning kan bidra till. Ökad delning av data som håller hög kvalitet kan således leda till mer ändamålsenliga AI-modeller som i sin
41 Bolagsverket, Myndigheten för Digital förvaltning, Lantmäteriet, Skatteverket, Uppdrag om
säker och effektiv tillgång till grunddata Slutrapport för regeringsuppdragen Fi2018/02149/DF, Fi2018/03036/DF och I2019/01060/DF, s. 18.
428 kap. 1 § offentlighets- och sekretesslagen (2009:400). För uppgiftsskyldigheter se t.ex. 2 och 3 §§ förordningen (1980:995) om skyldighet för Försäkringskassan och Pensionsmyndigheten att lämna uppgifter till andra myndigheter. 4328 § förvaltningslagen. 446 kap. 37 § kommunallagen. 45 Riksrevisionen, Automatiserat beslutsfattande i statsförvaltningen – effektivt, men kontroll och
uppföljning brister (RIR 2020:22), s. 22.
tur kan stödja förvaltningen i att bli mer effektiv och mer träffsäker i sina analyser och bedömningar.
Det är sannolikt att AI kommer att kunna användas alltmer inom offentlig förvaltning. Som ett exempel på att regeringen vill se ökad användning av AI i den offentliga förvaltningen kan nämnas att Digg tillsammans med flera andra myndigheter har haft ett regeringsuppdrag om att främja offentlig förvaltnings förmåga att använda artificiell intelligens.46 Myndigheterna konstaterade att vikten av god datakvalitet och tillgång till data är en förutsättning för att lyckas med AI-initiativ.47 Digg, E-hälsomyndigheten och Socialstyrelsen fick under hösten 2023 ett regeringsuppdrag att genomföra kompetenshöjande insatser till kommuner för AI i socialtjänsten.48
Inom EU pågår för närvarande förhandlingar om den kommande AI-förordningen som reglerar bl.a. hur AI får användas. Förordningen kommer att omfatta även den offentliga förvaltningens användning av AI.49
4.2.5. Möjliggöra kunskapsbaserad förvaltning
Att dela data handlar i strikt mening om att dela information och kunskap. En myndighet som ska fatta ett beslut bör basera beslutet på aktuella data av hög kvalitet. Data kan emellertid vara inaktuell på grund av att det tar lång tid att samla in den. Ett exempel på detta är statistik avseende utsläpp och upptag av växthusgaser. Sådan statistik publiceras av Naturvårdsverket i november eller december året efter det sista året i referensperioden, vilket innebär att framställningstiden är omkring elva månader.50 När den nationella utsläppsstatistiken nått fram till andra kvartalet 2022, har siffrorna för år 2020 just kommit från kommunerna till Naturvårdsverket.51 Eftersläpningen kan försena viktiga analyser och snabba insatser inom området. Den primära orsaken till eftersläpningen är enligt uppgift till utredningen
46 Uppdrag att främja offentlig förvaltnings förmåga att använda artificiell intelligens, I2021/01825. 47 Delrapport i regeringsuppdraget I2019/01416/DF || I2019/01020/DF (delvis). 48 Uppdrag att stödja kommunernas användning av artificiell intelligens inom socialtjänsten, Diarienummer: Fi2023/02301. 49 Kommissionens förslag till Europaparlamentets och rådets förordning om harmoniserade regler för artificiell intelligens (rättsakter om artificiell intelligens) och om ändring av vissa unionslagstiftningsakter (COM[2021] 206 final). 50 Naturvårdsverket, Kvalitetsdeklaration Utsläpp och upptag av växthusgaser, 29 november 2022, s. 18. 51 https://www.aktuellhallbarhet.se/alla-nyheter/debatt/med-battre-klimatdata-kan-viaccelerera-klimatomstallningen/ (hämtad 2023-09-12).
att data som rapporteras inte är strukturerad och kräver mycket manuellt efterarbete.
Att data behöver vara aktuell och av hög kvalitet för att kunna användas framhölls också av de myndigheter som deltog i regeringsuppdraget Säker och effektiv tillgång till grunddata.52
4.2.6. Möjliggöra ökat vidareutnyttjande av data från den offentliga förvaltningen
EU:s reglering om vidareutnyttjande av data från den offentliga sektorn i öppna data-direktivet53 och dataförvaltningsförordningen54 syftar till att främja vidareanvändningen av data. Härmed menas användandet av data för andra ändamål än dem för vilka data ursprungligen togs fram. Den bärande tanken med EU-regleringarna är att data som produceras inom offentlig sektor ska komma till nytta även utanför den offentliga sektorn. Data kan då användas för nya produkter och tjänster samt för innovation och utveckling av AI. För detta syfte behöver den data som tillgängliggörs för vidareutnyttjande vara interoperabel. Dataförvaltningsförordningen är direkt tillämplig så som lag i Sverige och öppna data-direktivet har implementerats i svensk rätt genom lagen (2022:818) om den offentliga sektorns tillgängliggörande av data (öppna datalagen).
4.2.7. Möjliggöra regeringens uppsatta mål med digitaliseringen
Sverige har sedan lång tid tillbaka haft som ambition att vara bäst i världen på att använda digitaliseringens möjligheter.55 Regeringens mål för digitaliseringen av den offentliga förvaltningen är en enklare vardag för medborgare, en öppnare förvaltning som stöder innovation och delaktighet samt högre kvalitet och effektivitet i verksamheten.56
52 Bolagsverket, Myndigheten för Digital förvaltning, Lantmäteriet, Skatteverket, Uppdrag om
säker och effektiv tillgång till grunddata Slutrapport för regeringsuppdragen Fi2018/02149/DF, Fi2018/03036/DF och I2019/01060/DF.
53 Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (omarbetning). 54 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten). 55Prop. 2011/12:1, Utgiftsområde 22, bet. 2011/12:TU1, rskr. 2011/12:87. 56 https://www.regeringen.se/regeringens-politik/digitaliseringspolitik/mal-fordigitaliseringspolitik/ (hämtad 2023-11-28).
Därtill finns det förvaltningspolitiska målet och EU:s ambitioner (se kapitel 3). Bakom dessa mål och ambitioner ligger datadelningens möjligheter att bidra till lösningar på vår tids stora samhällsutmaningar och ödesfrågor inom klimat, brottsbekämpning, säkerhet, demokratiutveckling samt transparens i förvaltningen.
Datadelning inom och med den offentliga förvaltningen spelar en central roll i att leva upp till målen för digitaliseringen av den offentliga förvaltningen. Utredningens bedömning är att målen med digitaliseringen för offentlig förvaltning inte kan nås utan bättre förutsättningar än i dag för interoperabilitet vid datadelning. Utan en tillräckligt hög grad av interoperabilitet kommer det inte vara möjligt att realisera datadelningens nyttor. I konsekvensanalysen till kommissionens förslag till interoperabilitetsförordning anges att interoperabiliteten är en nyckelförutsättning för en framgångsrik digitalisering av offentlig sektor.57 Det gäller enligt vår uppfattning även för svenska, nationella förhållanden.
4.3. Utmaningar och hinder för interoperabilitet
Det finns ett flertal utmaningar kopplade till interoperabilitet som hindrar eller försvårar effektiv datadelning. Vi kan dock till att börja med konstatera att det är svårt att kvantifiera graden av interoperabilitet. Även om offentlig förvaltning redan i dag delar stora mängder data så finns det många olika typer av interoperabilitetsbrister. Vissa utmaningar är svårare att överkomma än andra.
I de europeiska och svenska ramverken för interoperabilitet, vilka vi beskriver mer nedan, betraktas interoperabilitet utifrån fyra olika lager: rättslig, organisatorisk, semantisk och teknisk. Enligt det synsättet kan hinder för interoperabilitet vid datadelning finnas i ett eller flera lager. Om det exempelvis finns tekniska förutsättningar för att utbyta data, men data ur ett semantiskt perspektiv inte går att använda när det har utbytts, så finns inte full interoperabilitet vid datadelning. På samma sätt kan det finnas organisatoriska eller rättsliga hinder för att dela data, fastän de tekniska och semantiska förutsättningarna i och för sig finns på plats. Vi har därför valt att belysa de utmaningar som finns för interoperabilitet utifrån dessa fyra lager.
57 Europeiska kommissionen, Impact Assessment Report (SWD[2022] 721 final).
Det är emellertid inte ovanligt att två eller flera av dessa lager samtidigt utgör hinder för interoperabiliteten vid datadelning.
Vår utredning och analys visar att myndigheter inom den offentliga förvaltningen använder många olika tekniska lösningar för att dela data och för att samla in data. Exempel på lösningar är REST eller SOAP API:er, spridnings- och hämtningssystem (SHS), överföring via e-post och överföring av eller publicering av Excel-filer. Det finns också flera exempel på e-tjänster där den som ska dela data (vanligen rapportera uppgifter) först behöver logga in, för att sedan manuellt föra in data eller överföra filer med data. Data kan överföras i små mängder, exempelvis data om ett företag eller också överföras i stora samlingar (s.k. batcher). Kartläggningen visar att det inte finns allmänt vedertagna sätt för den offentliga förvaltningen att dela data.
Det finns många register som statliga myndigheter ansvarar för. De är utformade som tjänster genom vilka den övriga förvaltningen och allmänheten kan ta del av olika uppgifter. Som exempel kan nämnas att Bolagsverket tillhandahåller företagsinformation, Skatteverket tillhandahåller folkbokföringsuppgifter och Transportstyrelsen tillhandahåller uppgifter om landets alla fordon och körkortsinnehavare. Dessa tre myndigheter och många fler erbjuder möjligheten att köpa uppgifter ur respektive register elektroniskt. Bolagsverket tillhandahåller t.ex. en e-tjänst58 för att hämta företagsinformation men det är också möjligt att hämta uppgifter via API.59 Många aktörer inom offentlig förvaltning tillgängliggör också data som öppna data. Flera av dem har gjort det möjligt att söka efter sådana data via Sveriges Dataportal, dataportal.se, som drivs av Digg. Att publicera datamängder på Sveriges Dataportal kan bidra till att förbättra interoperabiliteten.
Interoperabilitetsproblem har sedan tidigare identifierats inom olika sektorer. I Sverige finns t.ex. ett stort antal vårdgivare. Vissa är offentliga, andra är privata och det är inte ovanligt att patienter behandlas av olika vårdgivare. Delning av hälsodata är emellertid förenat med svårigheter, t.ex. om en patient flyttar från en region till en annan. Socialstyrelsen har konstaterat att de uppgifter som är av intresse är av olika typ, finns i olika källor, finns ostrukturerat eller sammanställda i varierande grad, form och för olika syften.60
58 https://foretagsinfo.bolagsverket.se/sok-foretagsinformation-web/ (hämtad 2023-09-15). 59 https://bolagsverket.se/apierochoppnadata/apiforatthamtaforetagsinformation.3988.html (hämtad 2023-09-15). 60 Socialstyrelsen, Kartläggning av datamängder av nationellt intresse på hälsodataområdet – slut-
rapport, s. 18.
Trots att transport- och trafikdata har delats under många år finns hinder för interoperabel datadelning. Trafikverket har konstaterat att den digitala mognaden varierar stort mellan olika offentliga aktörer, inte minst vad gäller hur olika kommuner hanterar datamängder.61 Vidare saknas gemensamma arbetssätt och standarder för hur data kopplade till transportsystemet ska bearbetas och hanteras.62
4.3.1. Utmaningar av allmän karaktär
Användarperspektivet
Användarnas perspektiv är viktigt att beakta vid all it-utveckling och därmed även för att skapa interoperabilitet. Att sätta användaren i centrum är en av principerna i det svenska ramverket för digital samverkan.63 Med användare avses här den eller de som tar del av och ska använda data som delas, såsom myndigheter, medborgare eller företag. Om användarnas behov inte beaktas eller tillgodoses finns det en risk för att de inte kan ta del av eller använda data eller information som de behöver. Vissa myndigheter och andra aktörer saknar forum där dialog kan föras med användarna.
Ett viktigt område för medborgare och kommuner är skolan. Här är det av betydelse att information kan delas på ett ändamålsenligt och effektivt sätt mellan skola, föräldrar och elever. I dag är det inte ovanligt att barn från samma familj går i olika skolor och ibland även i skolor i olika kommuner. Det är vanligt att viktig information till föräldrarna delas genom olika system eller digitala tjänster vilket innebär att föräldrarna måste logga in och identifiera sig i flera, olika system eller applikationer (appar) för att kunna ta del av informationen och kommunicera med skolorna. Om samma standarder hade använts vid utveckling av digitala system och tjänster skulle s.k. aggregatortjänster kunna användas för att sammanställa information från flera olika skolor och presentera informationen till föräldrarna samlad i en app i stället för i flera appar. Om öppna standarder användes vid utveckling av digitala system och appar skulle, förutom fördelarna
61 Trafikverket, Grunddatadomän transportsystem: Samverkansuppdrag mellan transportmyndig-
heterna för att bedriva en utforskande utveckling att utreda en grunddatadomän för information kopplat till transportsystemet, 2022, s. 18.
62 Trafikverket, Grunddatadomän transportsystem: Samverkansuppdrag mellan transportmyndig-
heterna för att bedriva en utforskande utveckling att utreda en grunddatadomän för information kopplat till transportsystemet, 2022, s. 18.
63 Myndigheten för digital förvaltning, Ramverk för digital samverkan 1.3, s. 11.
för föräldrar och elever, också förutsättningarna för att återanvända samma tekniska lösningar öka och därmed skulle kostnaderna för it-utveckling för samhället kunna minska. En bättre interoperabilitet mellan olika skolplattformar skulle även kunna ge upphov till fler innovationer och tjänster utformade med hjälp av t.ex. AI-teknik.
Samma problematik som på skolområdet finns även när det gäller andra tjänster för medborgare som förutsätter interoperabilitet, t.ex. parkeringsappar och elladdstolpar för bilar, där olika appar ofta erbjuds i olika kommuner.
Riksrevisionen har gjort bedömningen att det finns brister i användbarhet och tillgänglighet i digitala tjänster som statliga myndigheter tillhandahåller och att detta beror på att myndigheterna i otillräcklig omfattning arbetar med användarinvolvering.64
Nyttan med datadelning uppstår hos någon annan
Ett ofta anfört skäl till att interoperabilitet vid datadelning inte prioriteras, är att nyttan kan uppstå hos någon annan än exempelvis den statliga myndighet som skapat lösningar för att tillgängliggöra eller dela data. Den myndighet eller annan aktör inom offentlig förvaltning som ska tillgängliggöra en viss datamängd behöver göra de investeringar som krävs för att uppnå interoperabilitet, utan att alltid själv kunna tillgodoräkna sig en motsvarande nytta. Utan sådana investeringar kan konsekvensen bli att nyttorna i form av en mer effektiv och interoperabel datadelning inte realiseras för förvaltningen och privat sektor i sin helhet. Kravet på statliga myndigheter att vara effektiva och att hushålla med statens medel, kan medföra en förståelig försiktighet hos dessa myndigheter avseende investeringar för att uppnå samhällsnyttor som inte syns direkt i den egna myndighetens verksamhet.65
Att beräkna nyttorna kan vara svårt, särskilt för den aktör som ska dela data. Digg tillhandahåller ett beräkningsverktyg för nyttor
64 Riksrevisionen, Digitala tjänster till privatpersoner – stora utvecklingsmöjligheter för statliga
myndigheter (RiR 2023:6), s. 42.
65 Enligt 3 § myndighetsförordningen (2007:515) ansvarar myndighetens ledning inför regeringen för verksamheten och ska se till att den bedrivs effektivt och enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen, att den redovisas på ett tillförlitligt och rättvisande sätt samt att myndigheten hushållar väl med statens medel.
och kostnader.66 Verktyget kan fungera som ett stöd för myndigheter som ska dela data.
Höga kostnader och brist på kompetens
Kostnaderna för att uppnå interoperabilitet kan vara höga. Det rör sig primärt om kostnader för att införskaffatekniska och semantiska lösningar, system, samt att skapa funktioner för datadelning eller för att förändra nuvarande system. Många gånger kan kostnaderna för att lämna eller ”ta sig ur” befintliga lösningar, som offentlig förvaltning t.ex. upphandlat, dock vara större än att återanvända eller skapa exempelvis ett API. Många system inom offentlig förvaltning är gamla. Extra kostnader för interoperabilitet kan föranledas av behovet av olika tekniska eller semantiska åtgärder, som exempelvis att formatera existerande data eller att ta fram gemensamma definitioner med andra myndigheter. Myndigheter måste dock löpande även av andra skäl införskaffa nya system eller vidareutveckla existerande system.
Det har av flera, särskilt mindre myndigheter, framförts att det är svårt att ha eller få tag i all den kompetens inom it eller interoperabilitet som behövs för att kunna dela data. Arbetsgivarverket har konstaterat att det generellt råder brist på it-kompetens inom staten.67
Svårt att hitta data
Redan svårigheten att överhuvudtaget hitta var rätt data finns, innebär förstås ett hinder mot att data efterfrågas och sedan delas. Att data ska vara enkla att hitta är en av FAIR-principerna (findable) och utgör därför en viktig del av regleringen i både öppna datadirektivet, som har implementerats i svensk rätt genom öppna datalagen och i dataförvaltningsförordningen. Principen möjliggör för vidareutnyttjare av data att hitta data som tillgängliggörs både öppet och skyddat. I en rapport från Statskontoret från 2018 anges att få myndigheter publicerar tydlig information på sin webbplats om vilka öppna data
66 https://www.digg.se/analys-och-uppfoljning/analys-ochberakningsverktyg/berakningsverktyg-for-nyttor-och-kostnader?page=1 (hämtad 2023-11-16). 67 https://www.arbetsgivarverket.se/nyheter--press/nyheter/2022/aterigen-svarare-attrekrytera-it-kompetens/ (hämtad 2022-12-16).
den har.68 Brister i tydlig information om öppna data leder till svårigheter för användare att hitta data.
Sedan 2018 har ny lagstiftning börjat gälla. Med öppna datalagen infördes en så kallad informationsplikt, där myndigheter som tillgängliggör data för vidareutnyttjande ska informera Digg om metadata om sådan data.69 Mot bakgrund av dataförvaltningsförordningen införs en skyldighet för offentliga myndigheter att tillhandahålla information till Digg om sådana data som delas.70 Innebörden av detta är att Digg ska föra en förteckning över data som är tillgängliga för vidareutnyttjande, både öppna data och s.k. skyddade data. Digg tillhandahåller i dag olika sätt för att lämna metadata till Sveriges dataportal och det är möjligt att dela metadata både genom att lämna metadata direkt till Digg, eller genom att koppla samman lokala kataloger med Sveriges dataportal.71
En informationsmodell kan peka ut var vissa datamängder finns. En sådan modell kan underlätta tillgången till och användningen av data. Det saknas en förvaltningsgemensam informationsmodell för den offentliga förvaltningen i Sverige. Vi beskriver informationsmodeller i avsnitt 4.4.2.
4.3.2. Utmaningar kopplade till rättslig interoperabilitet
Data inom den offentliga förvaltningen får endast delas om det finns rättsliga förutsättningar för det. Om en viss uppgift inte får delas saknas rättslig interoperabilitet. Våra samtal med myndigheter ger en bild av att det ibland finns en osäkerhet avseende om de rättsliga förutsättningarna för datadelning är uppfyllda eller inte. I vissa fall leder osäkerheten till att myndigheten väljer att inte dela data, i syfte att inte bryta mot eventuella legala hinder mot delningen. Vi har även blivit uppmärksammade på situationer där myndigheter väljer att inte dela data om det inte uttryckligen framgår av lag, förordning eller myndighetsföreskrifter att de ska dela data, trots att delningen inte hindras av sekretess eller registerförfattningar.
68 Statskontoret, Hinder för att använda myndigheternas öppna data, s. 27. 69 2 kap. 6 § öppna datalagen. 70Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24), s. 22 och 32. 71 https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/offentligaaktorer/information-om-oppna-datalagen/lamna-metadata-till-sveriges-dataportal (hämtad 2023-11-17).
Digitaliseringsrättsutredningen konstaterade 2018 att de juridiska hindren för digitalisering kan kategoriseras utifrån rättsliga hinder, rättsliga osäkerheter och avsaknad av reglering.72 Vi anser att de juridiska hindren för interoperabilitet kan kategoriseras på samma sätt.
De rättsliga hindren för interoperabilitet består dock främst av att en aktör är förhindrad att dela data ur ett rättsligt perspektiv. Många myndigheter har framfört att sekretessregelverket hindrar ökad datadelning och att möjligheterna att dela data mellan myndigheter behöver förbättras. Sekretess kan t.ex. leda till att en medborgare måste lämna över en uppgift till två myndigheter, i stället för att den delas mellan dem. Vårt uppdrag innefattar emellertid inte att föreslå ändringar i regelverket för sekretess, och inte heller förändringar i myndigheters skyldigheter att dela data eller uppgifter.
4.3.3. Utmaningar kopplade till organisatorisk interoperabilitet
Vår utredning och analys visar att många myndigheter har en insikt i nyttorna med datadelning och att interoperabilitet är en förutsättning för att datadelning ska vara effektiv. Däremot framkommer att det inte är en självklarhet för alla myndigheter att i praktiken sträva efter datadelning och interoperabilitet. Vissa har framfört att de uppfattar den politiska inriktningen och viljan på nationell nivå som otydlig när det gäller hantering av data. Det har bl.a. uttryckts som att ”det är oklart vad staten vill med våra data”.
På det sätt som förvaltningen är organiserad med fristående myndigheter och ett stort antal självstyrande kommuner och regioner är det inte självklart att varje myndighet (statlig, kommunal eller regional) har möjlighet att se till interoperabilitet och nyttorna med datadelning ur ett helhetsperspektiv. Avsaknaden av sådan styrning har lett till många olika lösningar. Inom vissa områden eller för vissa myndigheter är incitamenten att dela data dessutom låga. Liknande observationer har gjorts tidigare, bl.a. av Statskontoret, som i en rapport från 2018 konstaterade att myndighet upplever svaga incitament för att dela öppna data och att de upplever att den egna vinsten av detta arbete är liten.73
72Juridik som stöd för förvaltningens digitalisering (SOU 2018:25), s. 133. 73 Statskontoret, Hinder för att använda myndigheternas öppna data (2018:6), s. 44.
När nya system ska utvecklas eller upphandlas, eller när befintliga system ska förändras, är det inte självklart att konsekvenserna för interoperabiliteten beaktas. Det kan bero på att behoven av systemen uppfattas som rent interna, att myndigheten anser att andra myndigheter får anpassa sig om de vill ta del av deras data eller att myndigheterna endast utgår från den egna organisationens uppdrag och kostnader. Vissa myndigheter har angett att de har väl upparbetade samarbeten med andra myndigheter som de delar data med och att det inom ramen för sådana samarbeten kan föras diskussioner om interoperabilitetskonsekvenser (se även om användarperspektivet nedan). Kommuner har emellertid gett uttryck för att det är svårt för dem att göra förändringar eller ens ingå i samverkan.
Ytterligare något som bidrar till att försvåra arbetet med datadelning och interoperabilitet är enligt flera myndigheter att det saknas ett tydligt ansvar för en eller flera myndigheter eller andra aktörer inom offentlig förvaltning att leda arbetet eller som har mandat att besluta vad som faktiskt ska gälla. Det går att genom samverkan eller samarbete tillsammans komma överens i frågor om interoperabilitet. Förr eller senare kan deltagande myndigheter emellertid komma till en punkt där det inte går att komma överens. Någon måste då ha mandat att fatta avgörande beslut för att arbetet ska komma vidare.
En frågeställning som är relevant ur ett organisatoriskt perspektiv är vem som ska anpassa sig. I avsaknad av styrning och utpekade krav kan det för organisationer vara en utmaning att acceptera att de behöver anpassa sig för att uppnå interoperabilitet. Detta särskilt om anpassningen kräver förändringar av teknik eller arbetssätt som leder till ökade kostnader.
4.3.4. Utmaningar kopplade till semantisk interoperabilitet
Vår utredning och analys visar att det ofta är de semantiska utmaningarna som är svårast att lösa och att förbättrad semantisk interoperabilitet skulle få stora positiva effekter för datadelning och interoperabilitet. Totalförsvarets forskningsinstitut konstaterar i en rapport att problem kopplat till användningen av olika dataformat eller rena anslutningsproblem alltför ofta avleder uppmärksamheten från det som
verkligen är huvudproblemet – att förstå och tolka informationen på ett konsekvent sätt.74
Exempel på begrepp där definitionen inte är självklar och kan ha getts olika innebörd av olika myndigheter är begreppen: ansökan, näringsidkare, organisation, samfälligheter och samfällighetsföreningar. Det saknas fastställda förvaltningsgemensamma definitioner och olika problem kan uppstå när myndigheterna delar data. Om data delas utan definitioner av de begrepp som används, uppstår problem eftersom mottagaren inte vet vad begreppen avser.
En semantisk skillnad som många troligen har stött på är hur personnummer skrivs. Bestämmelser om personnummer finns i folkbokföringslagen (1991:481). Där föreskrivs att ett personnummer består av födelsetid, födelsenummer och kontrollsiffra samt har sammanlagt tio siffror.75 Födelsetiden anges med sex siffror, två för året, två för månaden och två för dagen, i nu nämnd ordning. Födelsenumret består av tre siffror och är udda för män och jämnt för kvinnor. Mellan födelsetiden och födelsenumret sätts ett bindestreck som byts mot ett plustecken det år en person fyller 100 år. Av samma bestämmelse framgår emellertid också att om det inte är obehövligt ska födelsetiden i personnumret lagras med åtta siffror i register som förs med hjälp av automatisk databehandling; fyra för året, två för månaden och två för dagen. Personnummer kan således ha två olika format, 12 siffor eller tio siffor och kan vara lagrade i de olika formaten i olika register eller system.
4.3.5. Utmaningar kopplade till teknisk interoperabilitet
Verksamhetssystem som används i den offentliga förvaltningen fyller primärt funktionen att stödja respektive organisations egna behov. Historiskt har applikationer och system inom offentlig förvaltning utvecklats utifrån ett nerifrån-och-upp-perspektiv i syfte att försöka lösa domänspecifika eller lokala problem.76 Många system har därför inte utvecklats med förvaltningsövergripande datadelning och interoperabilitet som utgångspunkt. Ett fokus på den egna verksamhetens behov har dessutom lett till att det inom den offentliga förvaltningen
74 Totalförsvarets forskningsinstitut, Semantisk interoperabilitet, s. 10. 7518 § folkbokföringslagen (1991:481). 76 Europeiska kommissionen, Europeiska interoperabilitetsramen – genomförandestrategi (COM [2017] 134 final), bilaga 2, s. 27.
har upphandlats och utvecklats system som har dåliga, eller helt saknar, förutsättningar för att vara interoperabla med andra system. Det har även ett samband med det tekniska arv som finns inom den offentliga förvaltningen. Riksrevisionen konstaterade år 2019 att det finns föråldrade it-system hos ett stort antal myndigheter i Sverige och att flertalet av dessa är verksamhetskritiska it-system. Vidare konstaterade Riksrevisionen att föråldrade it-system kräver mycket resurser, vilket bl.a. innebär att det är svårt eller omöjligt att utveckla nya tjänster eller funktionalitet eller att förändra och utveckla befintliga verksamhetsprocesser.77 Problemen med gamla system påverkar fortfarande förvaltningen. Exempelvis angav Försäkringskassan i sin årsredovisning för 2022 att myndigheten fortfarande har kvar en hög andel föråldrade it-system och underliggande tekniska plattformar och att investeringsbehovet därför bedöms vara stort även de kommande åren.78 Vissa system som fortfarande används inom förvaltningen kan vara så gamla att det endast är en begränsad krets personer som har tillräcklig kompetens för att kunna förvalta och utveckla dem.
Som nämns i avsnitt 4.3 visar vår analys och slutsatser att myndigheter och andra aktörer inom den offentliga förvaltningen använder många olika tekniska lösningar för att dela data och för att samla in data. Lösningar byggs ibland i dialog med dem som ska rapportera data och vår uppfattning är att många myndigheter beaktar förutsättningar hos dem som ska rapportera till myndigheten.
Ur ett interoperabilitetsperspektiv finns emellertid flera aspekter som bör belysas. Ett rimligt antagande är att uppgifterna som ska rapporteras i de allra flesta fall redan finns i digital form i ett verksamhetssystem hos den som ska rapportera. Det finns därför effektivitetsvinster att uppnå om uppgifterna kan överföras maskin-tillmaskin, dvs. utan inslag av manuell hantering. Det kan illustreras med regionernas webbtjänst Pascal, som används för hantering av läkemedel till patienter som samtyckt till att få sin medicin i dospåsar. Pascal är inte ett journalsystem och läkemedel som förskrivs i systemet måste även dokumenteras i det ordinarie vårdsystemet. Vissa regioner har en automatisk funktionalitet som läser in det som för-
77 Riksrevisionen, Föråldrade it-system – hinder för en effektiv digitalisering (RIR 2019:28), s. 56. 78 Försäkringskassan, Försäkringskassans årsredovisning 2022, s. 163.
skrivs i webbtjänsten i det egna systemet men andra behöver dokumentera det manuellt.79
Manuell hantering tar resurser i anspråk och riskerar även att leda till fel. Uppgifter som matas in kan bli fel eller så kan fel fil eller fel version av en fil laddas upp. Att skapa en lösning för överföring maskin-till-maskin kan dock kräva ansenliga resurser, särskilt om förutsättningarna hos de som ska rapportera uppgifterna skiljer sig mycket åt.
En annan aspekt är att bristen på vedertagna lösningar riskerar att leda till att hjulet måste uppfinnas på nytt varje gång ett nytt informationsutbyte ska etableras. I Diggs byggblocksbeskrivning av APIhantering framkommer att myndigheter som använder eller är potentiella användare av API:er för att dela data, menar att det finns för många alternativ när det kommer till utformning av API:er.80 Det krävs insatser i form av tid och pengar för att genomföra förstudier om hur de tekniska förutsättningarna för informationsutbytet ska se ut. Det har under utredningen inte framkommit något som tyder på att datadelning inom eller från den offentliga förvaltningen har så unika förutsättningar att redan etablerade och välbeprövade lösningar och arbetssätt inte skulle kunna användas.
Ytterligare en aspekt är att tillhandahållandet av lösningar som skiljer sig åt kan öka behovet av stöd till de som ska rapportera uppgifter. Ibland kan det räcka med att publicera information om den aktuella lösningen, som bland andra Försäkringskassan har gjort om SHS81, Bolagsverket om SSBTGU82 och SCB om sin generiska APItjänst.83 Skatteverkets tjänst Navet är troligen en av de vanligaste tjänsterna som offentlig förvaltning använder.84 Dokumentation kan räcka
79 SLIT –nätverket för Sveriges it-direktörer, IT och digitalisering i hälso- och sjukvården 2022, s. 15. 80 Digg, API-hantering – Byggblocksbeskrivning Informationshantering, s. 1–2, hämtad 2023-06-15 från https://www.digg.se/ledning-och-samordning/ena---sveriges-digitalainfrastruktur/byggblock/byggblocksbeskrivningar. 81 Spridnings- och hämtningssystemet (SHS) är en metod för ett säkert utbyte av information. Informationsutbytet är standardiserat, vilket innebär att samma teknik används vare sig mottagaren är ett internt verksamhetssystem eller en annan myndighet. SHS utgör i dag grundbulten i många myndigheters kommunikationssystem. Se också https://www.forsakringskassan.se/myndigheter-och-samarbetspartner/e-tjanster-formyndigheter-och-samarbetspartner/informationsplats-for-spridnings--ochhamtningssystem-shs (hämtad 2023-10-07). 82 https://bolagsverket.se/omoss/utvecklingavdigitalatjanster/densammansattabastjanstenfor grundlaggandeuppgifteromforetag.2227.html (hämtad 2023-11-07). 83 https://www.scb.se/lamna-uppgifter/lamna-uppgifter-via-api/ (hämtad 2023-11-08). 84 https://www.skatteverket.se/offentligaaktorer/informationsutbyte/navethamtauppgiftero mfolkbokforing.4.18e1b10334ebe8bc80001754.html (hämtad 2023-11-17).
långt även om det inte alltid är tillräckligt. Myndigheterna som ska rapportera uppgifter eller ansluta sig kan behöva ytterligare stöd som den som tillhandahåller lösningen behöver lägga resurser på att erbjuda. En större spridning av olika lösningar för insamling av uppgifter ökar det sammantagna behovet av stöd till den offentliga förvaltningen, dvs. till dem som ska rapportera och eller använda lösningar. Digg har i en beskrivning av byggblocket API-hantering bl.a. konstaterat att de som hämtar data via API:er upplever det svårt att förstå vad API:er gör och hur olika format hanteras. Myndigheter som använder eller är potentiella användare av API:er för att dela data menar att det finns för många alternativ när det kommer till utformning av API:er. De anser att det finns behov av en nationell, gemensam, infrastruktur för hantering av API:er i digitala tjänster.85 Mot bakgrund av vår utredning och analys gör vi samma bedömning. API:er, som möjliggör överföring maskin-till-maskin, är ett komplext område och det finns många vägval att göra. Komplexiteten gör att det kan vara svårt att ta till sig vad som behöver göras samt att förstå vägvalen fullt ut. Om det saknas riktning när det gäller vägvalen kan olika myndigheter göra olika vägval, vilket i sin tur leder till att de API:er som används i offentlig förvaltning skiljer sig så mycket åt att data inte går att dela på ett effektivt sätt.
Data delas i olika format
Även specifikationerna för de data som delas skiljer sig ofta åt. Data kan finnas i olika format med olika struktur. Exempel på filformat är XML, JSON, CSV och XLS (Excel). Inom den offentliga förvaltningen är det i dag också vanligt att data finns i PDF-filer. PDF-filer har tidigare visat sig problematiska att analysera maskinellt p.g.a. hur formatet är uppbyggt. Nu är det emellertid enklare att analysera PDFfiler och extrahera information med hjälp av maskininlärningsverktyg. Det kan sägas gå trender i att använda olika format i takt med att nya format skapas. T.ex. användes XML mycket för ett antal år sedan. I dag används JSON mer. Användning av JSON innebär bl.a. mindre filstorlek vilket gör överföringen snabbare.
85 Myndigheten för digital förvaltning, API-hantering – Byggblocksbeskrivning Informationshan-
tering, s. 1–2, hämtad 2023-06-15 från https://www.digg.se/ledning-och-samordning/ena---
sveriges-digitala-infrastruktur/byggblock/byggblocksbeskrivningar.
Olika format tjänar olika syften men även här ser vi att den stora variationen av olika format kan påverkar interoperabiliteten negativt.
It-systemen inom förvaltningen kan inte kommunicera med varandra
Att utgångspunkterna för utveckling och upphandling av system har skiljt sig åt har resulterat i att olika myndigheter har olika förutsättningar att dela data.
Olika system som upphandlas är inte nödvändigtvis interoperabla med varandra, trots att de används inom samma sektor och för i princip samma ändamål. De flesta verksamhetssystem är framtagna för att stödja verksamheten utifrån verksamhetens behov, inte för att t.ex. lämna uppgifter eller statistik. För att nå det senare krävs kompetens i kravställningen. Vissa system har inte ens funktioner för att dela data. Det har för utredningen uppgetts att vissa leverantörer inte ens tillhandahåller informationsmodeller till sina kunder.
Exempel på system som har interoperabilitetsbrister i relation till andra system är regionernas journalsystem som många gånger inte kan lämna uppgifter till nationella register.86 Det är också vanligt att de inte heller kan dela journaluppgifter direkt mellan sig. Inera tillhandahåller tjänsten Nationell patientöversikt (NPÖ) som gör det möjligt för vårdgivare att dela journalinformation från hälso- och sjukvården med varandra.87 Det krävs alltså en tredje part för delning av uppgifterna.
Trots att standarder i vissa fall finns används de inte alltid, eftersom det inte är tvingande att göra det. Skolområdet har nämnts som ett område där det finns en standard som skulle underlätta datadelning (den s.k. SS 12 00088) men som inte används i hela branschen. Svårigheten att dela data kan även gälla internt hos en myndighet när det finns två olika system som inte är interoperabla med varandra hos olika verksamhetsgrenar inom myndigheten.
Det finns även utmaningar när parter ska enas om informationsutbyte eller datadelning och de har vitt skilda tekniska förutsättningar (det s.k. ”tekniska gapet”). Systemen kan skilja sig åt men parternas
86 https://healthpolicy.se/halsodata-far-inte-fastna-i-vardens-it-system/ (hämtad 2023-09-12). 87 https://www.inera.se/tjanster/alla-tjanster-a-o/npo---nationell-patientoversikt (hämtad 2023-09-12). 88 Läs mer i kapitel 6.
förutsättningar att göra faktiska anpassningar kan också skilja sig åt. Det i sin tur kan leda till svårigheter att tillsammans komma överens om tekniska lösningar.
Bristande interoperabilitet kan leda till inlåsning
Bristande interoperabilitet kan även leda till så kallad inlåsning. Det innebär att en myndighet som använder ett system inte kan överföra data till ett annat system på ett enkelt sätt, för det fall myndigheten vill byta till ett annat system. Svårigheten kan uppkomma p.g.a. olika standarder hos systemen. Effekten kan bli att myndigheten vid en upphandling ser sig tvungen att ställa krav på samma standard som det befintliga systemet eller att föra över data manuellt till det nya systemet. Ett annat alternativ är att data i det första systemet formateras om till att passa i det nya systemet. Sådan formatering kan emellertid vara komplicerad och kostsam och kan därför vara svår att motivera. En annan lösning är att myndighetens personal har fortsatt tillgång till det första systemet och kopierar uppgifterna manuellt till det nya systemet när de behöver uppgifterna.
Inlåsningen kan även bero på andra orsaker än att olika standarder tillämpas. Det förekommer att myndigheter inte kan få tillgång till de data de har i it-systemen eftersom systemleverantören i avtalet har förbehållit sig exklusiv rätt till dessa data. Myndigheterna har i dessa situationer inte ställt krav i upphandlingen på tillgång till data. Det kan även leda till att myndigheten inte fullt ut kan analysera data.
Inlåsningsproblem kan också uppstå vid användning av molntjänster. Det ska förhindras genom kommissionens förslag till förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataförordningen).89 Förslaget innehåller bestämmelser om portabilitet mellan så kallade databehandlingstjänster. Bestämmelser som syftar till att göra det lättare att byta tjänsteleverantör finns sedan tidigare i EU-förordningen det fria flödet av andra data än personuppgifter.90 När det gäller personuppgifter, finns en rätt till dataportabilitet i dataskyddsförordningens artikel 20.
89 Förslag till Europarlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataförordningen) (COM(2022) 68 final). 90 Förordning (EU) 2018/1807 om en ram för det fria flödet av andra data än personuppgifter i Europeiska unionen (artikel 6).
Digg har publicerat en rekommendation för upphandling av data. I rekommendationen konstateras bl.a. att offentliga verksamheter behöver säkra rätten till sina data för att kunna använda information effektivt och säkert över tid. Rekommendationen innehåller exempel på kravtexter för att underlätta anskaffning eller hantering av data som en del av en upphandling av it-system eller digitala tjänster.
4.3.6. Utmaningar kopplade till säkerhet
Det finns ibland en osäkerhet hos myndigheter som ska dela data, avseende i vad mån myndigheter som tar emot data kommer att skydda informationen tillräckligt. Det kan leda till att informationen inte delas av säkerhetsskäl och gäller främst när de data som ska delas, t.ex. på grund av en begäran, härrör från avsändarens verksamhet. Det kan också handla om osäkerhet avseende vilka säkerhetsåtgärder som regelverket för informationssäkerhet kräver eller olika tolkningar av regelverket. Myndigheter har även olika säkerhetsföreskrifter och olika sekretessbestämmelser att tillämpa.
När det gäller säkerhetsfrågor handlar det, något förenklat, om att skapa förutsättningar för en ömsesidig tillit mellan alla myndigheter som tillhandahåller eller tar emot data. Avsändaren av information behöver kunna lita på att mottagaren omgärdar den med motsvarande nivå av säkerhet. Det handlar alltså inte om att vidta exakt samma säkerhetsåtgärder, exempelvis kryptering eller tvåfaktorsautentisering, men något som motsvarar dessa åtgärder utifrån de risker och hot som är aktuella för den mottagande myndigheten. Mottagaren behöver i sin tur kunna lita på att avsändaren kan säkerställa att informationen är korrekt och att det finns en tillförlitlig tillgång till informationen över tid. Det kan också handla om osäkerhet avseende vilka säkerhetsåtgärder som regelverket för informationssäkerhet kräver eller olika tolkningar av regelverket.
4.4. Exempel på lösningar för interoperabilitet
Det har under lång tid pågått många initiativ som direkt eller indirekt har förbättrat interoperabiliteten i förvaltningen och som har lett till en mer effektiv datadelning genom automatiserade utbyten. Dessa initiativ är många gånger avgränsade till en viss sektor, en viss infor-
mationsutbytesprocess eller en viss datamängd och har utvecklats för specifika behov av datautbyte. Det finns i dagsläget inte några allmänt vedertagna sätt för den offentliga förvaltningen att arbeta med datadelning och interoperabilitet. Variationen av olika tillvägagångsätt och lösningar är stor avseende t.ex. teknik, semantik och hur arbetet är organiserat. Det finns emellertid exempel på initiativ som har en förvaltningsgemensam utgångspunkt, inte minst de byggblock som tas fram inom ramen för Ena.91
När vi talar om lösningar för interoperabilitet avser vi olika slags specifikationer, standarder eller liknande lösningar som används för att åstadkomma datadelning inom och från den offentliga förvaltningen. Det kan t.ex. röra sig om en specifikation för vilket format data ska utbytas i eller vilka gränssnitt som ska användas för ett specifikt datautbyte.
Inom EU förväntas arbete med så kallade interoperabilitetslösningar att ske på ett strukturerat sätt i samarbetet för interoperabilitet som regleras i EU-kommissionens förslag till interoperabilitetsförordning.92 Enligt förslaget ska interoperabilitetslösningar kunna rekommenderas av Styrelsen för ett Interoperabelt Europa. Lösningarna ska kunna tillgängliggöras och återanvändas mellan medlemsländerna. De rekommenderade lösningarna ska finnas tillgängliga på en gemensam portal.
4.4.1. Ramverk som utgångspunkter för interoperabilitet
På både svensk och europeisk nivå pågår arbete med att förbättra interoperabiliteten. Nedan presenterar vi två ramverk som bägge syftar till att förbättra interoperabilitet: Det Europeiska ramverket för interoperabilitet (EIF) och Svenskt ramverk för digital samverkan. Den sistnämnda utgör den svenska implementeringen av EIF. Ramverken är på en övergripande nivå och innehåller bl.a. principer och rekommendationer om hur interoperabilitet kan uppnås. I våra direktiv nämns att arbetet i utredningen ska bedrivas med utgångspunkt i relevanta strategier och ramverk, bl.a. EIF och Svenskt ramverk för digital samverkan.
91 Läs mer om Ena i kapitel 6. 92 Förslag till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa) (COM[2022] 720 final).
Det europeiska ramverket för interoperabilitet
EIF introducerades 2004 som en åtgärd för att främja interoperabilitet mellan offentliga aktörer. Ramverket har därefter uppdaterats 2010 och 2017. Ramverket innehåller en samling principer, modeller och rekommendationer som stöd till offentliga myndigheter på olika nivåer i unionens medlemsstater vid utformning och tillhandahållande av digitala tjänster inom offentlig förvaltning i syfte att dessa ska vara interoperabla. Enligt EIF sker interoperabilitetsstyrning genom att beakta samtliga lager av interoperabilitet: rättslig, organisatorisk, semantisk och teknisk.
I EU:s kommande interoperabilitetsförordning bildar EIF en viktig utgångspunkt för interoperabilitetsarbetet. Bl.a. ska myndigheter i sina interoperabilitetsbedömningar ta hänsyn till EIF, och nationella interoperabilitetsramverk ska beakta EIF.
Svenskt ramverk för digital samverkan
Det svenska ramverket för digital samverkan utgör den svenska anpassningen av det EIF. Ramverket togs ursprungligen fram av eSams arkitekturgrupp 2018 och har därefter reviderats. Sedan 2020 förvaltas ramverket av Digg. Syftet med ramverket är att utgöra underlag för offentliga organisationers samverkan. Ramverket innehåller en uppsättning av principer, med tillhörande rekommendationer av hur offentliga organisationer ska förhålla sig till principerna. Rekommendationerna är formulerade som uppmaningar. I principen om
- samverkan anges att den offentliga sektorn bör stärka sin förmåga att agera utifrån ett helhetsperspektiv för att skapa större samlad samhällsnytta.
- juridiken anges att rättsligt arbete behöver förhålla sig till att olika organisationer kan omfattas av olika författningar, eller att olika organisationer tolkar det gemensamma författningsstödet på olika sätt. För att möjliggöra samverkan trots detta bör den som tilllämpar ramverket arbeta aktivt med juridiken och säkerställa likadana tolkningar och bidra till rättsutveckling där det behövs.
- öppna upp framhålls vikten av att data är en resurs som ska kunna användas av andra än den egna organisationen. För detta syfte bör myndigheter verka för att tillgängliggöra öppna data, och skapa tekniska gränssnitt för att myndigheter utanför organisationen som är behöriga ska kunna nyttja funktionaliteten. Öppna specifikationer och öppna standarder, som är fria att använda, och som möjliggör att produkter som följer standarden blir kompatibla bör användas.
- skapa transparens till den interna hanteringen framhålls vikten av att privatpersoner och företag ska kunna förstå offentliga organisationers processer och ärenden.
- återanvänd från andra framhålls vikten av att ta tillvara befintliga lösningar och produkter, som exempelvis återanvändning av it-lösningar som programvarukomponenter, gränssnitt för tillämpningsprogram och standarder.
- se till att information och data kan överföras anges att tillgång till och effektivt utbyte av information är en grundförutsättning för framgångsrik digitalisering, och data behöver kunna överföras och återanvändas mellan myndigheter och tekniska system.
- sätt användaren i centrum framhålls att användarnas olika behov och krav ska vara vägledande för vilka tjänster som utvecklas samt för hur tjänsterna utformas och utvecklas. De ska också ges möjlighet att delta i utformningen av nya tjänster och bidra till förbättringen av tjänsterna. Häri ligger också att myndigheter ska jobba med digitalt som standard och som förstahandsval.
- gör digitala tjänster tillgängliga och inkluderande anges att alla ska ha jämlika möjligheter att nyttja offentliga tjänster och de ska ha god tillgänglighet.
- gör det säkert anges att man ska kunna ha tillit till att informationsbehandlingen sker i en säker och pålitlig miljö och i enlighet med gällande bestämmelser. Information ska hanteras enligt principerna om tillgänglighet, riktighet och konfidentialitet.
- hitta rätt balans för den personliga integriteten anges att offentliga organisationer behöver hitta rätt avvägning mellan den personliga integriteten och andra aspekter som säkerställer att privatpersoners privatliv skyddas på ett ändamålsenligt sätt och att information
som tillhandahålls av privatpersoner och företag behandlas förtroligt, är äkta och fullständig.
- använd ett språk som användarna förstår framhålls att offentliga organisationer måste beakta flerspråkighet vid utformningen av tjänster, inte minst för att möjliggöra gränsöverskridande användning inom EU.
- gör administrationen enkel anges att administrativa processer behöver förenklas, bl.a. genom att ta tillvara digitaliseringens möjligheter.
- ha helhetssyn på informationshantering framhålls att data är en gemensam resurs, där offentliga organisationer behöver ha beredskap för datas hela livscykel: hantering, bevaring och tillgängliggörande av data för att säkerställa att data är autentisk, tillförlitlig, fullständig och användbar.
Hur det svenska ramverkets rekommendationer och principer kan användas i offentlig förvaltnings interoperabilitetsarbete
Det svenska ramverket bildar en sammanhållen ansats för hur offentlig förvaltning kan arbeta med interoperabilitet.
Ramverket avser digital samverkan medan vår utredning tar sikte på interoperabel datadelning. EIF i sin tur tar sikte på tillhandahållande av offentliga tjänster. Datadelningen utgör en grundläggande förutsättning både för digital samverkan och för tillhandahållandet av digitala tjänster.
En svårighet i att tillämpa Ramverkets rekommendationer och principer är att det saknas konkret vägledning om exempelvis vilka öppna standarder och specifikationer som ska användas, eller hur offentlig förvaltning ska kunna återanvända befintliga lösningar. Ramverket kan sägas vägleda i vad som bör göras, men inte hur det ska göras. På Diggs webbplats anges att ett stöd behöver knytas till ramverket, t.ex. vägledningar för metodik, förtydliganden och preciseringar om hur principer ska tolkas samt hur rekommendationer ska genomföras.93
Vissa av de rekommendationer som framhålls i Ramverket utgör redan författningsreglerade krav, där principen om tillgänglighet är
93 Myndigheten för digital förvaltning, Svenskt ramverk för digital samverkan.
författningsreglerad genom lagen (2018:1937) och förordningen (2018:1938) som genomför EU:s webbtillgänglighetsdirektiv.94 Principen om skyddet för den personliga integriteten är författningsreglerad genom dataskyddsförordningen och kompletterande nationell reglering. Principen om säkerhet utgår också från författningsreglerade krav om informations- och cybersäkerhet. För att öka förmågan till efterlevnad av sådana krav kan det vara lämpligt med ytterligare vägledning och rekommendationer.
Principerna om samverkan, återanvändbarhet, att sätta användaren i centrum och säkerhet utgör viktiga delar i att skapa interoperabilitet i offentlig förvaltning.
Principen om juridik är också viktig för att säkerställa att det inte finns rättsliga hinder för interoperabiliteten, och för detta syfte kan juridisk vägledning vara skapa förutsättningar för interoperabilitet.
Principerna i ramverket om att öppna upp och se till att information och data kan överföras utgör sådana rekommendationer som vi bedömer kan vidareutvecklas till att bli konkreta krav för interoperabilitet vid datadelning, både i fråga om standarder, specifikationer och gränssnitt.
4.4.2. Informationsmodeller
I utredningens direktiv anges att vi ska överväga om det finns behov av en reglering av en förvaltningsgemensam informationsmodell. Som skäl för det anges bl.a. följande. En ökad förmåga att dela data inom den offentliga förvaltningen ställer högre krav på samlad informationssäkerhet och detta kan uppnås genom att krav ställs på gemensamma informationsmodeller. Dessa kan i sin tur stödja organisationer i offentlig förvaltning i arbetet med mer koordinerade skyddsnivåer. Organisationer i den offentliga förvaltningen skyddar i dag sin information utifrån sina egna organisatoriska förutsättningar och behov. Detta kan leda till att skyddet för samma information varierar inom den offentliga förvaltningen. Utan möjlighet att ge en gemensam in-
94 Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer.
riktning för nivån på skyddet blir det svårare att säkerställa att samhällets gemensamma intresse av skydd kan omhändertas.95
Vi har övervägt behovet både av en gemensam modell eller metod för att lättare koordinera skyddsnivåer för säkerhet som avses i direktiven – och behovet av en förvaltningsgemensam informationsmodell för att exempelvis strukturera och koda information. Informationsmodeller eller metoder för struktur och kodning av information finns hos många myndigheter och andra organisationer för t.ex. överföring av data mellan de egna systemen. Informationsmodeller används också inom vissa sektorer samt mellan myndigheter för att underlätta informationsutbyte eller datadelning.
Under vårt arbete har myndigheter framfört att det finns behov av att utreda en förvaltningsgemensam informationsmodell för strukturering och kodning av data, som inte i första hand handlar om säkerhet. Olika informationsmodeller, begrepp och koder används inom offentlig förvaltning i dag vilket bl.a. bidrar till att semantisk och teknisk interoperabilitet inte uppnås.
En förvaltningsgemensam informationsmodell, i syfte att tillgodose säkerhetsaspekterna vid en ökad datadelning, som nämns i direktiven, beskrivs närmare i kapitel 7. Exempel på informationsmodeller som tagits fram gemensamt av flera myndigheter finns exempelvis inom samhällsbyggnadsprocessen (Smartare samhällsbyggnadsprocess) och inom Ramverket för nationella grunddata (ramverket). Myndigheterna som ingår i ramverket fick i ett regeringsuppdrag i uppgift att ta fram en gemensam informationsmodell för grunddata. Flera informationsmodeller har tagits fram för olika syften inom ramverket (se nedan under rubriken Ramverk för nationella grunddata inom den offentliga förvaltningen).
Andra informationsmodeller som används eller har tagits fram av olika myndigheter är Socialstyrelsens nationella informationsstruktur (2023:1) samt Modeller för hälso- och sjukvård. Skatteverket har tillsammans med Arbetsförmedlingen, Bolagsverket, Försäkringskassan och Kronofogden tagit fram myndighetsgemensamma begrepps- och informationsmodeller för att utbyta ärendeinformation. Det är dock osäkert om dessa modeller används i dag. Även Riksarkivets förvalt-
95 Kommittédirektiv Utvecklad reglering och styrning av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer (Dir. 2022:118).
ningsgemensamma specifikationer (FGS) kan ses som en slags informationsmodell.
Vad är en informationsmodell?
Det finns flera former av informationsmodeller som tjänar olika syften. Det finns många olika beskrivningar av vad en informationsmodell är men generellt så handlar det om sätt eller processer för att strukturera och benämna (koda) information för att se till att olika system, organisationer eller myndigheter tolkar information eller data på samma sätt och pratar samma språk, exempelvis vid datadelning. eSam och E-hälsomyndigheten har beskrivit en informationsmodell på följande sätt. En informationsmodell är en grafisk beskrivning av de informationsobjekt en viss verksamhet behöver och hur de relaterar till varandra. Socialstyrelsen har en längre beskrivning av vad en informationsmodell är. En informationsmodell har en direkt koppling till en begreppsmodell. Informationsmodellen visar vilken information om begreppen i begreppsmodellen som ska dokumenteras och hur detta ska göras. Informationsmodeller är lösningsoberoende och ska visa relationerna mellan olika informationsklasser i en verksamhet, oavsett i vilket eller vilka it-stöd de tillämpas.
4.4.3. Autentisering, auktorisation och behörigheter
En förutsättning som ofta krävs vid datadelning är tillit mellan de parter som delar data. Tillit är enligt vår uppfattning även en förutsättning när data tillgängliggöras fritt utan begränsningar, eftersom den som vill använda data behöver kunna lita på att datat är korrekt. Vid annan typ av datadelning där information är känslig behöver emellertid tillit också inkludera att tillräckligt skydd mot obehörig åtkomst uppfylls, genom lämpliga säkerhetsåtgärder, exempelvis när känsliga uppgifter ska delas mellan två parter.
Tillit mellan parter skapas på olika sätt, exempelvis genom att användningen av den data som delas är förenad med olika villkor eller genom att kvaliteten har säkerställts. En viktig beståndsdel som många gånger aktualiseras vid datadelning mellan två myndigheter är att den som delar data ska vara säker på att det är rätt person eller personer med rätt behörighet hos den andra parten som har möjlighet att ta
del den aktuella datamängden. Det kan alltså krävas autentisering kombinerat med en behörighetskontroll.96
Utredningen om betrodda tjänster föreslog 2021 att det skulle införas en ny lag om att skapa bättre förutsättningar för organisationsöverskridande användning av e-tjänstelegitimationer.97 Förslagen bereds för närvarande inom Regeringskansliet. I december 2022 tillsatte regeringen en utredning som ska undersöka och lämna förslag på hur staten kan utfärda en e-legitimation.98 Utredaren ska också se över behovet av anpassningar som följer av den reviderade eIDASförordningen.99
Digg erbjuder ett avtal om förbetald e-legitimering.100 Förlitande parter, dvs. den part som ska lita på en e-tjänstelegitimation, får genom att ingå avtalet möjlighet att ta emot e-tjänstelegitimationer i sina e-tjänster. De e-tjänstelegitimationer som ingår i avtalet har granskats och godkänts av Digg. Inom Ena finns byggblocket Auktorisation. Inom ramen för byggblocket pågår arbete med en referensarkitektur som beskriver informationsutbyte inom den digitala infrastrukturen med stöd av både identitet (autentisering) och åtkomst (auktorisation).101
Lösningar som avser autentisering, auktorisation och behörigheter i relation till datadelning kan vara interoperabilitetslösningar.
4.4.4. Specifikation för metadata
DCAT-AP-SE är en metadataspecifikation som används för att beskriva datamängder. Specifikationen anger vilka uppgifter som metadata ska innehålla, dvs. vilka data som ska användas för att beskriva en datamängd. DCAT-AP-SE är publicerad på Diggs webbplats Dataportal.se och är fri att använda utan restriktioner. Genom att specifikationen används av olika aktörer som beskriver sina data blir metadata likadant utformade oavsett vilken datamängd den avser. När sådana
96 MSB ställer t.ex. krav på statliga myndigheter att använda lösningar för autentisering inklusive flerfaktorsautentisering i sina föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7). 97Användning av e-legitimation i tjänsten i den offentliga förvaltningen (SOU 2021:62). 98 Dir. 2022:142. 99 Förslag till Europaparlamentets och rådets förordning om ändring av förordning (EU) nr 910/2014 vad gäller inrättandet av en ram för europeisk digital identitet (COM[2021] 281 final). 100 https://www.digg.se/digitala-tjanster/e-legitimering/e-legitimering-for-dig-somoffentlig-aktor/e-legitimering-for-medarbetare (hämtad 2023-11-28). 101 Digg, Auktorisation – Byggblocksbeskrivning.
metadata samlas på en och samma plats, exempelvis i datakataloger, blir de enkelt överskådliga.
DCAT-AP-SE är en svensk anpassning av den europeiska metadataspecifikationen DCAT-AP, som i sin tur är en anpassning av den internationella rekommendationen DCAT som utges av W3C (World Wide Web Consortium). Den svenska anpassningen är framtagen på uppdrag av Digg med bidrag från ett stort antal olika myndigheter och andra aktörer, som exempelvis SKR, Bolagsverket, Lantmäteriet, SCB och Region Västerbotten.102
4.4.5. Vokabulärer, taxonomier och begreppsmodeller
En vokabulär kan beskrivas som en lista med begrepp som kan användas för indexering. Ett exempel på EU-nivå är Core Vocabularies som är förenklade och återanvändbara datamodeller för de grundläggande egenskaperna av en entitet, som går att bygga vidare på. Modellerna är kontextneutrala, vilket innebär att de kan ligga till grund för mer specificerade modeller utifrån en given kontext. Core Vocabularies finns för olika områden, exempelvis person och företag.
I en taxonomi definieras olika begrepp och grupperas hierarkiskt. Bolagsverket, Bokföringsnämnden, FAR, Finansinspektionen, Skatteverket och SCB har genom samarbete tagit fram publika svenska taxonomier för bl.a. inkomstdeklaration för aktiebolag och ekonomiska föreningar samt företagsekonomisk statistikrapportering.103
En begreppsmodell visualiserar hur begrepp förhåller sig till varandra. Bolagsverket, Lantmäteriet, Skatteverket och SCB har tagit fram en begreppsmodell104 som visar hur grundläggande begrepp om företag förhåller sig till varandra för myndigheterna. Syftet är att göra det lättare för myndigheter att hämta uppgifter från en annan myndighet i stället för att begära uppgifterna från företag, dvs. att återanvända uppgifter. Även MSB har en termbank.105
102 https://docs.dataportal.se/dcat/sv/#intro (hämtad 2023-09-13). 103 https://www.taxonomier.se/ (hämtad 2023-09-07). 104 https://samverkan.bolagsverket.se/gu/ConceptModel/288841c9-624f-47bb-a007-9dbd21f2675b.html (hämtad 2023-09-15). 105 https://www.informationssakerhet.se/nyheter/ny-termbank-for-informationssakerhet/ (hämtad 2023-10-19).
4.4.6. Vägledningar om informationshantering
Vägledningar om informationshanteringar kan hjälpa organisationer i arbetet att kartlägga och analysera den information de är beroende av. De kan också ge stöd och vägledning i bedömningar som måste göras om hur olika informationsmängder ska hanteras. Vägledningar kan utgå från olika perspektiv. MSB och Riksarkivet har t.ex. publicerat en vägledning för processorienterad informationskartläggning som syftar till att stödja organisationer att vidta rätt åtgärder för skydd och långsiktigt bevarande.106 MSB har även ett metodstöd för systematiskt informationssäkerhetsarbete.107 Ett annat perspektiv på informationshantering är tillgängliggörande av informationen. Digg har t.ex. publicerat en vägledning för att tillgängliggöra information. I den vägleds myndigheter i det praktiska arbetet med att tillgängliggöra information som öppna och delade data.108
4.4.7. Öppen källkod
Öppen källkod är ett begrepp som används för att beskriva att den källkod som används för att ta fram en programvara är fritt tillgänglig för användare. Med öppen programvara avses enligt eSams definition programvara som för alla är tillgänglig att använda, läsa, modifiera och vidaredistribuera.109 Digg använder samma definition och har tagit fram ett internt policydokument om användning av öppen källkod. I dokumentet anges att den programvara som utvecklas och anskaffas för myndighetens verksamhet i första hand ska publiceras som öppen källkod.110
När källkoden hanteras på ett öppet sätt kan en användare fritt studera, ändra och dela med sig av källkoden. Det är ett sätt att sprida den källkod som man själv som aktör använder, för att andra ska kunna återanvända källkoden och antingen bygga likadan programvara eller för att utveckla källkoden för egna syften.
106 Myndigheten för samhällsskydd och beredskap och Riksarkivet, Vägledning för process-
orienterad informationskartläggning, 2012.
107 https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakrakommunikationer/systematiskt-informationssakerhetsarbete/metodstod-for-systematisktinformationssakerhetsarbete/(hämtad 2023-10-19). 108 https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/offentligaaktorer/vagledning-for-att-tillgangliggora-information (hämtad 2023-09-12). 109 Delning och användning av öppen källkod, ES2022-09. 110 Riktlinjer för utveckling och publicering av öppen programvara, 2022-08-29, Ärendenummer: 2022-2607.
4.4.8. Specifikationer för informationsutbyte
Riksarkivet har utarbetat en förvaltningsgemensam specifikation för strukturering och överföring av information (FGS).111 FGS utgör tekniska specifikationer för struktur och innehåll och kan beskrivas som krav på metadata för märkning och paketering av information när den ska överföras mellan olika verksamhetssystem eller till ett e-arkiv. Specifikationerna kan användas vid informationsutbyten, vid byten av system och som underlag vid utveckling av e-tjänster. Syftet är att förenkla organisationers informationsutbyten, byten av verksamhetssystem, publicering av informationsmängder som öppen data samt e-arkivering av information. Specifikationerna är i dagsläget rekommendationer och fria att använda men uppdateras inte längre.
4.4.9. API:er
En förutsättning för att data ska kunna delas mellan system är att systemen kan kommunicera med varandra. Ett vanligt sätt för myndigheter inom offentlig förvaltning att utbyta data är genom så kallade applikationsprogrammeringsgränssnitt, API:er (application programming interface). Ett API kan enkelt beskrivas som en bro mellan två eller flera program, system eller applikationer vilka tack vare API:et kan utbyta data med varandra.112 API:er kan ha olika grad av komplexitet och kan innebära en enkel länk till en databas för att hämta specifika data eller datamängd, ett webbgränssnitt eller mer komplexa strukturer.113 I öppna datalagen definieras ett API som en regeluppsättning för dynamiskt datautbyte mellan programvaror.114 Det är enligt förarbetena alltså fråga om ett ordnat sätt att hämta och lämna data.115
Det finns få rättsliga krav på myndigheters användning av API:er, men sådana krav finns bl.a. i öppna datalagen och i EU-kommissionens genomförandeakt till öppna datadirektivet. Snarare har användandet av API:er vuxit fram för att det har funnits behov av att utbyta data mellan system inom och mellan myndigheter.
111 https://riksarkivet.se/intro-fgs (hämtad 2023-11-17). 112 https://www.skatteverket.se/omoss/digitalasamarbeten/utvecklingavapierochoppnadata/ kunskapochinspiration/vadarettapi.4.96cca41179bad4b1aaa4b8.html (hämtad 2023-05-17). 113 Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (omarbetning) skäl 32. 114 1 kap. 4 § öppna datalagen. 115Prop. 2021/22:225 s. 41.
Digg tillhandahåller en så kallad REST-API-profil som syftar till att offentliga aktörer ska kunna utveckla API:er på ett effektivare sätt och bidra till en högre kvalitet på API:er. REST-API-profilen fokuserar främst på externt informationsutbyte, där förmågan hos myndigheters system att kunna fungera och kommunicera med varandra behöver förbättras.116 Profilen innehåller en rad rekommendationer som avser bl.a. begrepp, dokumentation och format. REST-API-profilen utgör ett byggblock inom Ena.
REST-API-profilen utgör ett exempel på en interoperabilitetslösning, eftersom den beskriver krav på API:er som syftar till att underlätta datadelning mellan myndigheter.
4.5. Bristande interoperabilitet står i vägen för datadelning
Den offentliga förvaltningen har redan i dag ett stort behov av att dela data för att kunna bedriva sina verksamheter. Behoven kommer att öka. Vi kan dock konstatera att datadelning i dagsläget är förenat med många utmaningar vad gäller interoperabilitet. Bristerna leder till att den offentliga förvaltningen inte har möjlighet att exempelvis hantera kriser, utveckla sina kärnverksamheter eller möta medborgarnas behov på ett sätt som hade varit möjligt om interoperabiliteten hade varit bättre.
Det finns utmaningar inom samtliga lager av interoperabilitet. Utmaningarna förefaller vara störst inom teknisk och semantisk interoperabilitet. Behoven av organisatorisk och rättslig interoperabilitet är emellertid också viktiga. Utmaningarna leder till att förvaltningen i vissa fall delar data på ett mindre effektivt sätt än vad som annars hade varit möjligt. Det leder också till att data inte delas, trots att det inte finns några rättsliga hinder.
Det saknas i dagsläget vedertagna tillvägagångssätt för förvaltningen att dela data, vilket har resulterat i en stor variation av lösningar för datadelning. Avsaknad av vedertagna tillvägagångssätt leder till att förvaltningen måste lägga mycket tid och resurser på att utveckla lösningar för datadelning, samt fastställa förutsättningarna för datadelningen, när nya datadelningar ska etableras. Det har formu-
116 https://www.digg.se/om-oss/nyheter/nyheter/2022-07-12-rest-api-profil-okarkvaliteten-pa-apier (hämtad 2023-11-15).
lerats som att hjulet måste uppfinnas på nytt varje gång. Detta driver också kostnaderna.
Det finns tjänster och samarbeten som har förbättrat interoperabiliteten mellan olika myndigheter. Inom dessa områden kan det ha etablerats tekniska förutsättningar för att dela data, exempelvis i form av de-factostandarder. Att skapa goda förutsättningar för datadelning inom ett avgränsat område kan emellertid vara nog så svårt. Att skapa förutsättningar för datadelning mellan områden kan vara än mer komplext. Vår bedömning är att det inom många sektorer upplevs som en stor utmaning att uppnå interoperabilitet. Det arbete som bedrivs saknar dessutom många gånger en förvaltningsgemensam dimension. Det föreligger därför en risk att sektorerna bygger in sig i lösningar som inte är interoperabla med andra sektorer. Vår bedömning är att det finns många exempel på data som i framtiden kan behöva bättre förutsättningar för att kunna kombineras, såsom jordbruksdata, trafikdata, data om utsläpp, väder- och klimatdata samt hälsodata. För att förutsättningarna ska bli bättre behövs gemensamma utgångspunkter att utgå från.
Vi ser en stor potential i en mer sammankopplad förvaltning genom ökad delning av data maskin-till-maskin. Datadelning kan bli mer effektiv och realisera fler nyttor genom förbättrade datadelningsmöjligheter mellan verksamhetssystem eller, i vissa fall, direkt från uppkopplade produkter (IoT) utan inslag av manuell hantering. Att enbart sträva efter datadelning maskin-till-maskin räcker emellertid inte enligt vår bedömning. Den variation av olika lösningar som finns i dag visar att det finns många lösningar att välja mellan.
Behovet av förbättrad semantisk interoperabilitet är något som många myndigheter och andra organisationer framhåller. Maskiner och människor måste kunna förstå de data som delas. Detta kan uppnås bl.a. genom att enas om definitioner av begrepp och att använda gemensamma taxonomier. Det krävs alltså grundläggande semantiska utgångspunkter för den offentliga förvaltningens data, vilket möjliggör interoperabel datadelning inom och mellan sektorer.
Det finns ett antal framtagna lösningar som skulle kunna användas av hela, eller stora delar, av den offentliga förvaltningen men som inte används därför att de inte är tvingande att använda eller inte är tillräckligt tydliga. Exempel på det är EIF och det svenska Ramverket för digital samverkan, som skulle kunna bilda utgångspunkter för hur den offentliga förvaltningen arbetar med interoperabilitet.
5. Förutsättningar för författningsstyrning
5.1. Inledning
Den offentliga förvaltningen kan styras genom bindande eller icke bindande styrning. Med styrning menar vi en handlingsdirigerande åtgärd, t.ex. en författning, men vi avser även icke bindande styrning, såsom rekommendationer. I detta kapitel redogör vi för de grundläggande förutsättningarna att styra den offentliga förvaltningen genom författningar, i syfte att belysa riksdagens och regeringens utrymme för att styra. Beskrivningen är dock inte avsedd att vara heltäckande och förutsättningarna skiljer sig åt mellan olika kategorier av myndigheter och andra aktörer inom förvaltningen. I kapitel 6 redogör vi för nuvarande och kommande styrning av interoperabilitet vid datadelning.
En myndighet eller en annan aktör inom den offentliga förvaltningen har utrymme för att fatta många olika beslut om sin egen verksamhet. Verksamheten måste emellertid alltid bedrivas inom ramarna för de rättsliga bestämmelser som finns.
5.2. Normgivning
Normgivningsmakten, det vill säga rätten att besluta om rättsregler, regleras främst i 8 kap. regeringsformen (RF) men även andra kapitel innehåller bestämmelser om normgivning. På det tryck- och yttrandefrihetsrättsliga området regleras normgivningsmakten utöver vad som följer av RF:s regler om grundlag, i tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Dessa bestämmelser behandlas inte i det följande eftersom vårt uppdrag inte omfattar det området.
RF anförtror normgivningsmakten på olika områden åt riksdagen och regeringen samt, efter delegation, till förvaltningsmyndigheter och kommuner. Endast dessa offentliga organ kan utöva normgivningsmakt i RF:s mening. Enligt RF kan det organ som anförtrotts normgivningskompetens inte delegera denna utan uttryckligt lagstöd eller stöd i bemyndiganden. Ett bemyndigande att meddela föreskrifter ska alltid ges i lag eller förordning.1
Enligt 8 kap. 1 § RF är normgivningsmakten fördelad mellan riksdagen och regeringen. Med normgivningsmakten förstås rätten att besluta rättsregler, dvs. sådana regler som är bindande för enskilda och myndigheter och som gäller generellt. Dessa regler kallas i 8 kap. RF för föreskrifter. Föreskrifter meddelas av riksdagen genom lag och av regeringen genom förordning. Föreskrifter kan också, efter bemyndigande av riksdagen eller regeringen, meddelas av andra myndigheter.
När riksdagen delegerar normgivningsmakt till regeringen enligt 8 kap. 3 § RF kan det finnas ett praktiskt behov av att möjliggöra för regeringen att delegera denna makt vidare till en förvaltningsmyndighet. Riksdagen kan därför medge att regeringen bemyndigar en förvaltningsmyndighet eller en kommun att meddela föreskrifter i ämnet, s.k. subdelegation (8 kap. 10 § RF).
5.2.1. Restkompetensen
Till det område där normgivningskompetensen i första hand ligger hos regeringen (regeringens primärområde) hör föreskrifter om verkställighet av lag och föreskrifter som inte enligt grundlag ska meddelas av riksdagen, den s.k. restkompetensen (8 kap. 7 § första stycket 2 RF). Regeringen kan med stöd av 8 kap. 13 § tredje stycket RF delegera normgivningskompetens inom hela sitt primärområde till förvaltningsmyndigheter och domstolar. Bemyndigandet ges i allmänhet i en förordning.
Regeringsformen medger dock att riksdagen meddelar föreskrifter även inom regeringens primärområde (8 kap. 14 § RF). Om riksdagen lagstiftar i en fråga som faller inom regeringens kompetensområde, får regeringen eller en myndighet som tidigare har fått normgivningskompetens på det området inte längre besluta föreskrifter i ämnet så länge lagstiftningen består (den formella lagkraftens princip, 8 kap. 17 §).
5.2.2. Föreskriftsrätt, myndigheters självständighet och kommunal självstyrelse
Såsom redogjorts för är RF:s regler om normgivningsmaktens fördelning i huvudsak samlade i 8 kap. Främst syftar reglerna till att fördela normgivningskompetensen mellan riksdag och regering. Kapitlet reglerar dock också möjligheterna att överlåta normgivningskompetens till myndigheter och kommuner (8 kap. 1 § RF.) Myndigheter har dock inte någon egen direkt på RF grundad rätt att besluta om föreskrifter, utan denna rätt är beroende av bemyndigande i lag och förordning.2
Kommunallagen (KL [2017:725]) KL reglerar bl.a. kommunernas angelägenheter och grundläggande befogenheter. I lagen finns bestämmelser om kommuners organisation och beslutsfattande. Lagen utgör genom dessa regler grunden för förverkligandet av den kommunala självstyrelsen enligt regeringsformen. Bestämmelser om vilka uppgifter kommunerna har finns också i andra lagar, exempelvis i socialtjänstlagen och skollagen (2010:800). Sverige har vidare ratificerat den Europeiska konventionen om kommunal självstyrelse.
Den kommunala självstyrelsen har en central ställning i Sverige och är en viktig del av vårt demokratiska system. Av 1 kap. 1 § RF framgår att den svenska folkstyrelsen förverkligas genom ett representativt och parlamentariskt statsskick och genom kommunal självstyrelse. Enligt 1 kap. 7 § finns kommuner på lokal och regional nivå. I samband med den senaste översynen av RF infördes ett nytt kapitel om kommunerna. Den nya regleringen markerar kommunernas särskilda betydelse i det svenska demokratiska systemet. Någon allmän definition av vad som avses med kommunal självstyrelse finns inte. Enligt 14 kap. 2 § RF sköter kommunerna lokala och regionala angelägenheter av allmänt intresse samt övriga angelägenheter som bestäms i lag på den kommunala självstyrelsens grund. Av bestämmelsen framgår att det i lag finns närmare bestämmelser om den kommunala självstyrelsen. I förarbetena till 1974 års regeringsform uttalades att det varken var lämpligt eller möjligt att en gång för alla dra orubbliga och preciserade gränser i grundlag kring en kommunal självstyrelsesektor samt att arbets- och befogenhetsfördelningen mellan stat och kommun i ganska vid omfattning i stället måste kunna änd-
2 Se även Strömberg, Håkan, Normgivningsmakten enligt 1974 års regeringsform, 1999 s. 51–56, 73–77, 100.
ras i takt med samhällsutvecklingen. Enligt 14 kap. 3 § RF bör en inskränkning i den kommunala självstyrelsen inte gå utöver vad som är nödvändigt med hänsyn till de ändamål som har föranlett den. Inskränkningar måste således vara proportionerliga.
Föreskrifter om grunderna för kommunernas organisation och verksamhetsformer och för den kommunala beskattning samt kommunernas befogenheter i övrigt och deras åligganden meddelas genom lag (8 kap. 2 § 3 RF).
Mot denna bakgrund kan vi konstatera att statliga myndigheter, kommuner och regioners verksamhetsområden är begränsade till vad som framgår av den lagstiftning som styr dem och myndigheterna har inte heller några befogenheter att styra andra myndigheter utöver vad som följer av uttryckliga bemyndiganden i lag och förordning.
Om myndigheter skapar överenskommelser i samverkan ger det dem inte några ytterligare rättsliga befogenheter att styra varandra eller andra myndigheter.3 För att exempelvis Digg ska kunna föreskriva på en förvaltningsgemensam nivå, det vill säga för andra statliga myndigheter, kommuner och regioner krävs ett bemyndigande i förordning som i sin tur bygger på ett bemyndigande i lag för regeringen.
5.2.3. Regeringens möjligheter att styra statliga myndigheter
På den statliga förvaltningsnivån har regeringen olika medel för att styra de statliga myndigheterna, varav delar av styrningen sker genom författningar. Styrning sker huvudsakligen genom tilldelning av medel, bestämmelser i myndigheternas instruktioner, myndigheternas årliga regleringsbrev samt genom att myndigheterna ges regeringsuppdrag. Regeringen styr också myndigheterna genom val av ledningsform och tillsättning av myndighetsledning.
5.3. Styrningen ska vara förenlig med EU-rätten
Den Europeiska unionen är ett mellanstatligt samarbete. Med medlemskap i unionen följer rättigheter och skyldigheter. Medlemsstaterna ska följa det regelverk som finns på EU-nivå. EU:s regelverk utgörs av det som kallas primärrätten respektive sekundärrätten. Primär-
3 Se prop. 2016/17:180 s. 292 f. och s. 71, 8 kap. RF jfr legalitetsprincipen i 1 kap. 1 § tredje stycket RF.
rätten utgörs av EU:s fördrag. Fördragen är bindande avtal mellan EU:s medlemsstater och är i dagsläget fyra.4 De innehåller övergripande bestämmelser om unionen, hur den ska arbeta samt rättigheter och skyldigheter för unionens medlemsstater. Fördragen sätter också ramarna för vilka beslut om får eller ska fattas på EU-nivå och vilka beslut som får fattas av medlemsstaterna själva. Medlemsstaterna ska vara lojala mot EU och de beslut som fattas av unionen. Denna plikt kallas lojalitetsplikten. Enligt artikel 4.3 andra stycket i EUF ska medlemsstaterna vidta alla lämpliga åtgärder, både allmänna och särskilda, för att säkerställa att de skyldigheter fullgörs som följer av fördragen eller av unionens institutioners akter.
Av artikel 4.1 EUF framgår att varje befogenhet som inte har tilldelats unionen i fördragen tillhör medlemsstaterna, även kallad principen om avgränsningen av unionens befogenheter. Enligt principen om tilldelade befogenheter ska unionen endast handla inom ramen för de befogenheter som medlemsstaterna har tilldelat den i fördragen för att nå de mål som fastställs där. Varje befogenhet som inte har tilldelats unionen i fördragen ska tillhöra medlemsstaterna.5 EU kan endast vidta åtgärder inom de områden och inom de ramar som medlemsstaterna har kommit överens om. Dessa områden framgår av fördragen. Inom vissa områden medlemsstaterna kommit överens om att överlämna all befogenhet till EU. Ett exempel på det är handelspolitiken (handel med länder utanför EU), där EU har så kallade exklusiva befogenheter.6 Det innebär att EU förhandlar och vidtar handelsåtgärder i relation till länder utanför EU. EU:s medlemsstater kan inte själva göra det.
Inom många områden är befogenheterna mellan EU och medlemsstaterna delade. Exempel på sådana områden är den inre marknaden, miljö, transport och energi. Inom de områden där befogenheterna är delade får medlemsstaterna utöva sin befogenhet när EU inte utövar, eller har beslutat att inte utöva, sin befogenhet. Om det inte finns sekundärrätt inom ett område kan medlemsstaterna därför välja att själva vidta lagstiftningsåtgärder.
Inom vissa områden, som inte omfattas av den exklusiva eller delade befogenheten, kan EU endast samordna eller komplettera medlems-
4 Fördraget om Europeiska unionen (EUF), Fördraget om Europeiska unionens funktionssätt (FEUF), Fördraget om upprättandet av Europeiska atomenergigemenskapen och Europeiska unionens stadga om de grundläggande rättigheterna. 5 Artikel 5.2 EUF. 6 Artikel 3 EUF.
ländernas åtgärder. Medlemsstaterna kan inte hindras från att vidta lagstiftningsåtgärder inom dessa områden. Denna befogenhet kallas stödjande befogenhet.
Av intresse för denna utredning är vilken befogenhet EU har i relation till medlemsstaternas offentliga förvaltningar. Medlemsstaternas offentliga förvaltningar omfattas inte av EU:s exklusiva eller delade behörighet. EU har därför inte möjlighet att lagstifta om ländernas förvaltningar. Det innebär emellertid inte att EU saknar befogenhet att lagstifta om sådant som påverkar förvaltningarna. Det finns en stor mängd EU-lagstiftning som ställer krav på medlemsstaternas myndigheter. I vissa fall är det lagstiftning som omfattar en bred krets aktörer, där myndigheter ingår, exempelvis EU:s dataskyddsförordning som nämns ovan. I andra fall är det lagstiftning som riktar sig direkt till myndigheter och s.k. offentligrättsliga organ, exempelvis webbtillgänglighetsdirektivet7 och upphandlingsdirektivet8. EU är dessutom beroende av medlemsstaterna och dess myndigheter i att genomföra EU:s politik.
Sekundärrätten utgörs av EU-lagstiftning som beslutas med stöd av primärrätten, såsom direktiv och förordningar. Om EU beslutar om en sekundärrättsakt har unionen valt att utöva sin befogenhet. Ett EU-direktiv är en EU-rättsakt som ska göras om till nationell lagstiftning i alla medlemsstater. Direktiv kan också vara s.k. fullharmoniseringsdirektiv. Dessa ger inte utrymme för medlemsstaterna att gå längre, exempelvis införa hårdare krav än de som fastställs i det aktuella direktivet. Förordningar är direkt tillämpliga i medlemsstaterna vilket innebär att de inte ska genomföras igenom nationell lagstiftning. Däremot kan EU-förordningar innebära att medlemsstaterna måste vidta kompletterande lagstiftningsåtgärder eller andra åtgärder. Ett exempel är EU:s dataskyddsförordning9 som i Sverige kompletteras av bl.a. lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning. Exempel på andra åtgärder är när medlemsstaterna pekar ut vilken eller vilka myndigheter som ska vara
7 Europaparlamentets och rådets direktiv (EU) 2016/2102 av den 26 oktober 2016 om tillgänglighet avseende offentliga myndigheters webbplatser och mobila applikationer. 8 Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG. 9 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
exempelvis tillsynsmyndigheter (vilket i och för sig kan göras genom författning, såsom är fallet i Sverige10).
Bedömningen om det nationella utrymmet att styra, när EU utövat sin befogenhet, måste göras med beaktande av de åtgärder EU har vidtagit. När det kommer till interoperabilitet vid datadelning inom och från den offentliga förvaltningen i medlemsstaterna finns det, som vi redogör för i kapitel 6, EU-lagstiftning som reglerar delar av detta område. För det som omfattas av dessa rättsakter har EU således utövat sin befogenhet och medlemsstaterna är förhindrade att själva lagstifta. Området är emellertid endast delvis reglerat på EUnivå och det finns därför utrymme för medlemsstaterna att själva reglera det som inte omfattas. Dessutom omfattas inte medlemsstaternas offentliga förvaltningar som sådana av EU:s befogenheter. Befogenheten ligger således hos medlemsstaterna.
10 Se t.ex. 3 § förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning där det föreskrivs att Integritetsskyddsmyndigheten är tillsynsmyndighet.
6. Styrning av datadelning och interoperabilitet
6.1. Inledning
Vi har i kapitel 4 redogjort för interoperabiliteten vid datadelning inom och med den offentliga förvaltningen. I detta kapitel undersöker vi hur den offentliga förvaltningens datadelning styrs, dvs. vilka krav som den offentliga förvaltningen har att förhålla sig till vid datadelning.
Det finns styrning i olika former som den offentliga förvaltningen måste förhålla sig till och beakta när den delar data. Sådan styrning kan ske genom bindande, författningsreglerade krav i nationell rätt eller EU-rätt, eller genom icke-bindande styrning i form av t.ex. rekommendationer och vägledningar. Styrning kan ske på nationell, förvaltningsgemensam nivå eller inom enskilda sektorer.
Redogörelsen i kapitlet är avgränsad till styrning av datadelning och interoperabilitet vid datadelning. Vi har således valt att inte inkludera exempelvis övergripande bestämmelser om samverkan.
6.2. Författningsreglerad styrning om datadelning
6.2.1. Övergripande styrning av nationell interoperabilitet saknas
Det finns i Sverige ingen författning som styr nationell eller förvaltningsgemensam interoperabilitet vid datadelning eller teknisk utveckling. Målen för den offentliga förvaltningen som beskrivs i kapitel 3 har alltså inte kompletterats med någon författningsreglerad inriktning mot hur målen ska uppnås vad gäller interoperabilitet.
Den bindande styrning som finns för hantering av data i svensk nationell rätt kan snarare sägas främst ha fokus på vikten av en god
offentlighetsstruktur1, informationssäkerhet2 och säkerhetsskydd3, integritetsskydd4 och arkivhantering.5 Syftet med sådan styrning är framför allt att tillgodose allmänhetens intresse av insyn i offentlig förvaltning, att säkerställa konfidentialitet, riktighet och tillgänglighet, att säkerställa skyddet för den personliga integriteten samt att bevara data för framtida behov och forskning, men inte att säkerställa datadelning inom och med den offentliga förvaltningen.
Vår bedömning är att behov av interoperabilitet implicit framgår av det grundläggande regelverket för myndigheternas verksamhet och informationshantering men att interoperabilitet inte utgör ett uttryckligt syfte.
Inom EU finns emellertid ett antal bindande krav på datadelning som antingen är bindande direkt genom att de följer av EU-förordning eller efter genomförande i svensk rätt. Som exempel på detta kan nämnas dataförvaltningsförordningen6 och öppna data-direktivet7som genomförts genom lagen (2022:818) om den offentliga sektorns tillgängliggörande av data (öppna datalagen). I öppna datalagen finns grundläggande krav på format som ska användas när data delas.8 Vid införandet av lagen angav regeringen att en myndighet skulle kunna bemyndigas att meddela verkställighetsföreskrifter om precisering av vilka format som ska tillämpas.9 Något sådant bemyndigande har dock inte getts.
Reglering som enbart omfattar statliga myndigheter
Det finns exempel på styrning i författningar som endast avser statliga myndigheter och som, åtminstone i vissa delar, får anses ha interoperabilitet som syfte. Nedan presenterar vi exempel på sådan styr-
1Offentlighets- och sekretesslagen (2009:400). 2 Se bl.a. förordningen (2022:524) om statliga myndigheters beredskap. 3Säkerhetsskyddslagen (2018:585). 4 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) samt anslutande nationell reglering. 5Arkivlagen (1990:782). 6 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten). 7 Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (omarbetning). 8 2 kap. 2–4 §§ öppna datalagen. 9Prop. 2021/22:225 s. 39.
ning, varav två omfattar alla statliga myndigheter och ett avser en begränsad krets av dem.
Bestämmelser om arkiv hos den offentliga förvaltningen finns i arkivlagen (1990:782), arkivförordningen (1991:446) och vissa av Riksarkivets föreskrifter. Riksarkivets föreskrifter och allmänna råd om tekniska krav för elektroniska handlingar, RA-FS 2009:2, (upptagningar för automatiserad behandling) omfattar statliga myndigheter.10Kraven ska tillämpas vid framställning, bevarande hos myndighet och överlämnande till arkivmyndighet.11 Föreskrifterna innehåller bl.a. bestämmelser om format för databaser och register. Databaser och register ska ges formaten som sekventiella filer med fast fält- och postlängd, sekventiella filer med teckenseparerade fält eller Extensible Markup Language (XML).12 Detta är krav som påverkar utveckling av databaser och register och som enligt vår bedömning också kan påverka interoperabiliteten.
I förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte föreskrivs att en myndighet i sin verksamhet ska främja utvecklingen av ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga förvaltningen.13 Interoperabilitet får anses främja ett säkert och effektivt elektroniskt informationsutbyte. Det framgår emellertid inte av bestämmelsen vilka åtgärder myndigheter ska vidta för att främja utbytet utifrån de aspekter som anges. Det finns inget bemyndigande för en myndighet att meddela ytterligare föreskrifter som skulle kunna komplettera bestämmelsen.
Förordningen (2018:1264) om digitalt inhämtande av uppgifter från företag innehåller bestämmelser som får anses förutsätta interoperabilitet. Den omfattar de statliga myndigheter som anges i en bilaga till förordningen. En myndighet ska så långt det är möjligt använda sådana uppgifter om företag som finns tillgängliga inom statsförvaltningen, så att företag inte behöver lämna samma uppgifter flera gånger.14 Bestämmelsen ger uttryck för principen om ”en uppgift en gång”, som vi redogör för i kapitel 4. En myndighet ska, när den utvecklar ett system för inhämtande av uppgifter från företag, utforma systemet så att företags uppgiftslämnande och därmed sammanhängande kommunikation med företag som huvudregel sker digi-
10 1 kap. 6 § RA-FS 2009:2. 11 1 kap. 1 § RA-FS 2009:2. 12 3 kap. 1 § RA-FS 2009:2. 132 § förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte. 144 § förordningen (2018:1264) om digitalt inhämtande av uppgifter från företag.
talt.15 Ett sådant system ska vara säkert och bygga på vanligt förekommande tekniska lösningar, och när det är lämpligt ska öppna standarder användas. Dessutom ska systemet stödja ett samordnat inhämtande av strukturerade uppgifter i statsförvaltningen. Regeringen har genom bestämmelsen pekat ut riktningen för de statliga myndigheterna för det fortsatta arbetet med sina system men på en övergripande nivå. Tillväxtverket och Bolagsverket ska svara för rådgivning och uppföljning samt bistå i myndigheternas samordning.16Statskontoret har följt upp hur förordningen tillämpas. Enligt Statskontoret tillämpar en majoritet av myndigheterna förordningen när de hämtar in uppgifter från företag (det sker i första hand genom SSBTGU17) men tolkningsutrymmet i förordningen leder till att myndigheterna blir osäkra på vilka krav som förordningen faktiskt ställer på dem.18
6.2.2. Exempel på interoperabilitetsstyrning genom myndighetsföreskrifter
Vi har identifierat ett antal exempel på myndighetsföreskrifter som reglerar interoperabilitet vid datadelning. Nedan presenterar vi några av dessa exempel. Det är inte en uttömmande uppräkning av vilka myndigheter som har bemyndigande att meddela föreskrifter om interoperabilitet vid datadelning. Vi kan konstatera att de exempel på styrning som vi har identifierat i vår utredning och analys främst avser specifika situationer av datadelning, som exempelvis en viss uppgiftsskyldighet för ett visst syfte.
Statistiska centralbyrån (SCB) har med stöd av förordningen (2001:100) om den officiella statistiken19 meddelat föreskrifter och allmänna råd om bl.a. offentliggörande av officiell statistik.20 Enligt föreskrifterna ska den officiella statistiken tillgängliggöras som öppna data i maskinläsbara format.21 Det föreskrivs inte vilka maskinläsbara format som ska användas men av de allmänna råden till bestämmel-
155 § förordningen (2018:1264) om digitalt inhämtande av uppgifter från företag. 167 § förordningen (2018:1264) om digitalt inhämtande av uppgifter från företag. 17 Se mer i avsnitt 6.3.1. 18 Statskontoret, Enklare för företag? Uppföljning av myndigheternas tillämpning av förordning
(2018:1264) om inhämtande av uppgifter från företag (2023:10), s. 21.
1916 § förordningen (2001:100) om den officiella statistiken. 20 Statistiska centralbyråns föreskrifter och allmänna råd om offentliggörande m.m. av officiell statistik (SCB-FS 2023:6). 21 11 § SCB-FS 2023:6.
sen framgår att öppna standarder och format som möjliggör ett tillgängliggörande på Sveriges Dataportal hos Myndigheten för digital förvaltning bör användas. Enligt de allmänna råden bör också användarhandledningar och beskrivningar finnas tillgängliga.
Boverkets föreskrifter om detaljplan (BFS 2020:5) innehåller bestämmelser till plan- och bygglagen (2010:900) och plan- och byggförordningen (2011:338) om detaljplanens reglering och om detaljplanens digitala information. En detaljplan består av en plankarta med bestämmelser och till varje detaljplan hör en planbeskrivning som förklarar syftet med planen och på vilket sätt den ska genomföras.22I Boverkets föreskrifter fastställs bl.a. hur olika användningsbestämmelser i en detaljplan ska formuleras samt vilken bestämmelsekod som ska användas. Detaljplansbestämmelser om torg ska exempelvis använda formuleringen ”Torg” och bestämmelsekoden ”DP_AP_Torg”.23Genom föreskrifterna standardiseras således formuleringar och koder.
Socialstyrelsen har meddelat föreskrifter om uppgiftsskyldighet till Socialstyrelsens patientregister.24 De uppgifter som omfattas av föreskrifterna ska lämnas till Socialstyrelsen genom myndighetens elektroniska tjänster för filöverföring.25 Ytterligare preciseringar om hur uppgifterna ska lämnas och deras format finns i bilagor till föreskrifterna. Av bilagorna framgår bl.a. att uppgifterna ska lämnas i separata textfiler och att uppgifterna ska skiljas åt med semikolon. Vidare fastställs format för personnummer och att diagnoskoder ska ha sju tecken och registreras enligt Internationell statistisk klassifikation av sjukdomar och relaterade hälsoproblem – Systematisk förteckning (ICD-10-SE).26
Myndigheten för digital förvaltning har bemyndigats att meddela föreskrifter om sådana data som ska lämnas till metadataförteckning över data som tillgängliggörs för vidareutnyttjande enligt öppna datalagen. Myndigheten har emellertid valt att rekommendera vilken data
22 https://www.boverket.se/sv/PBL-kunskapsbanken/planering/detaljplan/handlingar/ (hämtad 2023-09-19). 23 4 kap. 2 § BFS 2020:5. 24 Socialstyrelsens föreskrifter om uppgiftsskyldighet till Socialstyrelsens patientregister (HSLF-FS 2023:33). 256 § HSLF-FS 2023:33. 26 https://www.socialstyrelsen.se/statistik-och-data/klassifikationer-och-koder/icd-10/ (hämtad 2023-09-19).
som ska lämnas, genom att peka på den standard som ska tillämpas, i stället för att meddela föreskrifter.27
6.3. Samverkan och samarbeten om datadelning inom offentlig förvaltning
6.3.1. Myndighetssamverkan om datadelning
I dag är det, utöver de rättsligt bindande krav som vi identifierat, upp till varje aktör inom offentlig förvaltning att bestämma hur data ska delas och hur den tekniska utvecklingen ska ske. Det innebär att aktörerna har stor autonomi när de väljer hur data ska delas. För att ändå kunna dela data mellan varandra har aktörerna själva etablerat sätt för datadelning och somliga av dem har reglerat datadelningen i överenskommelser eller avtal sinsemellan.
Myndighetssamverkan om datadelning kan sägas vara en form av styrning av datadelning. Om en aktör definierar förutsättningarna för delningen av de data som aktören tillhandahåller, behöver den mottagande aktören anpassa sig efter dessa förutsättningar. Om en statlig myndighet exempelvis tillhandahåller data till många kommuner, kräver det att kommunerna anpassar sitt mottagande till de förutsättningar som den statliga myndigheten har satt upp för datadelningen.
Data som delas automatiserat mellan aktörer inom offentlig förvaltning delas bl.a. inom ramen för ärendehantering eller på grund av uppgiftsskyldigheter. Sådan datadelning kan ske via bilaterala tekniska förbindelser eller via större, sammanhållna tjänster. Två exempel på det senare är Sammansatta bastjänsten för grundläggande uppgifter om företag (SSBTGU) och Sammansatt bastjänst ekonomiskt bistånd (SSBTEK).
SSBTGU tillhandahålls av Bolagsverket, Skatteverket och Statistiska centralbyrån (SCB) och de uppgifter som tjänsten förmedlar hämtas från dessa myndigheter.28 Bolagsverket ansvarar för tjänsten. Med den sammansatta bastjänsten kan företagare när de är i en kommuns e-tjänst återanvända sina företagsuppgifter som redan finns hos andra
27 https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/offentligaaktorer/information-om-oppna-datalagen/lamna-metadata-till-sveriges-dataportal (hämtad 2023-09-04). 28 https://www.bolagsverket.se/omoss/utvecklingavdigitalatjanster/densammansattabastjansten forgrundlaggandeuppgifteromforetag/saharfungerardensammansattabastjansten.2229.html (hämtad 2023-06-21).
myndigheter. Myndigheter kan även hämta företagsuppgifter till sina verksamhetssystem.
Genom tjänsten SSBTEK kan handläggare inom socialtjänstens verksamhetsområde ekonomiskt bistånd få information från ett flertal myndigheter och från a-kassorna.29 Sveriges Kommuner och Regioner har uppdraget att förvalta tjänsten medan Försäkringskassan ansvarar för teknisk förvaltning och drift av tjänsten. De organisationer som lämnar information genom tjänsten är i dagsläget Transportstyrelsen, Sveriges a-kassor, Arbetsförmedlingen, CSN, Försäkringskassan, Pensionsmyndigheten, Skatteverket och Migrationsverket.30 Tjänsten har enligt uppgift till utredningen ersatt motringningar som tidigare var mycket tidskrävande.
Ett annat exempel där interoperabilitet har uppnåtts inom ramen för ärendehantering finns på rättsväsendets område. Sedan många år har myndigheter inom rättsväsendet, eller som bedriver verksamhet inom rättsväsendet, bl.a. Domstolsverket, Polismyndigheten, Skatteverket och Åklagarmyndigheten, samverkat för att utbyta data inom ramen för brottmålsprocessen. I förordningen (2014:1085) om rättsväsendets informationshantering finns bestämmelser om att när myndigheterna lämnar uppgifter till varandra så ska de överföras i ett sådant format att de kan användas med hjälp av automatiserad behandling hos den mottagande myndighetens verksamhet och användas för automatiserad uppföljning och statistik. Samverkansarbetet regleras i förordningen (2019:1283) om rättsväsendets digitalisering men arbetet påbörjades redan i mitten av 1990-talet.31 Arbetet har lett till att uppgifter kan delas mellan de olika myndigheternas verksamhetssystem.
29 https://www.forsakringskassan.se/myndigheter-och-samarbetspartner/e-tjanster-formyndigheter-och-samarbetspartner/ssbtek/allman-information-om-ssbtek (hämtad 2023-06-21). 30 https://skr.se/integrationsocialomsorg/ekonomisktbistandforsorjning/ssbtekdigitaltjanstfor ekonomisktbistand.2998.html (hämtad 2023-06-21). 31 https://bra.se/om-bra/organisation/rattsvasendets-digitalisering---enmyndighetssamverkan.html (hämtad 2023-09-15).
6.3.2. Regeringsuppdrag om datadelning
Regeringen använder i hög utsträckning tillfälliga regeringsuppdrag för att genomföra digitaliseringspolitiken.32 Regeringsuppdrag kan emellertid bara riktas till statliga myndigheter och kan därför inte vara styrande för kommuner och regioner.
Regeringen har genom ett flertal regeringsuppdrag till statliga myndigheter gett dem i uppdrag att på olika sätt arbeta för bättre tillgång till data eller bättre förutsättningar för datadelning. Uppdragen kan vara avgränsade till att omfatta ett fåtal myndigheter, utpekade datamängder eller vara avgränsade till en utpekad sektor. Det finns emellertid exempel på uppdrag som haft en bredare ansats. Regeringsuppdragen avseende etablerandet av den förvaltningsgemensamma digitala infrastrukturen, som vi redogör för nedan, är exempel på sådana uppdrag (se nedan). Ett annat exempel är uppdraget till åtta33 statliga myndigheter att utveckla en sammanhållen datainfrastruktur för kompetensförsörjning och livslångt lärande.34 Utifrån perspektivet livslångt lärande kan det vara relevant att kombinera data från olika delar av förvaltningen och från t.ex. företag, såsom data från arbetslivet och data från skolväsendet och högre utbildningar.
6.4. Framväxten av den förvaltningsgemensamma digitala infrastrukturen – Ena
Det mest konkreta exemplet på regeringens försök att styra interoperabilitet på en övergripande nivå är genom flera regeringsuppdrag som lett fram till det som Myndigheten för digital förvaltning (Digg) benämner Ena, Sveriges digitala infrastruktur. Regeringsuppdragen har inte primärt avsett interoperabilitet, men förbättrad interoperabilitet måste ändå förstås som ett av målen med uppdragen.
I detta avsnitt redogör vi för uppdragen och dess innehåll samt för hur Ena fungerar i dagsläget. I våra direktiv anges att utredningsarbetet ska utgå från det arbete som Digg utför när det gäller Sveriges digitala infrastruktur. En viktig utgångspunkt för våra förslag blir därför
32 Statskontoret, Fortsatta former för digitaliseringspolitiken – Utvärdering av Digitaliseringsrådet
och kartläggning av regeringens styrning, s. 33.
33 Arbetsförmedlingen, Skolverket, Myndigheten för yrkeshögskolan, Vetenskapsrådet, Universitets- och högskolerådet, Statistiska centralbyrån, Myndigheten för digital förvaltning och Vinnova. 34 N2021/01915.
att överväga om den styrmodell som utvecklats för den digitala infrastrukturen är ändamålsenlig även för styrningen av interoperabilitet.
6.4.1. Uppdraget om säker och effektiv tillgång till grunddata
Regeringen uppdrog i maj 2018 åt Bolagsverket, Lantmäteriet och Skatteverket att tillsammans lämna förslag som syftar till att skapa en säker och effektiv tillgång till grunddata35, genom att bl.a. tydliggöra ansvaret för och öka standardiseringen av sådana data. Som bakgrund till att uppdraget lämnades angavs bl.a. att brister på nationell digital infrastruktur hade lett till många myndighetsspecifika lösningar vilket resulterat i en ineffektiv ordning för den offentliga sektorn som helhet samt att regeringen därför avsåg att stärka styrningen och samordningen av den offentliga sektorns informationsförsörjning genom att tydliggöra ansvarsfördelningen och öka standardiseringen.
Uppdraget till myndigheterna innefattade att med beaktande av sina egna grunddata beskriva behoven och nyttan av grunddata, för såväl den offentliga sektorn som privatpersoner, organisationer och företag, och utifrån behov och nytta identifiera vilka egenskaper som kännetecknar grunddata samt lämna förslag på eventuella ytterligare uppgifter som borde definieras som grunddata. Myndigheterna uppdrogs vidare att lämna förslag på riktlinjer för hantering av grunddata och för ansvariga myndigheters hantering av sådana data. Som exempel på vad riktlinjerna skulle kunna omfatta angavs till bl.a. gemensamma rutiner, modeller, begrepp och behov av samordning. Myndigheterna uppdrogs även att lämna förslag till åtgärder för att tydliggöra ansvaret för och öka standardiseringen av grunddata.
Uppdraget ändrades i september 2018, efter att myndigheten Digg inrättats, såtillvida att Digg blev samordnande myndighet för uppdraget.36 Uppdraget slutredovisades den 30 april 2019.37
35 Fi2018/02149/DF. 36 Fi2018/03036/DF. 37 Myndigheten för digital förvaltning, Uppdrag om säker och effektiv tillgång till grunddata,
Slutrapport för regeringsuppdragen Fi2018/02149/DF, Fi2018/03036/DF och I2019/01060/DF,
dnr 2018-31.
6.4.2. Redovisning av uppdraget om tillgång till grunddata
Myndigheterna i regeringsuppdraget, Lantmäteriet, Bolagsverket, Skatteverket och Digg avgränsade sin slutredovisning av uppdraget till rättsliga, organisatoriska och semantiska aspekter av interoperabilitet, och angav att de tekniska aspekterna på interoperabilitet hanterades i redovisningen av uppdraget om informationsutbyte. Grunddata definierades i redovisningen av uppdraget som uppgifter, inom offentlig förvaltning, som flera aktörer har behov av och som är viktiga i samhället, oberoende av om de är utpekade i särskilda register eller inte.
En del av uppdraget var att genomföra en behovsanalys. Bland de gemensamma behoven som identifierades fanns bl.a. behov av en modell för grunddata som tydliggör vilka grunddata som finns och vad dessa grunddata representerar. Vidare identifierades behov av att standardisera grunddatas innehåll och säkerställa att samma semantik använts för alla aktörer, en välfungerande process för att fatta beslut om att tillgängliggöra grunddata, att göra grunddata tillgängliga utan kostnad, att göra grunddata beständiga i tiden, en digital infrastruktur samt behov av ett tydligt ansvar för grunddata. Några av de nyttor som identifierades var att aktörer ges tillgång till standardiserade grunddata med känd åtkomlighet, kvalitet och aktualitet, att tillgång till grunddata skapar en potential för effektivisering samt bättre kontroll och styrning och att digitaliseringen av de offentliga processerna underlättas och påskyndas.
Myndigheterna föreslog i slutredovisningen av uppdraget ett antal gemensamma principer och riktlinjer för grunddata, bl.a. följande: – Grunddata ska hämtas från källan. – Grunddata ska leva upp till fastställda krav gällande informationens
tillgänglighet, interoperabilitet, kvalitet, informationssäkerhet och aktualitet. – Grunddata ska vara nationellt avgiftsfria inom offentlig förvaltning. – Tillgängliggörande av grunddata ska styras av användarbehov. – Tillgängliggörande sker i en formell process.
För att tydliggöra ansvaret för och öka standardiseringen av grunddata föreslogs i slutrapporten att det skulle etableras ett nationellt
ramverk för grunddata samt grunddatadomäner för företag, person och fastighetsinformation samt geografisk information. I ramverket skulle ansvaret för grunddata regleras på två nivåer, dels i form av ett förvaltningsansvar för principer och riktlinjer på nationell nivå som skulle åligga Digg, dels ett förvaltningsansvar för domängemensamma principer och riktlinjer för s.k. grunddatadomäner, där ansvaret för respektive grunddatadomän skulle åligga Bolagsverket för grunddatadomänen Företag, Skatteverket för grunddatadomänen Person och Lantmäteriet för grunddatadomänen Fastighetsinformation och geografisk information.
6.4.3. Uppdraget om ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn
Regeringen uppdrog i maj 2018 åt Bolagsverket, Domstolsverket, E-hälsomyndigheten, Försäkringskassan, Lantmäteriet och Skatteverket att lämna förslag som syftar till att skapa ökad säkerhet och effektivitet i samband med elektroniska informationsutbyten inom och med den offentliga sektorn, bl.a. genom ökad standardisering.38
Som bakgrund till uppdraget angavs bl.a. följande. Statliga myndigheter, kommuner och landsting har i huvudsak utvecklat lösningar för elektroniskt informationsutbyte utifrån sina egna verksamheters behov och förutsättningar, vilket lett till en mängd lösningar som löser samma behov på olika sätt, vilket lett till ineffektivitet vid digital samverkan inom och med den offentliga sektorn. Med elektroniskt informationsutbyte avsågs för uppdragets vidkommande ett systematiserat tillgängliggörande av grunddata, samt annat utbyte av strukturerad och ostrukturerad information, exempelvis ärendestatus och meddelanden mellan aktörer.
Uppdraget slutredovisades den 15 augusti 2019.39
38 Fi2010/02150/DF. 39 Myndigheten för digital förvaltning, Säkert och effektivt elektroniskt informationsutbyte inom
den offentliga sektorn, Slutrapport i regeringsuppdraget Fi2018/02150/DF, FI2018/ 03037/DF och I2019/01061/DF, dnr 2019-100.
6.4.4. Redovisning av uppdraget om informationsutbyte
Myndigheterna genomförde en behovsanalys avseende informationsutbyte inom offentlig sektor som resulterade i att förvaltningsgemensamma behov identifierades inom följande områden: – Informationshantering: Behov av att kunna lita på information och
kunna bedöma informationskvaliteten. – Tillit och säkerhet: Behovet av att bl.a. kunna kontrollera att en
identifierad aktör har rätt att få ta del av informationen. – Informationsutbyte: Behovet av att bl.a. kunna söka, sammanställa,
filtrera, delge, få åtkomst till och få uppdateringar på information från flera källor (omfattande synkron och asynkron meddelandehantering). – Digitala tjänster: Behovet av att bl.a. kunna sätta villkor för infor-
mationsutbyte i digitala tjänster.
Myndigheterna genomförde även en omvärldsanalys där befintliga nationella lösningar för informationsutbyte och lösningar från omvärlden beskrevs och analyserades för att ta tillvara på lärdomar och insikter. Omvärldsanalysen visade att de nationella befintliga lösningarna behöver kompletteras med gemensamma regelverk, standarder och förvaltningsgemensamma byggblock för att möjliggöra informationsutbyte mellan sektorer i det offentliga och med privat sektor.
Utifrån resultatet av analyserna föreslog myndigheterna att det skulle finnas fyra kategorier av förvaltningsgemensamma byggblock i ett ekosystem med förvaltningsgemensam digital infrastruktur för informationsutbyte: Digitala tjänster, Informationsutbyte, Informationshantering samt Tillit och säkerhet. Lösningen beskrevs som en konceptuell arkitektur och förslag lämnades även gällande styrformer och reglering av ansvar för byggblocken.
För att realisera byggblocken föreslog myndigheterna ett antal förutsättningsskapande åtgärder som bedömdes vara nödvändiga första steg mot ett säkrare och effektivare informationsutbyte. Myndigheternas tolkning av målbilden enligt uppdraget var att det i Sverige ska finnas en förvaltningsgemensam digital infrastruktur med förvaltningsgemensamma lösningar som bidrar till effektivt och säkert informationsutbyte och som är tydligt reglerade avseende myndighetsansvar. Myndigheterna föreslog därför att regeringen skulle säker-
ställa en nationell styrning för att kunna besluta om aktiviteter för utveckling och realisering av en förvaltningsgemensam digital infrastruktur för informationsutbyte. Avseende byggblocken så föreslogs att i ansvaret för ett byggblock, som tilldelades en myndighet, skulle ingå ett ansvar för att samordna tekniska, semantiska och organisatoriska aspekter av byggblocket, utan att det uppstod onödiga överlapp i ansvar i förhållande till andra myndigheter.
Vidare föreslogs nya regeringsuppdrag och finansiering för att analysera, utveckla och realisera en färdplan och realisera de prioriterade byggblocken. Slutligen föreslogs inrättande av ett rättsligt beredningsorgan, för att säkerställa att det finns långsiktiga rättsliga förutsättningar för byggblocken att tas fram. Myndigheterna tog i genomförandet av uppdraget inte höjd för hantering av säkerhetsskyddsklassificerade uppgifter.
6.4.5. Uppdrag om ett nationellt ramverk för grunddata
Regeringen uppdrog i december 2019 åt Bolagsverket, Lantmäteriet, Digg, Myndigheten för samhällsskydd och beredskap (MSB) och Skatteverket att tillsammans etablera ett nationellt ramverk för grunddata inom den offentliga förvaltningen i enlighet med de förslag som ingick slutrapporten av 2018 års uppdrag om grunddata.40
I uppdraget ingick bl.a. att ta fram en gemensam informationsmodell för utpekade grunddatadomäner, gemensamma beskrivningssätt och en kvalitetsmärkning för grunddata, samt att identifiera och beskriva förhållandet till domänspecifika ramverk. Myndigheterna uppdrogs även att etablera gemensamma arbetsformer, rutiner och en organisation för utveckling och förvaltning av såväl nationellt som domänspecifika ramverk. Om det fanns behov av tydligare rättslig grund för den beskrivna strukturen, skulle myndigheterna lämna författningsförslag med reglering av myndigheternas ansvar och uppgifter inom det etablerade nationella ramverket, inklusive förslag på eventuell föreskriftsrätt till stöd för myndigheternas respektive ansvar.
Myndigheterna uppdrogs vidare att ta fram en långsiktig plan för den fortsatta utvecklingen och förvaltningen av det nationella ramverket och grunddatadomänerna samt att påbörja etableringen av
40 2019-12-11, I2019/03307/DF, I2019/01361/DF (delvis), I2019/ 01412/DF, I2019/01447/DF.
grunddatadomänerna företag, person samt fastighet och geografisk information.
Den 17 december 2020 beslutade regeringen att förlänga uppdraget till 1 december 2021.41
6.4.6. Delredovisningar av uppdraget om nationellt ramverk för grunddata
Uppdraget om nationellt ramverk för grunddata delredovisades den 28 februari 202042 och den 29 januari 202143, samt slutredovisades den 1 december 2021. Den första delredovisningen innehåller framför allt en redovisning av den långsiktiga planen för inrättandet av ramverket samt en redovisning av uppskattade kostnader. I den andra delredovisningen ingår bl.a. en fördjupad beskrivning av begreppet nationella grunddata, beskrivning av organisation i grunddatadomäner och styrning av grunddata inom ramen för den förvaltningsgemensamma digitala infrastrukturen, finansiering och en långsiktig, strategisk plan för utveckling.
Av den fördjupade beskrivningen av begreppet grunddata framgår bl.a. följande. Nationella grunddata utgör en delmängd av grunddata. När fler grunddatamängder följer det nationella ramverket för grunddata så kommer mängden nationella grunddata att bli större och målet är att samtliga grunddata på sikt ska vara nationella grunddata. Ramverket för nationella grunddata är ett styrdokument inom den förvaltningsgemensamma digitala infrastrukturen för informationsutbyte. Förvaltning och utveckling av ramverket kommer att ske inom ett av de i den förvaltningsgemensamma digitala infrastrukturen ingående kompetensområdena – kompetensområdet grunddata.
Vidare framgår att ramverket för nationella grunddata inom den offentliga förvaltningen omfattar de överenskomna egenskaper, principer, riktlinjer, metoder och beskrivningssätt som är gemensamma för alla grunddatadomäner. Respektive grunddatadomän kan själva utfärda styrdokument, för den egna grunddatadomänen och dess
41 I2020/03367, I2020/02753 (delvis). 42 Myndigheten för digital förvaltning, delrapport, Uppdrag att etablera ett nationellt ramverk
för grunddata inom den offentliga förvaltningen I2019/03307/DF, I2019/01361/DF (delvis),
I2019/01412/DF, I2019/01447/DF, AD 2019:585. 43 Myndigheten för digital förvaltning, delredovisning, Uppdrag att etablera ett nationellt ram-
verk för grunddata inom den offentliga förvaltningen I2019/03307/DF, I2019/01361/DF (delvis), I2019/01412/DF, I2019/01447/DF, I2020/03367, I2020/02753 (delvis), AD 2019:585.
grunddataproducenter så länge dessa stödjer målbilden för nationella grunddata och den förvaltningsgemensamma digitala infrastrukturen för informationsutbyte.
Standarder nämns särskilt kopplat till ramverket och nationella grunddata, bl.a. enligt följande. Det är viktigt att respektive grunddatadomän beskriver vilka standarder som tillämpas och var dessa finns att ta del av. I ramverket för nationella grunddata inom den offentliga sektorn föreslås inte några gemensamma standarder. Frågan om en ökad standardisering inom ramverket för nationella grunddata bör enligt vår bedömning vara under löpande utvärdering för att ställning ska kunna tas till när och om en ökad mognad eller ökat värde motiverar att standarder beslutas och tillämpas.
Gällande specifikationer nämns bl.a. följande. En specifikation är ett kravdokument på informationen där de viktigaste kraven som ställs är dem på informationsstruktur och datakvalitet. Specifikationen ställer krav på den som ska producera datamängden och hjälper konsumenten att förstå den information som specifikationen omfattar både ur ett användbarhetsperspektiv och ett tekniskt perspektiv. Grunddatadomänansvariga ansvarar för att enhetliga specifikationer tas fram för nationella grunddata inom domänen.
Förslag till förordning
När det gäller styrning av nationella grunddata framgår bl.a. följande av myndigheternas delredovisning. Myndigheterna föreslår en rättslig reglering i form av en förordning som tydligt pekar ut att det finns ett ansvar på nationell nivå och på domännivå för att samordna hanteringen av grunddata. Syftet med regleringen är att skapa förutsättningar för en säker och effektiv hantering av och tillgång till grunddata. De myndigheter som föreslås få utpekade åtaganden är Digg, Lantmäteriet, Skatteverket och Bolagsverket.44 Myndigheternas uppfattning var att förslaget till förordning i huvudsak skulle få ekonomiska konsekvenser för de ingående myndigheterna genom ett tydligare ansvar och fler uppgifter, vilket skulle kräva finansiering.
44 Samordnad hantering av grunddata, bilaga författningsförslag till Myndigheten för digital förvalt-
ning, delredovisning, Uppdrag att etablera ett nationellt ramverk för grunddata inom den offentliga förvaltningen I2019/03307/DF, I2019/01361/DF (delvis), I2019/01412/DF, I2019/01447/DF, I2020/03367, I2020/02753 (delvis), AD 2019:585.
I den föreslagna förordningen angavs i första hand ansvaret för de s.k. grunddatadomänerna person, företag samt fastighetsinformation och geografisk information, samt ansvariga myndigheters skyldigheter avseende samverkan och återrapportering.
Myndigheterna föreslog inte något bemyndigande för myndigheterna att föreskriva inom respektive ansvarsområde. Anledningen till detta angavs vara att det inte fanns något rättsligt åtagande för producenter av grunddata att koppla ett sådant bemyndigande till, då myndigheterna inte heller föreslog någon skyldighet avseende t.ex. informationsproduktion och informationsförsörjning för producenter av grunddata. Myndigheterna bedömde emellertid att det på sikt fanns behov av en rättslig reglering om skyldigheter för producenter av grunddata, såväl statliga som kommunala, med avseende på informationsförsörjning.
6.4.7. Uppdraget om en digital infrastruktur för informationsutbyte
Regeringen uppdrog i december 2019 åt Bolagsverket, Domstolsverket, E-hälsomyndigheten, Försäkringskassan, Lantmäteriet, Digg, MSB, Riksarkivet samt Skatteverket att tillsammans under ledning av Digg etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte.45
Med förvaltningsgemensam digital infrastruktur för informationsutbyte avsågs i uppdraget en sammansättning av olika byggblock eller komponenter som understödjer och möjliggör ett säkrare och mer effektivt sektors-, förvaltnings- och gränsöverskridande elektroniskt informationsutbyte inom och med den offentliga förvaltningen. Med byggblock avsågs i uppdraget en grundläggande infrastrukturkomponent som kan användas i mer komplexa digitala tjänster inom den offentliga förvaltningen. Ett byggblock kan bestå av tekniska förmågor, men även av standardiserade modeller och mönster som ska kunna användas vid olika typer av informationsutbyte.
Myndigheterna uppdrogs att gemensamt ta fram en lämplig struktur med gemensamma arbetsformer, rutiner, organisation och ansvarsfördelning för analys, kravställning, utveckling och förvaltning av de byggblock som ska ingå i infrastrukturen. Arbetet skulle ta utgångs-
45 I2019/03306/DF, I2019/01036/DF (delvis), I2019/ 01361/DF (delvis), I2019/ 02220/DF.
punkt i de förslag som presenterades i rapporten från 2018 års regeringsuppdrag om ett säkert och effektivt informationsutbyte.
Vidare angavs i uppdraget att om det fanns behov av tydligare rättslig grund för den beskrivna strukturen, skulle myndigheterna lämna författningsförslag som reglerade myndigheternas uppgifter och ansvar inom den förvaltningsgemensamma digitala infrastrukturen för informationsutbyte, innefattande förslag på eventuell rätt att föreskriva till stöd för myndigheternas respektive ansvar samt eventuella bemyndiganden att ta ut avgifter från andra myndigheter för nyttjande av byggblock inom den förvaltningsgemensamma digitala infrastrukturen för informationsutbyte.
6.4.8. Delredovisningar av uppdraget om en digital infrastruktur för informationsutbyte
I februari 2020 lämnades en första delredovisning av uppdraget, som i huvudsak bestod i en långsiktig plan för etableringen av infrastrukturen.46 En del i den långsiktiga planen bestod i en övergripande beskrivning av styrning av den förvaltningsgemensamma digitala infrastrukturen. Myndigheterna gjorde bedömningen att för att syftet med den förvaltningsgemensamma digitala infrastrukturen skulle gå att uppnå krävdes en förvaltningsgemensam funktion, som skulle skapa förutsättningar för bl.a. styrning och normering av infrastrukturen. Vidare innehöll delredovisningen en redogörelse för arbetet med att inrätta byggblock.
Nästa delredovisning av arbetet med att etablera den förvaltningsgemensamma digitala infrastrukturen lämnades i januari 2021.47I delredovisningen lämnades även vissa författningsförslag avseende den formella styrningen av infrastrukturen. Förordningen som föreslogs syftade till att ge en rättslig grund för samverkansarbetet och enskilda ansvar inom infrastrukturen.48 Myndigheterna i uppdraget lämnade också förslag på att en statlig utredning skulle tillsättas för
46 Myndigheten för digital förvaltning, delredovisning, Övergripande långsiktig plan, Uppdrag att
etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte (I2019/03306/DF, I2019/01036/DF (delvis), I2019/01361/DF (delvis), I2019/02220/DF), AD 2019:582.
47 Myndigheten för digital förvaltning, delredovisning, Uppdrag att etablera en förvaltnings-
gemensam digital infrastruktur för informationsutbyte (I2019/03306/DF, I2019/01036/DF (delvis), I2019/01361/DF (delvis), I2019/02220/DF, I2020/03366, I2020/02753), AD 2019:582.
48 Myndigheten för digital förvaltning, Bilaga författningspromemoria, Uppdrag att etablera en för-
valtningsgemensam digital infrastruktur för informationsutbyte (I2019/03306/DF, I2019/01036/DF (delvis), I2019/01361/DF (delvis), I2019/02220/DF, I2020/ 03366, I2020/02753), AD 2019:582.
att utreda behovet av en sammanhållen lagstiftning inom området för informationsöverföring inom förvaltningen.
6.4.9. Slutredovisning av uppdragen om grunddata och en digital infrastruktur
Uppdraget om nationellt ramverk för grunddata och uppdraget att etablera en förvaltningsgemensam digital infrastruktur slutredovisades gemensamt.49 Slutredovisningen innehåller bl.a. redovisning av ett antal användarscenarion som tagits fram för att exemplifiera hur offentlig förvaltning kan ansluta sig till infrastrukturen och använda relevanta byggblock och nationella grunddata från grunddatadomänerna och en fördjupad analys kring långsiktig finansiering för infrastrukturen.
6.4.10. Uppdrag att fortsätta etableringen av en digital infrastruktur
Regeringen uppdrog i januari 2022 åt Digg, Arbetsförmedlingen, Bolagsverket, Domstolsverket, E-hälsomyndigheten, Försäkringskassan, Lantmäteriet, MSB, Riksarkivet, SCB, Skatteverket samt Trafikverket att tillsammans fortsätta etableringen av en förvaltningsgemensam digital infrastruktur för informationsutbyte.50 Uppdraget slutredovisades i januari 2023.
I regeringsbeslutet anges bl.a. följande rörande uppdraget. Myndigheterna ska gemensamt arbeta i och utveckla den struktur för arbetet som etablerats inom ramen för tidigare uppdrag med gemensamma arbetsformer, rutiner, organisation och ansvarsfördelning för analys, kravställning, utveckling och förvaltning av de komponenter, i form av byggblock, grunddatadomäner, kompetensområden med mera, som ska ingå i infrastrukturen. Digg ska föra en förteckning över de komponenter som ingår i den förvaltningsgemensamma digitala infrastrukturen och ansvara för och förvalta den långsiktiga planen.
49 Myndigheten för digital förvaltning, slutrapport, Uppdrag att etablera en förvaltningsgemensam
digital infrastruktur för informationsutbyte samt uppdrag att etablera ett nationellt ramverk för grunddata inom den offentliga förvaltningen, Diarienummer: I2019/03306/DF, I2019/01036/DF (delvis), I2019/01361/DF (delvis), I2019/02220/DF, I2020/03366, I2020/02753, I2019/03307/DF, I2019/01412/DF, I2019/01447/DF, I2020/03367 I2020/02753 (delvis), 2019:582, 2019:585.
50 I2022/00102.
Myndigheterna ska bistå Digg i att redovisa utvecklingen av den förvaltningsgemensamma digitala infrastrukturen i förhållande till den långsiktiga planen. Myndigheterna ska ta fram gemensamma specifikationer, standarder, format, arbetssätt och liknande krav som stöd för den förvaltningsgemensamma digitala infrastrukturen.
Inom ramen för uppdraget ska Digg förvalta och, tillsammans med de myndigheterna som ansvarar för grunddatadomäner, vidareutveckla det nationella ramverket för grunddata. Myndigheterna ska även fortsätta etableringen av grunddatadomäner för områdena företag, person och fastighetsinformation samt geografisk information i enlighet med de förslag som lämnats i rapporten från regeringsuppdraget om säker och effektiv tillgång till grunddata.
Bolagsverket, som enligt förordningen (2007:1110) med instruktion för Bolagsverket, ansvarar för registreringsärenden som gäller bl.a. aktiebolag ska ansvara för domänen företag. Skatteverket, som ansvarar för folkbokföringen enligt förordningen (2017:154) med instruktion för Skatteverket, ska ansvara för domänen person. Lantmäteriet, som enligt förordningen (2009:946) med instruktion för Lantmäteriet, ansvarar för fastighetsinformation och geografisk information ska ansvara för domänen avseende sådan information. Att vara domänansvarig innefattar att, i samverkan med berörda aktörer etablera, anpassa, utveckla och förvalta arbetsformer, rutiner och organisation för domänen samt att identifiera information inom grunddatadomänen som bör anpassas utifrån det nationella ramverket.
6.4.11. Slutredovisning av uppdrag att fortsätta etableringen av en digital infrastruktur
Myndigheterna i uppdraget om att fortsätta etableringen av en digital infrastruktur slutredovisade uppdraget i januari 2023.51 I rapporten introduceras namnet Ena – Sveriges digitala infrastruktur.
Av rapporten framgår att arbetet med infrastrukturen har kommit in i en fas av leverans av konkreta och nyttoskapande komponenter. Rapporten innehåller en bilaga med förteckning över komponenter i Ena och en färdplan för åren 2023–2026.
Myndigheterna konstaterar i rapporten att det finns ett stort intresse från offentlig sektor att nyttja komponenterna inom infra-
51 Myndigheten för digital förvaltning, slutrapport, Uppdrag att fortsatt etablera en förvaltnings-
gemensam digital infrastruktur för informationsutbyte Diarienummer: (I2022/00102), 2022-0087.
strukturen. De konstaterade också att det krävs långsiktighet och ett gemensamt rättsligt stöd för att utföra arbetet, med en finansiering som motsvarar behoven över tid.
6.4.12. Roller och styrning inom Ena
Roller inom Ena
Det strategiska arbetet inom Ena leds av en infrastrukturansvarig myndighet – Digg – i samråd och samverkan med andra aktörer. Den infrastrukturansvariga myndigheten beslutar om styrande dokument, initierar utforskande utveckling, kvalificerar och prioriterar behov samt föreslår byggblocks- och grunddatadomänansvariga myndigheter till regeringen. Den infrastrukturansvariga myndigheten ansvarar även för det nationella ramverket för grunddata, utser ansvariga för kompetensområden samt leder arbetet i samordningsforumen. Ansvaret regleras i en överenskommelse som myndigheterna inom Ena har ingått.
Olika kompetensområden samlar expertkunskaper som stödjer arbetet med att utveckla infrastrukturens beståndsdelar. Ett kompetensområde byggs upp av resurser från en eller flera organisationer i syfte att ge stöd inom områden som exempelvis informationssäkerhet, arkitektur, juridik eller data. Den organisation som är utpekad som ansvarig för ett kompetensområde har ett viktigt uppdrag att utforma styrning, omvärldsbevaka och ge rekommendationer som berör infrastrukturen. Den kompetensområdesansvariga myndigheten har befogenhet att besluta om styrdokument inom kompetensområdets sakområde och ansvarar för att styrdokument inom infrastrukturen efterlevs.
Inom ramen för infrastrukturen finns flera samordningsforum där strategiska, taktiska och operativa perspektiv och frågeställningar avhandlas. Forumen har en viktig funktion i framtagande av vision och målbild, utformning och genomförande av den långsiktiga planen samt i diskussioner kring prioriteringar och vägvalsfrågor.
Inom området utforskande utveckling sker kunskapsskapande, behovsinsamling och bekräftelse av behov samt kravformulering. Där analyseras vilka rättsliga och finansiella förutsättningar en ansvarig aktör behöver, mot bakgrund av att utveckling och förvaltning av infrastrukturens beståndsdelar kräver ett långsiktigt åtagande. Resul-
tatet från den utforskande utvecklingen blir beslutsunderlag för den infrastrukturansvariga myndigheten för exempelvis etablering av ett nytt byggblock eller en grunddatadomän.
Byggblocksansvarig myndighet ansvarar för utveckling och förvaltning av tilldelat byggblock samt för att bereda underlag som ska lyftas till samordningsforum. Kvartalsvis ska status för pågående arbete inom byggblocket följas upp och rapporteras till infrastrukturansvarig myndighet. Byggblocksansvarig myndighet ansvarar för att styrdokument inom infrastrukturen efterlevs och för att ta fram styrdokument gällande det egna byggblocket. Byggblocksansvarig ansvarar också för att styra och organisera arbetet inom byggblocket, samt att samverka med relevanta aktörer (inom och utanför infrastrukturen) för byggblockets räkning. Byggblocksansvarig myndighet har befogenhet att teckna avtal för det egna byggblocket, besluta om utveckling och förvaltning inom byggblocket samt om styrande dokument för byggblocket. Byggblocksansvarig myndighet har befogenhet att samordna arbetet med säkerhetsskydd och informationssäkerhet kopplat till byggblocket.
En grunddatadomänansvarig myndighet är ansvarig för utveckling och förvaltning av tilldelad grunddatadomän. Grunddatadomänansvarig myndighet ansvarar för att tillgängliggöra och tillhandahålla grunddatadomänens nationella grunddata samt att bereda underlag som ska lyftas till samordningsforum. Grunddatadomänansvarig myndighet ansvarar även för att styrdokument inom infrastrukturen efterlevs och att, där så behövs, ta fram styrdokument gällande den egna grunddatadomänen. Grunddatadomänansvarig myndighet styr och organiserar arbetet inom grunddatadomänen och samverkar med relevanta aktörer (inom och utanför infrastrukturen) för grunddatadomänens räkning samt tecknar avtal för grunddatadomänen. Grunddatadomänansvarig myndighet har befogenhet att besluta om utveckling och förvaltning inom grunddatadomänen. Grunddatadomänansvarig myndighet rapporterar till infrastrukturansvarig myndighet och har för detta ändamål befogenhet att följa upp grunddataproducenter samt beslutar om styrande dokument för grunddatadomänen. Informationssäkerhetsarbetet inom grunddatadomänen följer den grunddatadomänansvariga myndighetens linjeansvar, och myndigheten samordnar arbetet med säkerhetsskydd och informationssäkerhet inom grunddatadomänen.
Grunddataproducent är en aktör som tillgängliggör och tillhandahåller nationella grunddata genom en eller flera grunddatadomäner. Grunddataproducenten ska efterleva styrdokument och rapportera status för pågående arbete inom grunddatadomänen till grunddatadomänansvarig myndighet.
Styrning av Ena
Regeringens styrning av Ena-myndigheterna
Regeringens styrning av Ena har hittills bestått av de ovan beskrivna regeringsuppdragen, anslag till Digg som Digg även haft möjlighet att fördela som bidrag till andra aktörer samt en instruktionsenlig uppgift för Digg att ansvara för den förvaltningsgemensamma digitala infrastrukturen. Regeringsuppdragen har redogjorts för i föregående avsnitt.
När det gäller den finansiella styrningen så disponerade Digg under 2022 79,5 miljoner kronor för utveckling och förvaltning av förvaltningsgemensam digital infrastruktur, med möjlighet att lämna bidrag till statliga myndigheter, regioner och kommuner samt till Sveriges Kommuner och Regioner (SKR) samt Inera. Under 2021 var beloppet 56,75 miljoner kronor.
Av Diggs instruktion framgår bl.a. följande. I den inledande paragrafen anges att Digg ska ansvara för den förvaltningsgemensamma digitala infrastrukturen i enlighet med vad som anges i 3–5 §§ i förordningen. Det är egentligen bara 4 § andra punkten som mer generellt gäller den förvaltningsgemensamma digitala infrastrukturen; där anges att Digg ska samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens elektroniska informationsutbyte.
Det har inte genomförts några förändringar i övriga berörda myndigheters instruktioner. Regeringen har dock i det senast lämnade regeringsuppdraget utpekat Bolagsverket, Lantmäteriet och Skatteverket som ansvariga för grunddatadomänerna företag, person samt fastighetsinformation och geografisk information. Bolagsverket ska dessutom, enligt sitt regleringsbrev för budgetåret 2023, ansvara för utveckling, förvaltning, teknisk drift av och support för den nationella förvaltningsgemensamma digitala infrastrukturen för en stan-
dardiserad samt säker digital fullmaktshantering för företag och privatpersoner.52
Myndigheternas styrning av Ena
Den samverkan som nu sker inom Ena baseras på en överenskommelse som är ingången mellan de samverkande myndigheterna. I överenskommelsen dokumenteras vad de samverkande myndigheterna överenskommit rörande forum för samverkan, långsiktig plan för samverkan, kompetensområden, styrande dokument, anslutning till och ändring av överenskommelsen, samt ansvar och befogenheter för de samverkande myndigheterna.
Överenskommelsen innebär följande fördelning av de samverkande myndigheternas ansvar och roller. Den långsiktiga planen för infrastrukturen utformas i samverkan mellan de myndigheter som är del av överenskommelsen. Det är Digg som ansvarar för och förvaltar den långsiktiga planen. Styrande dokument tas fram i syfte att stödja den långsiktiga planen och finns på två nivåer. De beslutas av den infrastrukturansvariga myndigheten eller, efter delegation, av kompetensområdesansvarig myndighet, grunddatadomänansvarig myndighet eller byggblocksansvarig myndighet. Stödjande dokument ger stöd i tillämpningen och efterlevnaden av styrande dokument, och beslutas av den som beslutat om ett styrande dokument.
Ändring av överenskommelsen sker efter konsensusbeslut mellan de samverkande myndigheterna som är del av överenskommelsen.
6.4.13. Reflektioner avseende styrningen av Ena
Den styrning som getts av regeringen har nästan uteslutande varit av tidsbegränsad natur, i form av regeringsuppdrag och tilldelning av tillfälliga medel. Undantaget är bestämmelsen i Diggs instruktion om att myndigheten är infrastrukturansvarig. Rollen som infrastrukturansvarig är dock inte förenad med några egentliga och konkreta mandat gällande infrastrukturen i allmänhet och det informationsutbyte som regeringsuppdragen avsett ska komma till stånd i synnerhet. Rollen som infrastrukturansvarig är mer konkret och förenad med större mandat i förhållande till de andra uppgifter som myn-
52 N2022/02409, N2022/02446(delvis), N2022/00535 m.fl.
digheten har kopplat till elektronisk identifiering och underskrift, valfrihetssystem, elektroniska försändelser och elektroniska inköpsprocesser. När det gäller frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens elektroniska informationsutbyte så är Diggs uppdrag begränsat till att samordna dessa frågor och innebär inget mandat att styra med bindande verkan.
Myndigheten har inte mandat att ensam eller tillsammans med de andra myndigheterna som samverkar inom ramen för Ena fatta några egentliga bindande beslut avseende den digitala infrastrukturen och det informationsutbyte som är avsett att äga rum med hjälp av den eller kopplat till grunddatahanteringen, utan allt arbete som bedrivs baseras på överenskommelsen, som inte har någon rättslig verkan. De samverkande myndigheterna har föreslagit att den samverkan som bedrivs inom Ena ska ges en normmässig förankring, men regeringen har ännu inte valt att gå vidare med de förslag på förordningar som lämnats.
Det kan även konstateras att den styrning som getts av regeringen genom nya uppdrag kan betecknas som närmast reaktiv, där efterföljande regeringsuppdrag nästan uteslutande baserats på vad som efterfrågats av myndigheterna i tidigare lämnade redovisningar.
Att regeringens styrning och finansiering av Ena varit ryckig framgår även av Riksrevisionens rapport Digitala tjänster till privatpersoner –
stora utvecklingsmöjligheter för statliga myndigheter. Riksrevisionen
anser att det finns en otydlighet kring vad Ena ska innehålla och att Digg saknar verktyg för att få myndigheter att ansluta sig till Ena.53Regeringen konstaterade i sin skrivelse med anledning av rapporten att regeringen delvis instämmer i Riksrevisionens iakttagelse att Digg bör tilldelas föreskriftsrätt inom ramen för arbetet med Ena i syfte att stärka enhetligheten i myndigheternas arbete med digitalisering.54
Vår iakttagelse är att den samverkan som byggts upp i Ena utgör en självklar utgångspunkt för vårt arbete, men att den inte är tydligt fokuserad på interoperabilitet och heller inte tydligt pekar ut ansvar och mandat för att förbättra interoperabiliteteten. Vidare har effekten på interoperabiliteten av den samverkan som sker inom ramen för Ena inte haft önskat genomslag i den offentliga förvaltningen.
53 Riksrevisionen, Digitala tjänster till privatpersoner – stora utvecklingsmöjligheter för statliga
myndigheter (RiR 2023:6), s. 63 f.
54 Regeringens skrivelse, Skr. 2023/24:7, Riksrevisionens rapport om digitala tjänster till privatpersoner.
Mot denna bakgrund anser vi att det krävs en ökad styrning av interoperabiliteten för att uppnå effekter som inte är möjliga att uppnå inom Ena utifrån de förutsättningar som råder i dagsläget.
6.5. Myndighetens för digital förvaltning uppdrag
Myndigheten för digital förvaltning, Digg, etablerades 2018 i syfte att samordna och stödja den offentliga förvaltningens digitalisering.
Myndigheten har den övergripande uppgiften att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig.55 Uppdraget inkluderar de flesta statliga myndigheterna samt kommuner och regioner.
Digg ansvarar enligt sin instruktion för den förvaltningsgemensamma digitala infrastrukturen. I den uppgiften ingår att ansvara för den offentliga förvaltningens tillgång till infrastruktur och tjänster för elektronisk identifiering och underskrift, att tillhandahålla och administrera valfrihetssystem, samt att ansvara för den svenska eIDASnoden. Därutöver ska Digg främja användningen av den myndighetsgemensamma infrastrukturen för säkra elektroniska försändelser, samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens elektroniska informationsutbyte, främja elektroniska inköpsprocesser inom den offentliga förvaltningen och ansvara för frågor om anslutning till den europeiska infrastrukturen för elektroniska inköp samt ge stöd och lämna information till privata leverantörer avseende elektroniska fakturor. Digg har möjlighet att i vissa fall förelägga en leverantör som inte använder korrekt standard för sina elektroniska fakturor, jfr 4 och 7 §§ lagen (2018:1277) om elektroniska fakturor till följd av offentlig upphandling. Föreläggandet får förenas med vite. I anslutning till detta ansvar får Digg meddela föreskrifter om hanteringen av beställningar och om standarder eller liknande krav som ska vara gemensamma för elektroniskt informationsutbyte i samband med beställning, leverans och fakturering av varor och tjänster.56 Särskilt uppgiften att ”samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens
551 § förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning. 56 3 § andra stycket förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte.
elektroniska informationsutbyte” är intressant ur interoperabilitetssynpunkt. Uppgiften är dock begränsad till samordning, och innefattar inte något mandat att besluta om krav kopplade till interoperabilitet.
Sammanfattningsvis kan konstateras att Digg har ett uppdrag som i viss utsträckning innefattar interoperabilitet, men som är begränsat till samordning. Digg har med andra ord inte några möjligheter att besluta om tvingande standarder, format, specifikationer eller andra krav som ska gälla vid informationsutbyte och datadelning.
6.5.1. Diggs roll avseende vidareutnyttjande av data från den offentliga sektorn
Digg har också i uppgift att främja öppen och datadriven innovation samt tillgängliggörande och vidareutnyttjande av öppna data från den offentliga förvaltningen.57 Uppgiften avser att främja området för tillgängliggörande av data för vidareutnyttjande, och innebär inget faktiskt mandat att med bindande verkan styra andra myndigheter i fråga om data som tillgängliggörs för vidareutnyttjande. För detta syfte har myndigheten däremot tagit fram ett antal rekommendationer och vägledningar som syftar till att öka den offentliga sektorns tillgängliggörande av data för vidareutnyttjande.58
I september 2023 trädde EU:s dataförvaltningsförordning i kraft. Dataförvaltningsförordningen kompletterar öppna data-direktivet på så vis att den reglerar tillgängliggörande av vissa skyddade kategorier av data för vidareutnyttjande. Utredningen om genomförandet av förordningen i Sverige har föreslagit att Diggs roll på området att främja tillgängliggörande och vidareutnyttjande av öppna data ska formuleras till att avse data, inte bara öppna data.59 På så vis inkluderas i myndighetens främjandeuppdrag även sådana data som tillgängliggörs enligt dataförvaltningsförordningen. Vidare föreslås Digg som behörigt organ enligt artikel 7 dataförvaltningsförordningen och som ansvarig för en gemensam informationspunkt enligt artikel 8 data-
57 6 § 2 förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning. 58 Se exempelvis https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/offentligaaktorer/nationella-principer-for-att-tillgangliggora-information (hämtad2023-09-23) samt https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/offentligaaktorer/rekommendation-om-oppna-licenser-och-immaterialratt (hämtad 2023-09-04). 59Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24).
förvaltningsförordningen. Uppgiften att vara behörigt organ enligt artikel 7 ska också utföras av SCB enligt förslaget.
Uppgiften att vara behörigt organ enligt artikel 7 dataförvaltningsförordningen innebär i stort att stödja andra offentliga myndigheter i att tillgängliggöra skyddade data för vidareutnyttjande. Uppgiften innehåller inte något mandat att med bindande verkan styra andra myndigheter.
Syftet med regleringen i öppna datadirektivet och i dataförvaltningsförordningen är att data som tillgängliggörs av den offentliga förvaltningen ska kunna vidareutnyttjas. För detta syfte bör sådana data vara interoperabla och möjliga att kombinera med andra datamängder. Vi beskriver regleringen i öppna data-direktivet och dataförvaltningsförordningen i avsnitt 6.7.5.
Trots att Digg inte kan meddela bindande föreskrifter om tillämpningen av öppna datalagen eller dataförvaltningsförordningen, utöver verkställighetsföreskrifter om den förteckning som ska föras enligt 2 kap. 6 § öppna datalagen60, har myndigheten enligt vår bedömning en helt central roll på området inom den offentliga förvaltningen, som myndigheten utför genom vägledningar och stöd.
6.6. Olika styrningsverktyg inom sektorerna
Med sektor avser vi en begränsad mängd aktörer som agerar inom samma avgränsade område, eller hanterar samma, eller liknande sorters datamängder eller har gemensam verksamhetsreglering, t.ex. hälsodata, vilket vi har beskrivit i kapitel 2. Det finns i Sverige ingen sammanhållen reglering av sektorer, som exempelvis en lagstiftning som pekar ut vilka aktörer eller datamängder som ingår i olika sektorer. Trots detta menar vi att det är tydligt att det pågår etablering av olika sektorer i Sverige. Exempel på sådana sektorer är området för hälsodata, skolsektorn och de grunddatadomäner som har etablerats inom ramen för Ena.
Kännetecknande för de sektorer som vi har identifierat är att det finns en eller flera statliga myndigheter som har anspråk på att styra hur datadelningen ska ske inom den sektorn. De statliga myndigheterna kan sakna rättsliga möjligheter att med bindande verkan styra datadelningen som sker inom sektorn, men kan vidta andra åtgärder för
60 Se 6 a § förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning.
att med icke-bindande styrning åstadkomma harmonisering av den data som delas inom sektorn. Sådan styrning kan då avse andra statliga myndigheter, kommuner, regioner och privata aktörer. Nedan redogör vi för exempel på styrning från vissa sektorer.
När det gäller geodata har Lantmäteriet ett nationellt samordningsansvar för produktion, samverkan, tillhandahållande och utveckling inom området för geografisk information och fastighetsinformation (geodataområdet) enligt 4 § myndighetens instruktion.61 Lantmäteriet har inom ramen för sitt samordningsansvar etablerat Nationella Geodataplattformen, en infrastruktur där geodata tillgängliggörs. Lantmäteriet tar för detta syfte fram specifikationer för olika datamängder, som beskriver hur olika datamängder ska tillgängliggöras.62 Styrningen är således kopplad till anslutning till plattformen. Vidare regleras geodata av tvingande lagstiftning om ett sammanhängande system för tillgång till och utbyte av geografisk miljöinformation, för vilket Lantmäteriet har samordningsansvar (Inspire). Vi beskriver denna reglering närmare i avsnitt 6.7.7.
Skolverket har en central roll i skolsektorn. Enligt skollagen (2010:800) ska huvudmän för förskoleklass, grundskola, grundsärskola, gymnasieskola eller gymnasiesärskola lämna sådana uppgifter om verksamhetens organisation och ekonomiska förhållanden som behövs för allmänhetens insyn till Skolverket.63 Enligt förordningen (2020:833) om skolenhetsregister ska Skolverket föra ett allmänt skolenhetsregister.64 Möjlighet för Skolverket och Skolinspektionen att meddela föreskrifter om uppgiftslämnande finns bl.a. i förordningen (1992:1083) om viss uppgiftsskyldighet för huvudmännen inom skolväsendet m.m. Skolverket har exempelvis meddelat föreskrifter (SKOLFS 2011:142) som kompletterar förordningen. Föreskrifterna preciserar vilka uppgifter som ska lämnas, däremot inte hur de ska lämnas. Ett antal aktörer65 inom skolväsendet har tillsammans tagit fram standarden SS 1200066. Standarden är en överenskommelse om hur olika it-system ska kommunicera med varandra. Den specificerar hur data ska överföras från ett system till ett annat,
61 Förordningen (2009:496) med instruktion för Lantmäteriet. 62 https://www.lantmateriet.se/sv/nationella-geodataplattformen/datamangder/befintligaoch-paborjade-datamangder/ (hämtad 2023-09-18). 63 29 kap. 19 a § Förordningen (2020:833) om skolenhetsregister. 64 2 §. 65 Bl.a. Internetstiftelsen, Skolverket, Swedish EdTech Industry och ett flertal företag. 66 SS 12000:2020/korr 1:2022.
på vilket sätt och hur data ska ser ut.67 Det finns i dagsläget inget författningskrav som innebär att standarden måste användas av aktörer inom skolväsendet. Skolverket rekommenderar dock standarden sedan november 2021.68
Inom transport- och trafikområdet delas det redan stora mängder data. På EU-nivån finns exempel på reglering av interoperabilitet på området. Genom det s.k. ITS-direktivet69 inrättas ett ramverk för ett samordnat och enhetligt införande och användning av intelligenta transportsystem. Direktivet innehåller bestämmelser om hur specifikationer och nödvändiga standarder för åtgärder inom prioriterade områden ska tas fram. Det finns också nationella exempel på styrning inom transport- och trafikområdet. Kollektivtrafikföretag ska t.ex. lämna information om sitt trafikutbud till ett gemensamt system för trafikantinformation.70 Enligt Transportstyrelsens föreskrifter och allmänna råd om anmälningsskyldighet och trafikantinformation (TSFS 2012:2) ska information om trafikutbud lämnas till Samtrafiken i Sverige AB.71 Information om trafikutbud lämnas genom elektronisk överföring.72 Av de allmänna råden till paragrafen kan elektronisk överföring av information om trafikutbud lämpligen ske genom det gemensamma transportformat av trafikdata som tillhandahålls av Samtrafiken i Sverige AB. Vilka uppgifter som ska lämnas regleras i avtalet mellan Samtrafiken och trafikföretagen om gemensam trafikantinformation.
Dessa exempel visar att det finns olika former av styrning inom sektorer när det gäller interoperabilitet. Det finns exempel på författningsstyrning av interoperabilitet både på nationella nivå och på EU-nivå. Styrningen kan också ske genom rekommendationer eller genom att aktörerna i sektorn ansluter sig till olika tjänster, såsom plattformar, och därigenom måste leva upp till de krav som anslutningen ställer.
67 https://www.sis.se/produkter/informationsteknikkontorsutrustning/ittillampningar/ittillampningar-inom-utbildning/ss-120002020korr-12022/ (hämtad 2022-12-20). 68 https://www.skolverket.se/om-oss/press/pressmeddelanden/pressmeddelanden/2021-11-09skolverket-rekommenderar-en-gemensam-teknisk-standard---ska-underlatta-for-skolor (hämtad 2023-11-08). 69 Direktiv 2010/40/EU om ett ramverk för införande av intelligenta transportsystem på vägtransportområdet och för gränssnitt mot andra transportslag. 704 kap. 2 § lagen (2010:1065) om kollektivtrafik ska kollektivtrafikföretag. 71 6 § Transportstyrelsens föreskrifter och allmänna råd om anmälningsskyldighet och trafikantinformation (TSFS 2012:2). 72 8 § Transportstyrelsens föreskrifter och allmänna råd om anmälningsskyldighet och trafikantinformation (TSFS 2012:2).
6.7. EU:s styrning av interoperabilitet
6.7.1. Inledning
I detta avsnitt behandlas den generella styrning som ges av EU avseende interoperabilitet. Avsnittet tar sin utgångspunkt i det europeiska ramverket för interoperabilitet (EIF), som vi har beskrivit närmare i kapitel 4. Utvärderingen av ramverket har resulterat i att kommissionen lagt fram ett förslag om en förordning om interoperabilitet.73Utöver ramverket och denna förordning berörs i avsnittet andra EU-rättsakter som har beslutats eller är under förhandling, som har betydelse för vilka förslag vi kan lägga om en nationell interoperabilitetsreglering.
6.7.2. Det europeiska ramverket för interoperabilitet
Det europeiska ramverket för interoperabilitet (EIF) introducerades 2004 som en åtgärd för att främja interoperabilitet mellan offentliga aktörer. EIF här därefter uppdaterats 2010 och 2017. År 2020 genomförde kommissionen en utvärdering av ramverket.74 Utvärderingen visade att ramverket haft betydelse på en strategisk nivå i design och tillhandahållande av digitala offentliga tjänster och för utformning av digitala strategier, men att kopplingen mellan övergripande vägledning och den operativa implementeringen, särskilt på regional och kommunal nivå, inte kommit till stånd. Utvärderingen visade också att ramverkets frivilliga natur lett till ett ojämnt genomslag inom EU och i medlemsstaterna. Till följd av detta saknas data som kan användas för att göra nyttokostnadsanalyser och jämförelser mellan stater.
Kommissionen drog utifrån utvärderingen flera slutsatser om hur ramverket kunde förbättras och förstärkas för att få bättre genomslag, såsom att tydliggöra ramverket och förstärka ramverkets strategiska funktion. Avslutningsvis konstaterades att en utvecklad interoperabilitet inom offentlig sektor skulle kunna åstadkommas genom bindande regler om interoperabilitet och en förstärkt styrning.
73 Förslag till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa), (COM[2022] 720 final). 74 Europeiska kommissionen, Final evaluation of the European Interoperability Framework (EIF) (SWD[2022] 720 final).
I Sverige finns en motsvarighet till EIF: Svenskt ramverk för digital samverkan.75 Ramverket togs ursprungligen fram av eSam. Ramverket utgår från EIF men är anpassat till svenska förutsättningar.76 Digg förvaltar det svenska ramverket för interoperabilitet. Vi redogör för det svenska ramverket i kapitel 4.
6.7.3. Mot ett EU-gemensamt, bindande regelverk om interoperabilitet
Utvärderingen av EIF resulterade i att kommissionen i november 2022 föreslog ett nytt regelverk för interoperabilitet inom unionen: Interoperable Europe Act, interoperabilitetsförordningen.77 Inom ramen för framarbetandet av förslaget till nytt regelverk genomfördes en konsekvensanalys.78 I konsekvensanalysen identifieras den problembild som ska lösas genom det föreslagna regelverket. I problembeskrivningen konstateras att interoperabiliteten hos nätverk och digitala informationssystem som används för att tillhandahålla offentlig service inom unionen är begränsad. Det konstateras att det saknas studier som påvisar vilken effekt som den bristande interoperabiliteten faktiskt får på den offentliga sektorns digitala transformation, men att interoperabiliteten är en nyckelförutsättning för en framgångsrik digitalisering av offentlig sektor.
En konsekvens av den bristande interoperabiliteten är bristfälliga digitala offentliga tjänster, som inte har förutsättningar att nå sin fulla potential och bidra till en digital inre marknad. Det konstateras vidare att även om EIF har bidragit med värde så är den gränsöverskridande interoperabiliteten begränsad och drivs av behov kopplade till sektorer. En av drivkrafterna har varit EU-lagstiftning inom specifika områden, som eIDAS-förordningen79 och SDG-förordningen.80
75 Myndigheten för digital förvaltning, Svenskt ramverk för digital samverkan 1.3. 76 Myndigheten för digital förvaltning, Svenskt ramverk för digital samverkan 1.3, s. 2. 77 Förslag till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa) (COM[2022] 720 final). 78 Europeiska kommissionen, Impact Assessment Report (SWD[2022]721 final). 79 Europarlamentets och rådets förordning (EU) nr 910/2014 av den 23 juli 2014 om elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på den inre marknaden och om upphävande av direktiv 1999/93/EG. 80 Europarlamentets och rådets förordning (EU) 2018/1724 av den 2 oktober 2018 om inrättande av en gemensam digital ingång för tillhandahållande av information, förfaranden samt hjälp- och problemlösningstjänster och om ändring av förordning (EU) nr 1024/2012.
Bristande styrning och samordning mellan kommissionen och medlemsstaterna på alla administrativa nivåer och mellan sektorer lyfts som orsaker till den bristande interoperabiliteten. I synnerhet gäller detta i gränsöverskridande sammanhang. Andra orsaker till bristande interoperabilitet som identifieras är avsaknaden av gemensamma minimispecifikationer och standarder samt att det saknas en ansats att tilllämpa interoperabilitet som utgångspunkt (’interoperability by default’) vid utformning och implementering av EU:s politik.
6.7.4. Förslag till Interoperabilitetsförordning
Förordningen är under förhandling
Interoperabilitetsförordningen är under 2023 föremål för förhandling.81 Eftersom beslut om det nya regelverket ännu inte fattats går det inte med säkerhet att säga hur de nya reglerna kommer att se ut. Följande redogörelse utgår primärt från kommissionens ursprungsförslag till interoperabilitetsförordning.
Innehåll och tillämpningsområde
Syftet med interoperabilitetsförordningen är att främja utvecklingen av interoperabla transeuropeiska infrastrukturer för digitala offentliga tjänster. I förordningen fastställs krav för att främja gränsöverskridande interoperabilitet i nätverks- och informationssystem som används för att tillhandahålla eller förvalta offentliga tjänster i unionen, genom införande av gemensamma regler och en ram för samordning avseende den offentliga sektorns interoperabilitet.
Förordningen ska tillämpas av offentliga myndigheter i medlemsstaterna och av unionens institutioner, organ och byråer som tillhandahåller eller förvaltar nätverks- eller informationssystem som gör det möjligt att leverera eller förvalta offentliga tjänster elektroniskt.
81 Förslag till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa) (COM[2022] 720). Se även Parlamentets förhandlingsmandat, Draft European parliament Legislative resolution on the proposal for a regulation of the European Parliament and of the Council laying down measures for a high level of public sector interoperability across the Union (Interoperable Europe Act) (COM(2022)0720 – C9-0387/2022 – 2022/0379[COD]) samt rådets förhandlingsmandat, Interoperable Europe Act, Council’s negotiating mandate with the European Parliament, 6 oktober 2023.
De flesta kraven i förordningen är begränsade till gränsöverskridande situationer. Det finns dock vissa krav som är av generell karaktär t.ex. ett krav på utbyte och återanvändning av interoperabilitetslösningar. Det är i dagsläget osäkert om detta krav är begränsat till gränsöverskridande situationer.
Interoperabilitetsbedömningar
Om en offentlig myndighet eller en unionsinstitution, en unionsbyrå eller ett unionsorgan har för avsikt att inrätta ett nytt eller väsentligt ändra ett befintligt nätverks- och informationssystem som gör det möjligt att leverera eller förvalta offentliga tjänster elektroniskt, ska den aktuella aktören i vissa fall göra en bedömning av den planerade åtgärdens inverkan på gränsöverskridande interoperabilitet, en s.k. interoperabilitetsbedömning. En interoperabilitetsbedömning får genomföras även när en sådan inte är obligatorisk.
Interoperabilitetsbedömningen ska utföras innan beslut fattas om bindande de rättsliga, organisatoriska, semantiska eller tekniska kraven för det nya eller ändrade nätverks- och informationssystemet. En interoperabilitetsbedömning får utföras för en uppsättning krav och flera nätverks- och informationssystem.
Den berörda aktören ska offentliggöra en rapport där den presenterar resultatet av interoperabilitetsbedömningen på sin webbplats.
Interoperabilitetsbedömningen ska åtminstone innehålla: – en beskrivning av den planerade åtgärden och dess inverkan på den
gränsöverskridande interoperabiliteten hos ett eller flera berörda nätverks- och informationssystem, inbegripet de beräknade kostnaderna för anpassning av de berörda nätverks- och informationssystemen, – en beskrivning av graden av anpassning av de berörda nätverks-
och informationssystemen till EIF, och till lösningarna för ett interoperabelt Europa, efter åtgärden och där graden av anpassning har förbättrats jämfört med före åtgärden, samt – en beskrivning av de programmeringsgränssnitt (API) som möj-
liggör maskin-till-maskin-interaktion med de data som anses relevanta för gränsöverskridande utbyte med andra nätverks- och informationssystem.
Den berörda aktören ska samråda med mottagarna av de tjänster som påverkas eller deras företrädare om den planerade åtgärden om den direkt påverkar mottagarna. Detta samråd påverkar inte skyddet av kommersiella eller allmänna intressen eller säkerheten i sådana system.
Regulatoriska sandlådor
Genom interoperabilitetsförordningen införs regulatoriska sandlådor. En regulatorisk sandlåda kan inrättas bl.a. för att främja innovation och underlätta utveckling och införande av innovativa digitala interoperabilitetslösningar för offentliga tjänster.
Regulatoriska sandlådor ska tillhandahålla en kontrollerad miljö för utveckling, testning och validering av innovativa interoperabilitetslösningar som stöder gränsöverskridande interoperabilitet i nätverks- och informationssystem som används för att tillhandahålla eller förvalta offentliga tjänster som ska levereras eller förvaltas elektroniskt under en begränsad tid innan de tas i bruk.
Regulatoriska sandlådor ska drivas under de deltagande offentliga myndigheternas ansvar. Om sandlådan innebär att personuppgifter behandlas ska sandlådan drivas under myndigheter som utövar tillsyn över personuppgiftsbehandling.
Inrättandet av regulatoriska sandlådor ska bidra till att förbättra rättssäkerheten genom samarbete mellan de myndigheter som är involverade i den regulatoriska sandlådan i syfte att säkerställa efterlevnad av interoperabilitetsförordningen och, när så är lämpligt, av annan unionslagstiftning och medlemsstaternas lagstiftning.
Kommissionen ska på gemensam begäran av minst tre deltagande offentliga myndigheter ge tillstånd till inrättandet av en regulatorisk sandlåda. Om sandlådan inrättas för interoperabilitetslösningar som stöder gränsöverskridande interoperabilitet i nätverks- och informationssystem som används för att tillhandahålla eller förvalta offentliga tjänster som ska levereras eller förvaltas elektroniskt av en eller flera av unionens institutioner, organ eller byråer, eventuellt med deltagande av offentliga myndigheter, behövs inget tillstånd.
Styrelsen för ett interoperabelt Europa
Genom interoperabilitetsförordningen inrättas en ny expertgrupp under kommissionen: Styrelsen för ett interoperabelt Europa. Styrelsen ska underlätta strategiskt samarbete och informationsutbyte om gränsöverskridande interoperabilitet i nätverks- och informationssystem som används för att tillhandahålla eller förvalta offentliga tjänster som ska levereras eller förvaltas elektroniskt i unionen. Styrelsen ska bestå av en företrädare för varje medlemsstat och en företrädare som utses av var och en av kommissionen, regionkommittén samt Europeiska ekonomiska och sociala kommittén. Styrelsens ordförandeskap ska innehas av kommissionen.
Styrelsen ska ha till uppgift att bl.a. föreslå åtgärder för att främja delning och återanvändning av interoperabla lösningar och att anta riktlinjer, inbegripet praktiska checklistor, för innehållet i interoperabilitetsbedömningar.
EIF och interoperabilitetslösningar EIF
Styrelsen för ett interoperabelt Europa ska övervaka den övergripande samstämmigheten hos utvecklade eller rekommenderade interoperabilitetslösningar och vid behov föreslå åtgärder för att säkerställa deras kompatibilitet med andra interoperabilitetslösningar som har ett gemensamt syfte.
Styrelsen ska vidare bl.a. föreslå att kommissionen antar EIF. Kommissionen får anta EIF och ska då offentliggöra ramverket i Europeiska unionens officiella tidning.
EIF ska tillhandahålla en modell och en uppsättning rekommendationer om juridisk, organisatorisk, semantisk och teknisk interoperabilitet, som riktar sig till alla enheter som omfattas av denna förordnings tillämpningsområde, för deras interaktion med varandra genom deras nätverks- och informationssystem. EIF ska beaktas i interoperabilitetsbedömningarna (se ovan).
Kommissionen får, efter samråd med styrelsen för ett interoperabelt Europa, anta andra interoperabilitetsramverk (”specialiserade interoperabilitetsramverk”) som är inriktade på behoven för specifika sektorer eller administrativa nivåer. De specialiserade interoperabilitetsramverken ska baseras på EIF. Styrelsen för ett interoperabelt Europa ska bedöma anpassningen av de specialiserade interoperabi-
litetsramverkena till EIF. Kommissionen ska offentliggöra de specialiserade interoperabilitetsramverken på portalen för ett interoperabelt Europa.
Om en medlemsstat utvecklar nationella interoperabilitetsramverk och andra relevanta nationella policyer, strategier eller riktlinjer ska de ta hänsyn till EIF.
Styrelsen för ett interoperabelt Europa ska rekommendera interoperabilitetslösningar för gränsöverskridande interoperabilitet i nätverks- och informationssystem som används för att tillhandahålla eller förvalta offentliga tjänster som ska levereras eller förvaltas elektroniskt i unionen. När en interoperabilitetslösning rekommenderas av styrelsen för ett interoperabelt Europa ska den förses med märkningen ”Lösning för ett interoperabelt Europa” och offentliggöras på portalen för ett interoperabelt Europa (se mer nedan).
Tillgängliggörande, utbyte och återanvändning av interoperabilitetslösningar
De aktörer som omfattas av interoperabilitetsförordningen ska tillgängliggöra interoperabilitetslösningar som stöder de offentliga tjänster som aktören tillhandahåller eller förvaltar elektroniskt. Det tillgängliggjorda innehållet ska omfatta den tekniska dokumentationen och, i tillämpliga fall, den dokumenterade källkoden.
För att göra det möjligt för andra aktörer som vill återanvända interoperabilitetslösningen att självständigt förvalta interoperabilitetslösningen ska den tillgängliggörande aktören specificera de garantier som kommer att tillhandahållas den återanvändande aktören i fråga om samarbete, stöd och underhåll.
En återanvändande aktör får anpassa interoperabilitetslösningen efter sina egna behov.
Kommissionen ska tillhandahålla en portal (portalen för ett interoperabelt Europa) som en enda kontaktpunkt för information som rör gränsöverskridande interoperabilitet i nätverks- och informationssystem som används för att tillhandahålla eller förvalta offentliga tjänster som ska levereras eller förvaltas elektroniskt i unionen. Portalen ska vara elektroniskt tillgänglig och kostnadsfri. Kommissionen ska på elektronisk väg offentliggöra interoperabilitetslösningar och EIF på portalen, i format som är öppna, maskinläsbara, tillgängliga, sökbara och återanvändbara, tillsammans med deras metadata.
Skyldigheten att tillgängliggöra interoperabilitetslösningar kan fullgöras genom att interoperabilitetslösningen offentliggörs på portalen för ett interoperabelt Europa eller en portal, katalog eller datakatalog som är ansluten till portalen för ett interoperabelt Europa.
Nationella behöriga myndigheter och interoperabilitetssamordnare
Varje medlemsstat ska utse en eller flera behöriga myndigheter som ansvariga för tillämpningen av interoperabilitetsförordningen. En behörig myndighet har till uppgift att bl.a. utse en medlem till styrelsen för ett interoperabelt Europa, samordna alla frågor som rör interoperabilitetsförordningen inom medlemsstaten, stödja offentliga myndigheter i medlemsstaten för att inrätta eller anpassa sina förfaranden för interoperabilitetsbedömningar, samt stödja de nationella offentliga myndigheternas samarbete med relevanta offentliga myndigheter i andra medlemsstater när det rör frågor som omfattas av interoperabilitetsförordningen.
Alla unionsinstitutioner, unionsorgan och unionsbyråer som tillhandahåller eller förvaltar nätverks- och informationssystem som gör det möjligt att leverera eller förvalta offentliga tjänster elektroniskt ska utse en interoperabilitetssamordnare under överinseende av deras högsta ledningsnivå för att säkerställa bidraget till genomförandet av förordningen. Interoperabilitetssamordnaren ska hjälpa de berörda avdelningarna att inrätta eller anpassa sina förfaranden för att genomföra interoperabilitetsbedömningen.
6.7.5. Öppna data-direktivet och det svenska genomförandet
Öppna data-direktivet82 syftar till att främja den inre marknaden för data, där data som tagits fram och skapats av den offentliga sektorn kan användas av andra för andra syften än för vilka den togs fram.
Direktivet antogs av EU 2019 och Sverige har genomfört direktivet genom lagen (2022:225) om den offentliga sektorns tillgängliggörande av data (öppna datalagen).
82 Europaparlamentet och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (omarbetning).
Öppna datalagen ska tillämpas av myndigheter, både statliga och kommunala, samt offentligt styrda organ och vissa offentliga företag.83 Lagen ska tillämpas av dessa aktörer när data tillgängliggörs för vidareutnyttjande, både efter begäran av enskilda och när data tillgängliggörs på eget initiativ, t.ex. genom publicering på en aktörs hemsida. Lagen ska i vissa fall tillämpas när data delas för vidareutnyttjande mellan myndigheter men ska som huvudregel inte tillämpas när myndigheter rutinmässigt utbyter data med varandra, eftersom det då inte föreligger något vidareutnyttjandesyfte.84
Öppna datalagen innehåller krav på hur data ska göras tillgängliga för vidareutnyttjande. Lagen uppställer krav på avgifter, villkor och format när data tillgängliggörs för vidareutnyttjande.
När en aktör på eget initiativ har tillgängliggjort data för vidareutnyttjande ska information om dessa data (metadata) finnas tillgänglig i en förteckning som ska publiceras av Digg (metadatakatalog).85
I december 2022 antog Kommissionen genomförandeakten om värdefulla datamängder.86 Med värdefulla datamängder avses enligt artikel 2.10 i öppna datadirektivet handlingar vars vidareutnyttjande är förknippat med stora fördelar för samhället, miljön och ekonomin, framför allt på grund av deras lämplighet för att skapa mervärdestjänster, applikationer och nya högkvalitativa och anständiga arbetstillfällen, och antalet potentiella mottagare av de mervärdestjänster och mervärdesapplikationer som bygger på dessa dataset. Genomförandeakten syftar till att specificera hur vissa utpekade datamängder ska tillgängliggöras för vidareutnyttjande, enligt sex tematiska kategorier.
Formatkraven möjliggör interoperabilitet vid vidareutnyttjande
Det grundläggande kravet på format i öppna datadirektivet följer av artikel 5.1 där det föreskrivs att handlingar ska göras tillgängliga i befintliga format och språkversioner samt, om möjligt och lämpligt, på elektronisk väg, i format som är öppna, maskinläsbara, tillgängliga, sökbara och som kan vidareutnyttjas, tillsammans med tillhörande
831 kap.5–7 §§ lagen (2022:225) om den offentliga sektorns tillgängliggörande av data. 841 kap. 8 § lagen (2022:225) om den offentliga sektorns tillgängliggörande av data. 856 a § förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning. 86 Kommissionens genomförandeförordning (EU) 2023/138 av den 21 december 2022 om fastställande av en förteckning över särskilda värdefulla dataset och arrangemangen för offentliggörande och vidareutnyttjande av dessa.
metadata. Både format och metadata ska, när så är möjligt, vara förenliga med formella öppna standarder.
Bestämmelsen har genomförts genom 2 kap. 2 § öppna datalagen som föreskriver att data ska tillgängliggöras i det befintliga formatet eller, om sökanden begär det och det är lämpligt samt praktiskt och tekniskt möjligt, i ett format som är öppet, maskinläsbart, och i förekommande fall, tillgängligt och sökbart, tillsammans med tillhörande metadata.
Regleringen i öppna datadirektivet, och i öppna datalagen i sin tur, innehåller i vår mening grundläggande krav på format vid datadelning som möjliggör interoperabilitet.
Kravet på maskinläsbart format är centralt för regleringen i öppna datadirektivet. Med maskinläsbart format avses enligt artikel 2.13 i direktivet ett filformat som är strukturerat på ett sådant sätt att tilllämpningsprogramvara enkelt kan identifiera, känna igen och extrahera specifika uppgifter, inklusive enskilda faktauppgifter, och deras interna struktur. I skäl 35 i direktivets ingress anges att maskinläsbara data ska anses vara data kodade i filer som är strukturerade i ett maskinläsbart format. Maskinläsbara format kan vara öppna eller proprietära. I samma skäl anges också att medlemsstaterna bör, när så är möjligt och lämpligt, uppmuntra användningen av i unionen eller internationellt erkända öppna, maskinläsbara format. Öppna eller proprietära format definieras inte i direktivet men med proprietärt avses ett format som inte är standardiserat utan har skapats för ett specifikt syfte.87
Regleringen av API:er, där det finns grundläggande reglering om användning av sådana avseende värdefulla datamängder och dynamiska data, motiveras bl.a. i skäl 32 i direktivets ingress. Där anges att det finns ett allmänt värde i att vidareutnyttja och utbyta data via lämplig användning av API:er, eftersom detta kommer att hjälpa utvecklare och nystartade företag att skapa nya tjänster och produkter. Vidare anges att API:er är en avgörande förutsättning för att skapa värdefulla ekosystem kring datatillgångar som ofta är outnyttjade.
Även kraven på de s.k. metadatakatalogerna möjliggör för att data ska vara enkla att hitta för den som vill vidareutnyttja data. Utan att det direkt framgår av direktivet har standarden DCAT-AP pekats ut som standard för metadata i sådana tillgångsförteckningar. Genom att samma standard har implementerats på Sveriges dataportal har
interoperabilitet mellan den svenska och den europeiska dataportalen åstadkommits.88
I direktivets skäl anges att EIF bör, när så är lämpligt, tas i beaktande vid utformningen av tekniska lösningar för vidareutnyttjande av handlingar.
6.7.6. Dataförvaltningsförordningen
Allmänt
Dataförvaltningsförordningen89 reglerar
- villkoren för vidareutnyttjande inom unionen av vissa kategorier av data som innehas av offentliga myndigheter,
- en ram för anmälan av och tillsyn över tillhandahållandet av dataförmedlingstjänster,
- en ram för frivillig registrering av enheter som samlar in och behandlar data som tillhandahålls för altruistiska ändamål samt
- en ram för inrättandet av en europeisk datainnovationsstyrelse.
Villkor för vidareutnyttjande
I dataförvaltningsförordningen fastställs villkor för vidareutnyttjande av vissa kategorier av skyddade data som innehas av offentliga myndigheter. Det rör sig om data som omfattas av bl.a. skydd för personuppgifter och statistiksekretess. Regelverket harmoniserar hur skyddade data tillgängliggörs för vidareutnyttjande och kompletterar på så vis öppna data-direktivet, som inte tillämpas på skyddade data. Genom regleringen om vidareutnyttjande så harmoniseras hur skyddade data tillgängliggörs med avseende på villkor, exklusiva rättigheter samt avgifter, vilket utgör ett steg mot juridisk interoperabilitet avseende delning av sådana data. Det finns dock ingen uttrycklig regler-
88 https://www.digg.se/kunskap-och-stod/oppna-och-delade-data/offentligaaktorer/information-om-oppna-datalagen/lamna-metadata-till-sveriges-dataportal (hämtad 2023-06-30). 89 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten).
ing om vilka format som data ska tillgängliggöras i, till skillnad från öppna data-direktivet.
Varje medlemsstat ska utse ett eller flera behöriga organ för att bistå de offentliga myndigheterna som beslutar om tillgång till dessa data. I de behöriga organens uppgifter ingår att ge vägledning och tekniskt stöd om hur data bäst kan struktureras och lagras så att dessa data är lättillgängliga, dvs. åtgärder som i alla fall indirekt är kopplade till interoperabilitet och får antas främja denna. Sådan vägledning som tas fram kan väntas få betydelse för den semantiska och tekniska interoperabiliteten.
Medlemsstaterna ska därutöver inrätta gemensamma informationspunkter som ska innehålla information om tillämpningen av bestämmelserna om villkor för vidareutnyttjande m.m. De gemensamma informationspunkterna ska också tillhandahålla en sökbar tillgångsförteckning som innehåller en översikt över alla tillgängliga datakällor tillsammans med relevant information som beskriver tillgängliga data, inbegripet bl.a. dataformat. Även denna åtgärd får förutsättas bidra till interoperabiliteten vid datadelning.
Dataförmedlingstjänster
Genom dataförvaltningsförordningen införs även en reglering av leverantörer av dataförmedlingstjänster. Dataförmedlingstjänster definieras i dataförvaltningsförordningen som tjänster som syftar till att med tekniska, rättsliga eller andra medel upprätta affärsförbindelser mellan ett obestämt antal registrerade och datainnehavare och dataanvändare. Tjänster som berikar eller förädlar data, tjänster som förmedlar upphovsrättsligt skyddat material och datadelningstjänster som erbjuds av myndigheter undantas från begreppet. Själva införandet av regleringen av dataförmedlingstjänster bidrar till juridisk interoperabilitet inom unionen och medlemsstaterna. Utöver detta finns vissa bestämmelser som kan bidra till ökad interoperabilitet vid datadelning. En leverantör av dataförmedlingstjänster ska främja utbyte av data i det format som den erhåller data, men kan konvertera data bl.a. för att öka interoperabiliteten inom och mellan sektorer, om datainnehavaren begär det, om det föreskrivs i unionsrätten eller för att säkerställa harmonisering med internationella eller europeiska datastandarder. Leverantören av en dataförmedlingstjänst ska dessutom
vidta lämpliga åtgärder för att säkerställa interoperabilitet med andra dataförmedlingstjänster bl.a. genom att tillämpa allmänt använda öppna standarder inom den sektor där leverantören är verksam.
Dataaltruism
Med dataaltruism avses frivillig delning av data på grundval av samtycke från registrerade eller tillstånd från datainnehavare utan krav på eller mottagande av ersättning när de gör uppgifterna tillgängliga för mål av allmänintresse. Dataförvaltningsförordningen reglerar s.k. dataaltruismorganisationer, dvs. juridiska, icke-vinstdrivande personer som bildats i enlighet med nationell rätt för att uppfylla mål av allmänt intresse och som utför dataaltruismåtgärder.
Kommissionen ska skapa en regelbok som fastställer bl.a. rekommendationer om relevanta interoperabilitetsstandarder. Regelboken ska utarbetas i nära samarbete med dataaltruismorganisationer och berörda parter. Det framgår inte om rekommendationerna om interoperabilitetsstandarderna ska vara begränsade till dataaltruismorganisationers verksamhet eller gälla mer generellt, men den relevanta bestämmelsens placering i förordningen skulle kunna indikera på det tidigare.90
Europeiska datainnovationsstyrelsen
Europeiska datainnovationsstyrelsen kommer att spela en central roll i utvecklingen av interoperabilitet vid datadelning på EU-nivå. Styrelsen är en expertgrupp som ska bestå av företrädare för de behöriga myndigheterna för dataförmedlingstjänster och de behöriga myndigheterna för registrering av dataaltruismorganisationer i alla medlemsstater, Europeiska dataskyddsstyrelsen, Europeiska datatillsynsmannen, Enisa, kommissionen, EU-företrädare för små och medelstora företag eller en företrädare utsedd av nätverket av företrädare för små och medelstora företag och andra företrädare för relevanta organ inom enskilda sektorer samt organ med specifik sakkunskap. Kommissionen ska vara ordförande vid styrelsens sammanträden och till-
90 Ytterligare en interoperabilitetsåtgärd som föreskrivs i dataförvaltningsförordningen finns i artikel 25, där det framgår att kommissionen även ska anta genomförandeakter för att införa ett europeiskt formulär för samtycke till dataaltruism i syfte att främja insamling av data baserat på dataaltruism.
handahålla ett sekretariat. Styrelsen ska enligt dataförvaltningsförordningen bestå av minst tre undergrupper, varav en för tekniska diskussioner om standardisering, portabilitet och interoperabilitet.
I styrelsens uppgifter ingår bl.a. att:
- rådge kommissionen om prioriteringsordningen för sektorsövergripande standarder som ska användas och utvecklas för bl.a. dataanvändning och sektorsöverskridande datadelning mellan framväxande gemensamma europeiska dataområden,
- bistå kommissionen med att förbättra den gränsöverskridande, sektorsövergripande interoperabiliteten för data och datadelningstjänster mellan olika sektorer och områden, baserat på befintliga europeiska, internationella eller nationella standarder,
- föreslå riktlinjer för gemensamma europeiska dataområden (i form av ändamåls- eller sektorspecifika eller sektorsöverskridande interoperabla ramar med allmänna standarder för att underlätta datadelning i unionen), – underlätta samarbetet mellan medlemsstaterna rörande fastställandet av harmoniserade villkor som möjliggör vidareutnyttjande kategorier av skyddade data som regleras i dataförvaltningsförordningen, samt – rådge kommissionen om förbättring av det internationella regelverket för icke-personuppgifter, inbegripet standardisering.
Flera av styrelsens uppgifter syftar till att främja interoperabiliteten inom unionen, och är i stor utsträckning kopplade till de gemensamma europeiska dataområdena. Det framgår också av skäl 54 i förordningens ingress att styrelsen bör bistå kommissionen i samordningen av nationella arbetsmetoder och strategier på de områden som omfattas av denna förordning och stödjandet av sektorsövergripande dataanvändning genom iakttagande av principerna i EIF.
Förslag till genomförande i Sverige
Eftersom dataförvaltningsförordningen är en EU-förordning är den direkt tillämplig i Sverige. Medlemsstaterna kan emellertid behöva komplettera vissa av förordningens bestämmelser med nationella
bestämmelser. I Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24) lämnas förslag till dataförvaltningsförordningens genomförande i Sverige. I departementspromemorian föreslås bl.a. en lag och förordning med kompletterande bestämmelser till dataförvaltningsförordningen, ändringar i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data samt att de uppdrag/arbetsuppgifter som föreskrivs i dataförvaltningsförordningen tilldelas Post- och telestyrelsen, SCB respektive Digg.
6.7.7. Inspire-direktivet och det svenska genomförandet
Inspire-direktivet syftar till att skapa en rättslig ram för hantering och spridning av rumslig (geografisk information) via internet.91Inspire-direktivet har genomförts i svensk rätt genom lagen92 och förordningen93 om geografisk miljöinformation. Syftet med lagen är att etablera en infrastruktur med ett sammanhängande system för tillgång till och utbyte av geografisk information som har elektroniskt format och som är användbar för verksamheter och åtgärder som kan påverka människors hälsa eller miljö.
Lagen föreskriver att det ska finnas aktörer som är utpekat informationsansvariga för geografisk miljöinformation. Vilka aktörer som ansvarar för respektive informationsmängd pekas ut i förordningen. Kravet på de informationsansvariga innebär i korthet att aktören ska hålla sådan information, och tillhörande informationshanteringstjänster, tillgängliga för andra som medverkar i eller använder systemet. De informationsansvariga ska också tillhandahålla metadata om sin information och om sina informationshanteringstjänster. I förordningen finns detaljerade krav på informationshanteringstjänster och på vilken information som metadata ska innehålla. Lantmäteriet ansvarar för den övergripande samordningen av den svenska Inspireinfrastrukturen.
Regleringen i Inspire-direktivet, och i den svenska lagstiftningen, utgör i vår mening en tydlig rättslig ram för interoperabilitet. Detta genom att lagstiftningen pekar ut aktörer med särskilt ansvar, och föreskriver att data ska delas, hur data ska delas (tjänster och meta-
91 Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire). 92 Lagen (2010:1767) om geografisk miljöinformation. 93 Förordningen (2010:1770) om geografisk miljöinformation.
data) samt hur aktörer ska samverka och samordna sitt arbete för detta syfte. På så vis innehåller lagstiftningen juridisk, organisatorisk, semantisk och teknisk interoperabilitet. Vad man dock kan notera är att kraven är relativt detaljerade redan på förordningsnivå, vilket enligt vår bedömning kan medföra vissa inlåsningar och mindre möjlighet till en flexibel reglering som möter behov i en snabbt föränderlig digital miljö.
6.7.8. Den föreslagna dataförordningen
Allmänt
Kommissionen presenterade i februari 2022 ett förslag på en EUförordning med bestämmelser om bl.a. delning av data till konsumenter, företag och myndigheter, byte av databehandlingstjänst och interoperabilitet.94 Vi har valt att kalla förordningen för dataförordningen.95 Eftersom slutgiltigt beslut om det nya regelverket ännu inte fattats går det inte med säkerhet att säga hur de nya reglerna kommer att se ut. Vi utgår därför från de föreslagna bestämmelserna om interoperabilitet som finns i kommissionens förslag.
Byte av databehandlingstjänst
I kapitel VI i förordningsförslaget regleras byte av databehandlingstjänster. Syftet med reglerna är att underlätta byte mellan databehandlingstjänster och att på så vis motverka inlåsningseffekter och främja konkurrensen. I kapitlet föreskrivs bl.a. att när det gäller andra databehandlingstjänster än infrastrukturtjänster så ska leverantörer av databehandlingstjänster säkerställa kompatibilitet med öppna interoperabilitetsspecifikationer eller europeiska standarder för interoperabilitet.
Om öppna interoperabilitetsspecifikationer eller europeiska standarder inte finns för den berörda tjänstetypen ska leverantören av databehandlingstjänster på kundens begäran exportera alla data som genererats eller samgenererats, inbegripet relevanta dataformat och
94 Förslag till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) (COM[2022] 68 final). 95 I den svenska översättningen av kommissionens förslag kallas förordningen för dataakten.
datastrukturer, i ett strukturerat, allmänt använt och maskinläsbart format.
Interoperabilitet
Kommissionens förslag innehåller ett kapitel VIII, benämnt ”Interoperabilitet”. Kapitlet innehåller tre artiklar med grundläggande krav som måste vara uppfyllda när det gäller interoperabiliteten mellan ansvariga för dataområden och leverantörer av databehandlingstjänster, såväl som grundläggande krav för smarta avtal. Genom kapitlet möjliggörs även öppna specifikationer och europeiska standarder för databehandlingstjänsternas interoperabilitet för att främja en gränslös molnmiljö med flera aktörer.
6.8. Slutsatser om styrning av interoperabilitet
I Sverige saknas en nationell övergripande lagstiftning som styr interoperabilitet när den offentliga förvaltningen delar data. Det har resulterat i att myndigheter och andra aktörer inom offentlig förvaltning inte behöver följa gemensamma krav vid datadelning och att den tekniska utvecklingen inte har skett på ett likriktat vis. Data delas därför i många olika format eller gränssnitt. Det försvårar datadelningen och användningen av den data som delas, nätverkseffekter uteblir och kostnader för offentlig förvaltnings it-tjänster ökar.96 Dessutom leder det till att trösklarna för att initiera delning av nya data blir höga.
Förvaltningsgemensamma ansatser finns emellertid. Digg har inrättats med uppdraget att samordna och stödja den förvaltningsgemensamma digitaliseringen. Myndigheten har dock inget mandat att genom tvingande bestämmelser styra förvaltningens datadelning mot interoperabilitet. Den styrning som i dagsläget finns på området är inte bindande och har hittills inte lett till en tillräckligt hög nivå av interoperabilitet hos den offentliga förvaltningen. Även samverkan inom Ena har ett förvaltningsgemensamt perspektiv. Det är dock endast samverkan och det finns ingen reglering som ålägger offentlig förvaltning att använda de byggblock som tagits fram inom ramen
96 På fyra år (mellan 2019 och 2023) har statliga myndigheter, regioner och kommuners kostnader för it-tjänster ökat med 25 procent enligt en rapport från Tendium, Den offantliga IT-marknaden.
för Ena, eller att följa samma krav vid datadelning. Vi kan också konstatera att samverkan i Ena utgår från regeringsuppdrag som förnyats vartefter. Det har därmed saknats en tillräcklig långsiktighet i arbetet. Att uppnå förvaltningsgemensam interoperabilitet inom den offentliga förvaltningen kommer att ta tid, vilket gör en större långsiktighet i styrningen mycket viktig.
Inom sektorer har det under en längre tid pågått arbete för att uppnå interoperabel datadelning. Vissa sektorer har kommit längre än andra. Förutsättningarna för att styra hur data ska delas skiljer sig åt mellan sektorerna. Styrningen sker primärt genom åtgärder som inte är tvingande, exempelvis genom vägledningar, men det finns exempel på styrning genom författning. Möjligheterna till tvingande styrning av datadelning inom sektorerna mot att bli interoperabel, behöver förbättras. Förutsättningarna för datadelning skiljer sig i dagsläget åt mellan sektorerna men gemensamt för dem är att datadelning som sker maskin-till-maskin kan bidra till realisering av många nyttor, bl.a. kan resurser frigöras som i stället kan användas till kärnverksamheterna. Vår bedömning är att styrningen inom sektorerna måste utgå från ett förvaltningsgemensamt perspektiv eftersom data som delas inom en viss sektor kan ha stort värde för myndigheter och andra aktörer inom offentlig förvaltning som vanligen inte agerar inom sektorn. Som vi beskriver i kapitel 4 kan det uppstå situationer, såsom nationella kriser, när data från olika sektorer snabbt måste kunna delas mellan sektorerna och olika myndigheter eller andra aktörer för att hantera situationen. Styrningen inom sektorerna får inte styra mot att datadelningen sker på ett sådant sätt att sektorn inte blir interoperabel med andra sektorer.
Det finns viss reglering om hur data ska delas i myndighetsföreskrifter. Dessa har emellertid ofta ett internt perspektiv och är utformade utifrån ändamålen hos den myndighet som meddelar föreskrifterna. Vi vill dock påpeka att det finns undantag, exempelvis SCB:s föreskrifter som nämns ovan.
Det finns ett flertal exempel på när regeringen genom regeringsuppdrag har styrt statliga myndigheter mot bättre förutsättningar för datadelning. Uppdragen utgår emellertid sällan från ett nationellt, förvaltningsgemensamt perspektiv. Den samverkan som sker mellan de myndigheter som omfattas av ett regeringsuppdrag syftar av naturliga skäl till att lösa uppdraget. Om uppdraget saknar en förvaltnings-
gemensam dimension är risken stor att den datadelning som uppdraget avser inte är interoperabel med övriga förvaltningen.
EU har fastställt tydliga mål vad gäller digitaliseringen. Allt fler av unionens rättsakter styr mot dessa mål. På EU-nivå har interoperabilitet identifierats som en förutsättning för att nå målen. Detta präglar rättsakterna och uppbyggnaden av olika digitala tjänster. Sverige kommer i egenskap av medlemsstat i unionen att behöva anpassa sig till ökade krav på datadelning och interoperabilitet. Utredningens uppfattning är att vi behöver utgå från och nyttja initiativen i syfte att förbättra även den nationella interoperabilitet i Sverige. Utöver de anpassningar vi måste göra finns goda möjligheter att återanvända lösningar som tas fram på EU-nivå. Myndigheter och andra aktörer inom den offentliga förvaltningen i Sverige ska inte behöva skapa egna lösningar eller uppfinna hjulet på nytt varje gång när de ska dela nya data eller dela data med nya aktörer.
Att det finns EU-lagstiftning på detta område hindrar enligt vår bedömning inte medlemsstaterna från att vidta egna lagstiftningsåtgärder som syftar till att förbättra interoperabiliteten i de egna offentliga förvaltningarna. EU-lagstiftningen måste dock självfallet tas i beaktande när nationell lagstiftning utformas. I kommissionens förslag till interoperabilitetsförordning introduceras begreppet interoperabilitetslösning. Förslaget innehåller emellertid inget krav att använda lösningarna. Förslaget hindrar inte heller i övrigt medlemsstaterna att vidta lagstiftningsåtgärder avseende interoperabilitet i deras offentliga förvaltningar. Den EU-lagstiftning som i dagsläget finns avser endast delar av den offentliga förvaltningens datadelning, exempelvis när förvaltningen delar data för vidareutnyttjande.
7. Informationssäkerhet vid ökad datadelning
7.1. Vikten av säkerhet vid datadelning
7.1.1. Inledning
Samhällets digitalisering, inbegripet en omfattande delning av data, ger många fördelar och möjligheter för vår välfärd men leder också till nya risker genom en större exponering av information (data) och informationssystem.1 Tillräckliga säkerhetsåtgärder för att skydda den offentliga förvaltningens information och informationssystem är centrala förutsättningar för att digitaliseringens och datadelningens möjligheter ska kunna tas tillvara. Ett bristande systematiskt och riskbaserat informationssäkerhetsarbete kan medföra att information kan komma obehöriga till del, att organisationer inte får åtkomst till sin information eller att informationen blir förvanskad eller förstörd. Det är bl.a. viktigt att införa säkerhetsåtgärder för att skydda information i informationssystem.2
Regeringen utfärdade 2016 en nationell strategi för samhällets informations- och cybersäkerhet för att stärka informations- och cybersäkerheten och främja målen för Sveriges säkerhet och it-politik.3I strategin uttrycks regeringens övergripande prioriteringar och målsättningar. Strategin ska bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet samt att höja medvetenheten och kunskapen i hela samhället. Strategin omfattar statliga myndigheter, kommuner, regioner, företag, organisationer och privatpersoner. Det är enligt
1 Begreppet informationssystem används av MSB för applikationer, tjänster eller andra komponenter som hanterar information. I begreppet ingår också nätverk och infrastruktur (se MSB,
Vägledning Säkerhetsåtgärder i informationssystem (MSB2032), oktober 2022).
2 MSB, Vägledning Säkerhetsåtgärder i informationssystem (MSB2032), oktober 2022. 3 Skr. 2016/17:213.
strategin sex områden inom samhällets informations- och cybersäkerhet som behöver prioriteras. Viktiga områden för att en ökad datadelning ska vara möjlig utan att säkerheten eftersätts är att säkerställa en systematisk och samlad ansats i arbetet med informations- och cybersäkerhet, att öka säkerheten i nätverk, produkter och system och att stärka förmågan att förebygga, upptäcka och hantera cyberattacker och andra it-incidenter. Regeringen har nu påbörjat ett arbete med en ny strategi på området, något som bl.a. följer av kraven i kommande EU-reglering.
Av offentliga myndighetsrapporter och utredningar m.m. framkommer att det finns allvarliga brister i informations- och cybersäkerheten på olika områden. Detta gäller såväl statliga myndigheters verksamhet som regioner och kommuner men även andra organisationer och inom näringslivet. Bristerna avser både det systematiska informationssäkerhetsarbetet och säkerheten i olika nätverks- och informationssystem. Vidare framkommer att det finns allvarliga brister i styrning och organisering, kunskap och kompetens samt resurstilldelning inom området för informations- och cybersäkerhet.4
7.1.2. EU-reglering med krav på säkerhet
EU har aviserat många nya regleringar och andra typer av satsningar på informations- och cybersäkerhetsområdet. Initiativen förväntas påverka såväl svensk som europeisk säkerhet i stor utsträckning liksom roller, uppdrag och uppgifter hos offentliga och privata aktörer i Sverige.
EU införde krav på säkerhet i nätverk och informationssystem 2016 genom NIS-direktivet.5 Direktivet är införlivat i svensk rätt genom lagen (SFS 2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster.
NIS-direktivet innehåller rättsliga åtgärder för att öka den övergripande cybersäkerhetsnivån i EU genom att säkerställa
4 Se exempelvis MSB:s rapport Det systematiska informationssäkerhetsarbetet i den offentliga
förvaltningen – Resultatredovisning Infosäkkollen 2021 och Sveriges säkerhet – behov av starkare skydd för nätverks- och informationssystem (SOU 2021:63).
5 Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen.
- medlemsstaternas beredskap genom att kräva att de är tillräckligt utrustade. T.ex. med en CSIRT-enhet (Computer Security Incident Response Team) och en behörig myndighet för nationella nätverks- och informationssystem (NIS),
- samarbete mellan alla medlemsstater genom att inrätta en samarbetsgrupp för att stödja och underlätta strategiskt samarbete och informationsutbyte mellan medlemsstaterna,
- en säkerhetskultur inom alla sektorer som är avgörande för vår ekonomi och vårt samhälle och som i hög grad är beroende av IKT, såsom energi, transport, vatten, bankverksamhet, finansmarknadsinfrastruktur, hälso- och sjukvård och digital infrastruktur.
Privata och offentliga aktörer som av medlemsstaterna identifierats som leverantörer av samhällsviktiga tjänster inom ovannämnda sektorer måste vidta lämpliga säkerhetsåtgärder och underrätta berörda nationella myndigheter om allvarliga incidenter. Viktiga leverantörer av digitala tjänster, såsom sökmotorer, molntjänster och e-marknadsplatser, måste uppfylla kraven på säkerhet och anmälan enligt direktivet.
I januari 2023 trädde ett nytt EU-direktiv i kraft: direktivet om en hög gemensam cybersäkerhet i hela unionen (kallat NIS2).6 NIS2direktivet ersätter det ursprungliga NIS-direktivet. Det syftar till att ytterligare harmonisera hur medlemsstaterna utformar säkerhetskrav, incidentrapportering, tillsyn och sanktioner. Dessutom stärks samverkan på EU-nivå och tillämpningsområdet utvidgas till att omfatta fler sektorer och aktörer. Här kan särskilt noteras att en av de nya sektorerna i NIS2 utgörs av offentlig förvaltning.
EU har dessutom antagit det s.k. CER-direktivet.7 Enligt CERdirektivet ska medlemsstaterna säkerställa förmågan hos samhällsviktig verksamhet att förebygga, motstå och hantera störningar eller avbrott i verksamheten. Detta ska gälla oavsett om störningen eller avbrottet har föranletts av t.ex. naturolyckor, terroristattacker, pandemier eller andra allvarliga händelser. Direktivet ålägger aktörerna skyldigheter att bl.a. vidta åtgärder för att stärka sin motståndskraft och att rapportera incidenter. Det innehåller precis som NIS2-direk-
6 Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148. 7 Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upphävande av rådets direktiv 2008/114/EG.
tivet bestämmelser om tillsyn och sanktioner samt reglerar hur medlemsstaterna ska samverka. Alla aktörer som omfattas av CER-direktivet omfattas av NIS2-direktivet. Kombinationen av NIS2- och CERdirektiven ger möjlighet att stärka motståndskraften i samhällsviktig verksamhet på ett samlat sätt och utifrån ett allriskperspektiv. Medlemsstaterna ska ha implementerat de båda direktiven i sin nationella lagstiftning på ett samordnat sätt senast den 18 oktober 2024.
I februari 2023 tillsatte regeringen en utredning om genomförandet av NIS2-direktivet och EU:s direktiv om kritiska entiteters motståndskraft (CER).8 Utredningen ska redovisa sitt uppdrag senast den 23 februari 2024. Tills den nya nationella regleringen är på plats gäller det nuvarande nationella NIS-regelverket.9
7.1.3. Krav på statliga myndigheters beredskap
Statliga myndigheter ska genom sin verksamhet minska sårbarheten i samhället och utveckla en god förmåga att hantera sina uppgifter vid fredstida krissituationer och höjd beredskap. Bestämmelser finns i förordningen (2022:524) om statliga myndigheters beredskap (beredskapsförordningen). Det finns 60 statliga myndigheter som är s.k. beredskapsmyndigheter, vilka har särskild betydelse för samhällets civila beredskap. Myndigheterna ska ha god förmåga att motstå hot och risker, förebygga sårbarheter, hantera fredstida krissituationer och genomföra sina uppgifter vid höjd beredskap. Genom förordningen har ett antal beredskapssektorer inrättats. I beredskapssektorerna ingår ett antal beredskapsmyndigheter. För varje sektor finns en sektorsansvarig myndighet som leder arbetet med att samordna åtgärder både inför och vid fredstida krissituationer och höjd beredskap. En sektor är Försörjning av grunddata, som Skatteverket ansvarar för. Övriga myndigheter som ingår är Bolagsverket, Lantmäteriet och Myndigheten för digital förvaltning. Med försörjning av grunddata avses att uppgifter inom den offentliga förvaltningen, som flera aktörer har behov av och som är viktiga i samhället, är tillgängliga även under höjd beredskap och vid fredstida kriser.10 Det
8 Kommittédirektiv Genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft (Dir. 2023:30). 9 Lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster och förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster. 10Struktur för ökad motståndskraft (SOU 2021:25), s. 234.
handlar också om att informationen ska finnas kvar över tid utan att förstöras eller förvanskas samt att informationen ska skyddas mot obehörig insyn.
Samtliga statliga myndigheter ska även se till att informationshanteringen uppfyller krav på säkerhet och rapportera it-incidenter enligt 13 och 14 §§ beredskapsförordningen. Ytterligare bestämmelser finns i Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter med krav på att statliga myndigheter bedriver ett systematiskt och riskbaserat informationssäkerhetsarbete11 samt vidtar säkerhetsåtgärder i sina informationssystem.12 MSB har även utfärdat närmare föreskrifter om rapportering av it-incidenter.13
7.1.4. Säkerhetsskydd
I säkerhetsskyddslagen (2018:585) finns bestämmelser om informationssäkerhet. Lagen gäller för den som bedriver säkerhetskänslig verksamhet.14 Enligt 2 kap. 2 § i den lagen ska informationssäkerhet förebygga att säkerhetsskyddsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs, och förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet. I säkerhetskyddsförordningen (2021:955) finns bl.a. bestämmelser om förberedande åtgärder inför driftsättning av ett informationssystem, samt säkerhetskrav för informationssystem som används i säkerhetskänslig verksamhet. Ytterligare bestämmelser finns i Säkerhetspolisens föreskrifter om säkerhetsskydd (PMFS 2022:1). I 3 kap. 12 § föreskrivs att verksamhetsutövaren ska se till att nödvändiga säkerhetsskyddsåtgärder vidtas vid distribution av säkerhetsskyddsklassificerade uppgifter inom och utom verksamheten.
11 Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6). 12 Myndigheten för samhällsskydd och beredskaps föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7). 13 Myndigheten för samhällsskydd och beredskaps föreskrifter om rapportering av it-incidenter för statliga myndigheter (MSBFS 2020:8). 14 Verksamhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett för Sverige förpliktande internationellt åtagande om säkerhetsskydd (1 kap. 1 §).
7.2. Säkerhetsaspekter vid ökad datadelning
Datadelning kan i sig öka säkerhetsriskerna eftersom det är en mer komplex situation än om endast en part ska förvara och bearbeta data. När data delas ökar antalet parter som är inblandade och dessutom ska data överföras mellan dem. Det öppnar för sårbarheter och det är därför viktigt att känsliga data hanteras på ett säkert sätt och att riskerna läggs på en acceptabel nivå. Som framgår ovan finns redan reglering som syftar till att öka säkerheten i den offentliga förvaltningen.
Delning av data inom och från den offentliga förvaltningen och i samhället i stort kommer att öka. En sådan utveckling tror vi är oundviklig trots de säkerhetsrisker det potentiellt innebär. Nyttorna med ökad datadelning kommer att vara pådrivande i utvecklingen men nödvändig säkerhet måste säkerställas. De risker som är förknippade med datadelning kan bli allvarligare om delningen ökar. En förutsättning för att kunna dra nytta av den ökade datadelningen är att de som delar och hanterar data beaktar de regelverk som finns och vidtar de säkerhetsåtgärder som krävs.
Ökad datadelning innebär att källorna till data blir fler. Det kan även innebära att källorna innehåller mer data. En risk som måste beaktas vid ökad datadelning är möjligheterna att aggregera data, vilket innebär att vissa data kombineras med andra data som tillsammans bildar nya mer känsliga data. Ett av syftena med att förbättra interoperabiliteten vid datadelning är att göra det lättare att kombinera data eftersom det finns stora nyttor med att kunna analysera olika data från olika källor på ett samlat sätt. Det är emellertid förknippat med risker. Delning av vissa data som bedöms som harmlösa utifrån sitt informationsinnehåll kan göra att datadelningen framstår som okomplicerad. Men om dessa data kombineras med andra data kan de tillsammans öka säkerhetsriskerna exempelvis genom att enklare visa på olika förhållanden eller sårbarheter som kan utnyttjas. Riskbedömningen för den som ska dela med sig av data kan bli mer komplex än tidigare eftersom bedömningen i vissa fall behöver ta hänsyn till riskerna med aggregerade data. Riskerna med aggregerade data måste bedömas utifrån vilka data som delas, samt under vilka förutsättningar delade data kan kombineras och aggregeras med andra data samt därmed bli känsliga eller känsligare. Riskerna och nivån av risk kan exempelvis skilja sig åt om data delas genom en sluten infrastruk-
tur eller om data delas öppet för vem som helst att ta del av (tillgängliggörande för vidareutnyttjande).
Säkerheten, det vill säga skyddet för informationens konfidentialitet, riktighet och tillgänglighet, behöver inte bli sämre vid ökad datadelning. Om riskerna hanteras på rätt sätt och rätt åtgärder vidtas kan säkerheten höjas jämfört med dagens situation. I kapitel 4 beskriver vi att det i dagsläget förekommer att data delas genom manuell hantering, exempelvis genom att en människa måste läsa av uppgifter i ett system och sedan skriva in dem i ett annat. Ett annat förfarande är att filer laddas upp manuellt i ett system i stället för att överföras maskin-till-maskin. Myndigheter och andra aktörer kan också välja att ge personer från mottagande organisation åtkomst direkt till de egna informationssystemen. Om den typen av förfaranden tillämpas vid datadelning mellan organisationer kan det krävas inloggning och behörighetshantering hos den organisation som ska ta emot data eller tillhandahålla data. Organisationerna kan behöva föra register över personer i andra organisationer som är behöriga att logga in i systemen. Organisationerna som delar data måste samtidigt säkerställa att de har rutiner för att direkt kunna meddela mottagande organisation när en person inte längre är behörig att dela data. Ökad datadelning maskin-till-maskin minskar behovet av denna typ av behörighetshantering.
7.3. Förvaltningsgemensamma informationsmodeller
Informationsmodeller eller metoder för struktur och kodning av information finns hos många myndigheter och andra aktörer för t.ex. överföring av data mellan de egna systemen men också inom vissa sektorer, samt mellan två eller flera aktörer för att underlätta informationsutbyte eller datadelning.
En förbättrad interoperabilitet ställer nya krav på offentlig förvaltning att hantera informationen på ett konsekvent och säkert sätt. Detta kan t.ex. uppnås genom att krav ställs på gemensamma informationsmodeller som i sin tur kan stödja organisationer i offentlig förvaltning i arbetet med mer koordinerade skyddsnivåer.
Såsom angavs i kapitel 4 ingår det i utredningens uppdrag att överväga förvaltningsgemensamma informationsmodeller för att uppnå en högre informationssäkerhet vid en ökad förmåga att dela data inom
offentlig förvaltning. Ökad interoperabilitet ställer nya krav på offentlig förvaltning att hantera informationen på ett konsekvent och säkert sätt.15I vårt uppdrag ingår alltså att överväga om det finns behov av en reglering av en eller flera förvaltningsgemensamma informationsmodeller. I kapitel 4 redogörs för informationsmodeller som handlar om strukturering och kodning av data. I detta kapitel riktas fokus mot informationsmodeller som syftar till att tillgodose säkerhetsaspekterna vid ökad datadelning. En sådan informationsmodell skulle exempelvis kunna innehålla en struktur som stöd för användningen av koordinerade skyddsnivåer. Organisationer i den offentliga förvaltningen skyddar i dag sin information utifrån sina egna organisatoriska förutsättningar och behov. Detta innebär att skyddet för samma information varierar inom den offentliga förvaltningen. Vid datadelning kan detta medföra två huvudsakliga olika utmaningar.
1. Att upprätta en ömsesidig tillit: Om organisationer som ska dela eller ta emot data ska inte känner tillräcklig tillit till hur motparterna skyddar data avseende konfidentialitet, riktighet eller tillgänglighet kan viljan att dela data hämmas. Behovet av att kunna förmedla och följa upp krav på skydd är relativt enkelt att omhänderta när det är ett begränsat antal organisationer som deltar i datadelningen. Det blir betydligt mer komplicerat att förmedla och följa upp sådana krav när hela den offentliga förvaltningen ska delta i datadelningen.
2. Att hantera komplexa beroenden och aggregering: När data delas i större omfattning för att bygga fler samhällstjänster, som allt fler blir beroende av, blir samhällets samlade intresse av att information skyddas större. Samtidigt blir det svårare för den enskilda organisationen att inför delningen av data få en god bild över om det kommer att ske någon aggregering utanför organisationens hantering och vilka konsekvenser detta kan medföra. Utan möjlighet att ge en gemensam inriktning för nivån på skyddet blir det svårare att säkerställa att samhällets gemensamma intresse av skydd kan omhändertas.16
15 Kommittédirektiv Utvecklad reglering och styrning av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer (Dir. 2022:118). 16 Kommittédirektiv Utvecklad reglering och styrning av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer (Dir. 2022:118).
7.4. Krav på informationsklassning
Myndigheten för samhällsskydd och beredskap (MSB) har, som nämnts tidigare, meddelat föreskrifter om sådana säkerhetskrav som avses i förordningen (2022:524) om statliga myndigheters beredskap (beredskapsförordningen) liksom föreskrifter om systematiskt och riskbaserat informationssäkerhetsarbete enligt 11 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.17MSB har bl.a. föreskrivit om en skyldighet för statliga myndigheter att klassa sin information i föreskrifterna om statliga myndigheters informationssäkerhet (6 § MFBFS 2020:6) och motsvarande för leverantörer av samhällsviktiga och digitala tjänster, s.k. NIS-leverantörer (8 § MSBFS 2018:8).
MSB:s föreskriftsrätt för säkerhetsåtgärder gäller alltså för statliga myndigheter men inte för kommuner och regioner förutom i de delar där de har en roll som NIS-leverantör för att skydda sina nätverk och informationssystem för samhällsviktiga tjänster. Föreskriftsrätten avser hur en myndighet eller NIS-leverantör utför sitt interna säkerhetsarbete, och inkluderar endast generella krav för statliga myndigheter att hantera risker när de anlitar en extern aktör för att behandla myndighetens information. Det tar främst sikte på utkontraktering och leverantörer av it-tjänster. I NIS2-direktivet omfattas statliga myndigheter och regioner av säkerhetskrav i sin helhet. Den nu pågående statliga utredningen ska även bedöma om kommuner ska omfattas.18
MSB ger vägledning om informationsklassning i sitt metodstöd för systematiskt informationssäkerhetsarbete som riktar sig till alla organisationer. För att den information som en organisation ansvarar för ska uppfylla krav på informationssäkerhet ska den värderas utifrån tre säkerhetsaspekter: konfidentialitet, riktighet och tillgänglighet. Det betyder att informationen endast är tillgänglig för behöriga, är korrekt och inte obehörigt ändrad, samt kan kommas åt av behöriga när de behöver den. Utifrån resultatet av informationsklassning och en riskbedömning införs därefter säkerhetsåtgärder så att informationen skyddas på rätt nivå. Andra aspekter kan förekomma i en organisations klassningsarbete, såsom spårbarhet och oavvislighet, men klassning utifrån dessa aspekter bedöms enligt MSB inte
177 § förordningen (2018:1175) om informationssäkerhet för samhällsviktiga och digitala tjänster. 18 Genomförande av EU:s direktiv om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen och EU:s direktiv om kritiska entiteters motståndskraft (Dir. 2023:30).
nödvändig. De säkerhetsåtgärder som en klassning utifrån spårbarhet tillför kan exempelvis tillgodoses genom klassning utifrån konfidentialitet och riktighet.
De ovan nämnda föreskrifterna för statliga myndigheter (MSBFS 2020:6) anses utgöra ramen för det systematiska informationssäkerhetsarbetet, oavsett vilken typ av information det gäller. I det systematiska informationssäkerhetsarbetet ingår att organisationen – utifrån sin omvärldsbevakning, inventering av sina och andras behov, sin informationsklassning samt riskanalys med mera – ska välja och därefter införa ändamålsenliga säkerhetsåtgärder. Därefter ska organisationen utvärdera effekten och vid behov förbättra åtgärderna. Arbetet behöver enligt MSB:s vägledning göras löpande för att kunna omhänderta exempelvis ny teknisk utveckling eller ett förändrat säkerhetsläge.19
Kommuner, regioner och deras bolag använder SKR:s verktyg KLASSA. Verktyget utgör ett it-stöd för visst informationssäkerhetsarbete. Verktyget ger, genom självskattning, en kontroll av regelefterlevnad (compliance) för informationssäkerhet.
7.5. Ömsesidig tillit – koordinerade skyddsnivåer
Egna krav på säkerhetsåtgärder tas fram med stöd av informationsklassning och riskbedömning och utgör en central del i varje organisations systematiska informationssäkerhetsarbete. Myndigheter och andra aktörer i offentlig förvaltning omfattas i viss utsträckning av krav på både informationsklassning och riskbedömning. Det finns stöd att tillgå för hur både klassning och bedömning av risker kan genomföras.20 Genom den kommande regleringen i NIS2-direktivet kommer alla statliga myndigheter, och eventuellt också regioner och kommuner att omfattas av krav på informations- och cybersäkerhet.
Datadelning innebär att fler organisationer ska hantera informationen som ska skyddas. För att skapa samsyn kring säkerhet vid datadelning och därmed ömsesidig tillit till hur andra myndigheter
19 MSB:s vägledning Säkerhetsåtgärder i informationssystem, MSB2032, oktober 2022. 20 Se framför allt Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6), Myndigheten för samhällsskydd och beredskaps föreskrifter om informationssäkerhet för leverantörer av samhällsviktiga tjänster (MSBFS 2018:8), Metodstöd för systematiskt informationssäkerhetsarbete på www.informationssäkerhet.se och Sveriges kommuner och regioners (SKR) verktyg KLASSA, it-stöd för informationssäkerhetsarbete.
skyddar information är det centralt att de inte bara har förmåga att arbeta systematiskt med informationssäkerhet själva. De behöver även vara överens om vilka säkerhetsåtgärder som krävs för att skydda den data som delas inklusive styrkan hos åtgärderna. För att göra det enklare att förmedla och följa upp säkerhetskrav, särskilt när många myndigheter och andra aktörer i offentlig förvaltning deltar i datadelningen, skulle det kunna vara lämpligt att använda standardiserade säkerhetsåtgärder i form av koordinerade skyddsnivåer. De myndigheter som ska dela information behöver då endast jämföra sina egna krav på säkerhetsåtgärder för den information som ska delas med de säkerhetsåtgärder som beskrivs i respektive skyddsnivå för att identifiera vilken koordinerad skyddsnivå som ska användas vid datadelning. De koordinerade skyddsnivåerna skulle ge offentlig förvaltning ett sätt att beskriva säkerhetsbehoven vid datadelning på ett standardiserat sätt. Detta skulle förenkla arbetet med att skapa en ensad säkerhetsnivå vid datadelning, särskilt vid datadelning en till många respektive många till många. Tillit till varandras skydd av informationen minskar risken för att datadelning väljs bort av säkerhetsskäl och ökar därmed möjligheterna för fler att i ökad utsträckning dela data. En annan fördel med att standardisera säkerhetsarbetet vid datadelning genom koordinerade skyddsnivåer skulle vara att det blir enklare att ta fram ett heltäckande stöd och vägledning för säkerhetsarbetet.
Fråga har uppkommit om det räcker med stöd i form av koordinerade eller gemensamma skyddsnivåer eller om det också behövs en förvaltningsgemensam modell för informationsklassning. Informationsklassning hjälper en organisation att värdera sin information på ett enhetligt sätt utifrån interna och externa krav på konfidentialitet, riktighet och tillgänglighet.
En informationsklassningsmodell är ett viktigt och organisationsnära stöd för att värdera information utifrån både organisationens uppdrag och syftet med informationsbehandlingen. Det är viktigt att klassningsmodellen utformas på ett sätt som uppfyller de behov som organisationen har och den kan därför se ut på olika sätt hos olika organisationer.
Utredningens bedömning är dock att en förvaltningsgemensam modell för informationsklassning inte är en nödvändig förutsättning för att kunna använda koordinerade skyddsnivåer vid datadelning. Det mottagaren behöver veta är vilka och hur starka säkerhetsåt-
gärder som krävs, t.ex. flerfaktorsautentisering, kryptoalgoritmer eller säkerhetskopiering. Detta framgår inte av en klassningsmodell. Det är, som nämnts ovan, svårt att ta fram en informationsklassningsmodell som svarar mot alla organisationers behov. Krav på att använda en förvaltningsgemensam klassningsmodell vid datadelning skulle därför innebära att vissa myndigheter och andra aktörer i offentlig förvaltning blev tvungna att använda en klassningsmodell för sin informationshantering som inte är anpassad till deras behov. Alternativt skulle offentlig förvaltning behöva använda en informationsklassningsmodell för data som ska delas och en annan informationsklassningsmodell för övrig internt hanterad information.
Att införa en gemensam modell för informationsklassning är således inte rätt åtgärd för det som regeringen vill uppnå, vilket är en adekvat säkerhet som också underlättar interoperabilitet i hela den offentliga förvaltningen. Däremot är det centralt att varje myndighet eller annan aktör i offentlig förvaltning genomför informationsklassning och riskbedömning för att kunna välja rätt skyddsnivå för sina informationsmängder.
En förvaltningsgemensam informationsmodell som tillhandahåller en struktur som stöd för användningen av koordinerade skyddsnivåer skulle kunna utgöra en interoperabilitetslösning. De koordinerade skyddsnivåerna behöver tas fram och förvaltas av en myndighet. Mot bakgrund av nya hot och risker samt teknisk utveckling kan säkerhetsåtgärder i en skyddsnivå behöva justeras vartefter eller kompletteras. Ju mer specificerade säkerhetsåtgärderna är desto viktigare är det att de regelbundet ses över för att motsvara behoven av säkerhet. En lösning som ena dagen anses ge ett tillräckligt skydd kan exempelvis visa sig innehålla sårbarheter som gör att lösningen behöver kompletteras med ytterligare säkerhetsåtgärder temporärt tills sårbarheten är hanterad eller tills lösningen är utbytt.
För att kunna upprätthålla tilliten till att de koordinerade skyddsnivåerna ger det skydd som avses är det lämpligt att tilldela en myndighet, eventuellt i samverkan med andra, uppgiften att ta fram, förvalta och publicera de gemensamma skyddsnivåerna. Utredningens bedömning är att Myndigheten för samhällsskydd och beredskap (MSB) är den myndighet som bör få detta uppdrag. Mot bakgrund av det långsiktiga behovet är det lämpligt att uppdraget tydliggörs genom ett flerårigt regeringsuppdrag alternativt i myndighetens instruktion.
8. Internationell utblick
Att använda kunskaper om andra länders styrning, organisering och val av interoperabilitetslösningar kan hjälpa oss att förstå vilka åtgärder de har vidtagit för att öka interoperabiliteten vid datadelning, för att – om möjligt – i nästa steg kunna bedöma vilka lösningar som fungerat bra för att öka interoperabiliteten i dessa länder.
Finland, Norge och Danmark är länder som utredningen har studerat närmare, bl.a. eftersom samtliga placerat sig högre än Sverige i rapporter om t.ex. offentlig sektors tillgängliggörande av data och interoperabilitet. Finland var tidiga med att lagstifta om informationsförvaltning och interoperabilitet samt har en liknande förvaltningsorganisation som Sverige, vilket utifrån utredningens uppdrag har gjort landets lösningar särskilt intressanta.
8.1. Styrning och organisering av interoperabilitet vid datadelning i Finland
I Finland har styrning i form av bl.a. lagstiftning om informationsförvaltning och främjande av interoperabilitet funnits sedan 2011. Sedan den 1 januari 2020 gäller lagen om informationshantering inom den offentliga förvaltningen (informationshanteringslagen) och sedan 2016 lagen om förvaltningens gemensamma stödtjänster för e-tjänster.1I informationshanteringslagen sammanställdes relevanta bestämmelser från tre andra lagar – lagen om offentlighet i myndigheternas verksamhet (621/1999), lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen (634/2011) och lagen om elektronisk kommunikation i myndigheternas verksamhet (13/2003). Genom
1 Lagen om informationshantering inom den offentliga förvaltningen (906/2019), https://www.finlex.fi/sv/laki/ajantasa/2019/20190906 (hämtad 2023-10-25) och lagen om förvaltningens gemensamma stödtjänster för e-tjänster (2016/571), https://www.finlex.fi/sv/laki/ajantasa/2016/20160571 (hämtad 2023-10-25).
den nya lagen upphävdes lagen om styrning av informationsförvaltningen inom den offentliga förvaltningen. De andra två lagarna gäller dock fortfarande. Genom den nya lagen avvecklades också tekniska regleringar i speciallagstiftning. Regeringen konstaterade i förarbetena till informationshanteringslagen att regleringen var splittrad och i många avseenden föråldrad i förhållande till förvaltningens faktiska verksamhetsmiljö och därför behövde reformeras.2
8.1.1. Lagen om informationshantering inom den offentliga förvaltningen
Informationshanteringslagen har tre syften:
- att säkerställa en enhetlig och kvalitativ hantering samt informationssäker behandling av myndigheternas informationsmaterial så att offentlighetsprincipen förverkligas,
- att möjliggöra ett tryggt och effektivt utnyttjande av myndigheternas informationsmaterial så att myndigheterna i enlighet med god förvaltningssed kan sköta sina uppgifter och tillhandahålla förvaltningskunderna tjänster på ett kvalitativt sätt och med gott resultat,
- att främja interoperabiliteten mellan informationssystem och informationslager3.
Av lagens förarbeten framgår att lagen är en implementering av bl.a. det europeiska ramverket för interoperabilitet (EIF)4 trots att det inte anges explicit i lagen.5 Lagen tillämpas på informationshantering och på användning av informationssystem då myndigheter behandlar informationsmaterial, om inte något annat föreskrivs i en annan lag. Fokus för den nya lagen är att främja interoperabiliteten mellan informationssystem och informationslager. Den har därmed ett större fokus på datadelning än den gamla lagen som mer tog sikte på förvaltning. Lagens syfte avser dock interoperabilitet mellan informa-
2 Proposition RP 284/2018 rd. 3 Informationslager är en centraliserad lagringsplats som lagrar strukturerade data (t.ex. databastabeller och Excelblad) och halvstrukturerade data (t.ex. XML-filer). 4 Vi beskriver ramverket i kapitel 4. 5 Proposition RP 284/2018 rd.
tionssystem och informationslager, det vill säga inte interoperabilitet i relation till tredje part.
I lagen finns även bestämmelser om hur aktörer inom offentlig förvaltning ska ordna sin informationshantering och ett krav på upprättande av informationshanteringsmodell.
Finansministeriet ansvarar för den allmänna styrningen av interoperabiliteten mellan den offentliga förvaltningens informationslager och informationssystem. Ministeriet ska dels ombesörja uppdateringen av den offentliga förvaltningens informationshanteringskarta, dels upprätthålla allmänna riktlinjer för utveckling av informationshanteringen inom den offentliga förvaltningen i syfte att främja interoperabiliteten mellan de gemensamma informationslagren och informationssystemen.
Myndigheterna ska som huvudregel genomföra regelbundet återkommande och standardiserad elektronisk överföring av information mellan informationssystem via tekniska gränssnitt, om den mottagande myndigheten enligt lag har rätt till informationen. De ska även, i syfte att möjliggöra och säkerställa interoperabiliteten för informationssystemen inom den offentliga förvaltningen, planera och beskriva sin övergripande arkitektur. Vidare ska de iaktta den utarbetade och uppdaterade övergripande arkitekturen och de beskrivningar samt definitionen av interoperabiliteten som den övergripande arkitekturen förutsätter, samt beskrivningar och definitioner av interoperabiliteten mellan informationssystemen enligt ansvarsområde. Finansministeriet ska planera och beskriva den offentliga förvaltningens verksamhets-, informations-, system- och teknikarkitektur (övergripande arkitektur).
Inom sina ansvarsområden ska ministerierna (departementen) se till att beskrivningar och definitioner av interoperabiliteten mellan informationssystemen inom deras ansvarsområden utarbetas och uppdateras. Informationshanteringslagen förutsätter att ministerierna upprätthåller riktlinjerna för interoperabiliteten inom sina respektive ansvarsområden. Genom förordning får ministeriet utfärda bestämmelser om innehållet i beskrivningar och definitioner av interoperabiliteten mellan informationssystemen inom ansvarsområdet. Vidare föreskrivs i lagen att det genom förordning får utfärdas bestämmelser om det beroende av och förhållande till informationssystemen hos myndigheterna inom den offentliga förvaltningen som förutsätts av dessa informationssystem med tanke på interoperabi-
liteten. Detta gäller avseende beskrivningar och definitioner av interoperabiliteten som även omfattar informationssystem som sammanslutningar eller stiftelser som utövar offentlig makt använder när de sköter offentliga förvaltningsuppgifter.
Enligt informationsförvaltningslagen får statsrådet, i förordning, utfärda bestämmelser om den gemensamma övergripande arkitekturen för informationsförvaltningen inom den offentliga förvaltningen. Detta gäller informations-, system- och teknikarkitektur samt innehållet i de beskrivningar och definitioner av interoperabiliteten som den övergripande arkitekturen förutsätter.
Av förarbetena till lagen framgår inte vad som avses med förutsättningarna för interoperabilitet enligt informationsförvaltningslagen. Däremot konstateras det i motiveringen att finansministeriet i definitionerna och beskrivningarna av den övergripande arkitekturen ska precisera i vilken omfattning, i vilka avseenden och hur noggrant myndigheterna inom den offentliga förvaltningen ska beskriva sin arkitektur.
Vidare har delegationen för informationsförvaltningen inom den offentliga förvaltningen bl.a. till uppgift att utfärda rekommendationer om informationsförvaltningen inom den offentliga förvaltningen (JHS-rekommendationer). Finansministeriet får besluta att en sådan rekommendation, när det gäller den gemensamma övergripande arkitekturen för informationsförvaltningen och de beskrivningar och definitioner av interoperabiliteten som den övergripande arkitekturen förutsätter, ska vara standard för informationsförvaltningen inom den offentliga förvaltningen (nedan JH-standard).
Informationsförvaltningslagen innehåller även en bestämmelse om främjande av informationsutbytet mellan myndigheter. Vidare föreskrivs att innan statliga ämbetsverk och inrättningar samt statens affärsverk eller domstolar och andra rättskipningsorgan för sin del beslutar om upphandling som gäller informationsförvaltning eller om annan sådan upphandling som gäller informationsförvaltning och som avgörs av myndigheter och finansieras med anslag i statsbudgeten, ska myndigheten begära finansministeriets utlåtande i frågan, om upphandlingen har vittgående betydelse för verksamheten eller betydande ekonomiskt värde. I offentlighetslagen föreskrivs att en myndighet, för att införa och genomföra en god informationshantering, ska se till att dess handlingar och datasystem samt uppgifterna i dem är behörigen tillgängliga, användbara, skyddade och integrerade
samt även sörja för andra omständigheter som påverkar kvaliteten på uppgifterna. Det föreskrivs också vilka åtgärder myndigheterna i synnerhet ska vidta för att genomföra en god informationshantering, bl.a. genom planer och beskrivningar.
8.1.2. Lagen om förvaltningens gemensamma stödtjänster för e-tjänster
Så som tidigare nämnts styrs arbetet med interoperabilitet i Finland även av lagen om förvaltningens gemensamma stödtjänster för e-tjänster.6 Syftet med lagen är att förbättra tillgången och kvaliteten på offentliga tjänster, att förbättra tjänsternas informationssäkerhet samt interoperabilitet. Syftet är också att förbättra styrningen av tjänsterna och att främja effektiviteten och produktiviteten inom den offentliga förvaltningens verksamhet. Lagen innehåller bestämmelser om den offentliga förvaltningens gemensamma stödtjänster för e-tjänster, om kraven på stödtjänsterna, om åligganden som hänför sig till produktionen av stödtjänster samt om behandlingen av personuppgifter och andra uppgifter i samband med produktionen. Exempel på gemensamma stödtjänster är en informationsförmedlingskanal som används för att överföra och lämna ut uppgifter som ingår i myndigheters datalager och tillhandahålla elektroniska tjänster (nationell servicekanal) samt en tjänst som samlar enhetligt presenterade uppgifter som gäller myndighetens tjänster och erbjuder centraliserad och offentlig tillgång till och användning av dem (servicedatalager). I lagen finns dessutom bestämmelser om rätten och skyldigheten för bland andra statliga myndigheter och kommuner att använda gemensamma stödtjänster för e-tjänster och om förutsättningarna för att använda tjänsterna.
8.1.3. Informationshanteringsnämnden
Informationshanteringsnämnden för den offentliga förvaltningen är en myndighet som grundar sig på sektorsövergripande sakkunnigsamarbete och lyder under Finansministeriet. Informationshanteringsnämnden främjar genomförandet av de förfaranden, kraven för informationshantering och informationssäkerhet som anges i informa-
6 https://www.finlex.fi/sv/laki/ajantasa/2016/20160571 (hämtad 2023-11-27).
tionshanteringslagen. Informationshanteringsnämnden är inte någon allmän myndighet för informationshantering, utan dess uppgifter hänför sig specifikt till informationshanteringslagen. Nämnden övervakar efterlevnaden av lagen vid statens ämbetsverk och inrättningar samt i kommuner och samkommuner genom att bedöma – uppfyllandet av kraven på organisering av informationshanteringen
vid informationshanteringsenheterna, – utarbetandet och upprätthållande av informationshanterings-
modeller, – utförandet av konsekvensbedömningar som gäller förändringar
inom informationshanteringen, – omvandlingen av datamaterial till elektronisk form, – tillgången till informationsmaterial i maskinläsbar form, – användningen av tekniska gränssnitt (t.ex. ska API:er som utgångs-
punkt användas), – användning av behörighetsstyrning, – upprättandet och publiceringen av beskrivningar av handlingars
offentlighet, – tillgodoseendet av kraven på ärendehantering och informations-
hantering i fråga om tjänster.
I Informationshanteringsnämndens rekommendationer om tekniska gränssnitt och elektroniska förbindelser (2021:38) står bl.a. följande om kraven på interoperabilitet. Kraven på interoperabilitet för de tekniska gränssnittens del förutsätter att man beaktar och säkerställer interoperabiliteten för den tekniska överföringen (gränssnittet och överföringsförbindelsen), den semantiska överföringen (ordlistorna och kodlistorna) samt för informationsmodelleringen (metadata och struktur). De ordlistor som används bör basera sig på de lagstadgade begreppen och de ska inte omdefinieras med en annan betydelse eller innebörd. Detta följer av att man enligt grundlagen ska följa lagen i all offentlig verksamhet. För att främja interoperabiliteten rekommenderas att man i beskrivningen använder gemensamma ordlistor, informationsmodeller och kodlistor. Exempel på rekommendationer från nämnden är
– Rekommendation för en informationshanteringsmodell – Rekommendation om metadata för myndigheters handlingar i sam-
band med tjänsteproduktion – Rekommendation om metadata för ärendehantering – Rekommendationer om tekniska gränssnitt och elektroniska för-
bindelser.
Den sistnämnda rekommendationen innehåller alltså preciseringar som gäller elektronisk överföring enligt informationshanteringslagen. Trots att den inte är bindande så redogör den för hur myndigheterna kan genomföra elektronisk överföring på det sätt som krävs enligt informationshanteringslagen. Att följa rekommendationen förenklar således för alla aktörer och säkerställer att kraven i lagen uppfylls. Finansministeriets uppfattning är att rekommendationerna i stor utsträckning följs. Det är en förutsättning för att tillämpa det som anses vara god praxis.
8.1.4. Informationshanteringskartan för den offentliga förvaltningen
Informationshanteringskartan för den offentliga förvaltningen är en beskrivning av hur informationshanteringen är ordnad inom den offentliga förvaltningen.7 Med hjälp av kartan kan myndigheterna planera och utveckla interoperabiliteten hos informationslagren och informationssystemen inom den offentliga förvaltningen. Syftet med kartan är att ge olika aktörer en allmän överblick över vad som avses med gemensamma informationslager hos den offentliga förvaltningen, vilka uppgifter som förs i dem och hur uppgifterna i lagren utnyttjas, hur uppgifter lämnas ut mellan lagren samt under vilka förutsättningar aktörer kan få tillgång till uppgifter för sina behov. Med hjälp av informationshanteringskartan kan alla aktörer bedöma vilka konsekvenser omfattande administrativa eller strukturella ändringar har för de aktörer som ansvarar för informationshanteringen och för aktörernas informationshantering. Kartan innehåller i dagsläget den offentliga förvaltningens gemensamma informationslager – informations-
7 https://www.granskaforvaltningen.fi/informationshanteringskartan-for-den-offentligaforvaltningen/ (hämtad 2023-11-27).
lagrets namn, ändamål, datainnehåll och de myndigheter som ansvarar för förvaltningen av informationslagret samt utlämnande av uppgifter ur den offentliga förvaltningens gemensamma informationslager. Finansministeriet har enligt informationshanteringslagen något som kan liknas vid ett förvaltningsgemensamt ansvar för att kartan bildar ett enhetligt och innehållsmässigt konsekvent informationsmaterial. Respektive ministerium har i uppgift att hålla kartan uppdaterad utifrån sina respektive ansvarsområden.
8.1.5. Interoperabilitetsplattformen
Interoperabilitetsplattformen administreras och förvaltas av Myndigheten för digitalisering och befolkningsdata. Plattformen finns bl.a. för att stödja förvaltningen i API-utveckling och beskrivning av data. Plattformen består av olika verktyg såsom ordlistor, (färdiga) koder, datamodeller och datadefinitioner som behövs i dataflödet och i annan informationshantering. Interoperatibilitetsplattformen är avsedd både för den offentliga förvaltningen och för den privata sektorn. Verktygen i plattformen kan utan avgift användas för terminologiskt arbete med ordlistor, för att administrera koder och för datamodellering. I stället för att varje organisation definierar innehållet i begreppet person och den information som hör samman med begreppet görs beskrivningen i interoperablitetsplattformen. De som producerar datainnehållet ansvarar för att definiera sin information samt för att den är uppdaterad och av god kvalitet. Tekniskt är beskrivningarna för de ordlistor, koder och datamodeller som förs över till interoperabilitetsplattformen s.k. länkad data, det vill säga specificerade webbresurser som har en egen bestående beteckning som kan hänvisas till.
Det system för styrning och den plattform som används i Estland används numera även i Finland, Island, Färöarna och flera utomnordiska länder. Sedan 2018 har Estland och Finland kopplat samman sina X-Road-implementationer för att kunna utbyta data över landsgränserna (se mer om X-Road under avsnittet om Estland).
8.2. Styrning och organisering av interoperabilitet i Norge
Historiskt sett har arbetet med att dela data, informationshantering och tillhörande metadata i Norge initierats av förvaltningsmyndigheten Brønnøysundregistrene8 som tagit fram olika register, exempelvis Enhetsregistret (ER 1995) och Oppgaveregisteret (OR 1997). Myndigheten har även tagit fram Altinn9 och tillhörande metadatalösning (SERES) 2003 i nära samarbete med andra statliga myndigheter, bland andra norska motsvarigheterna till Skatteverket och SCB. Arbetet för att främja datadelning och interoperabilitet – med fokus på användarperspektivet – har därefter fortsatt med bl.a. samverkan och utvecklande av tjänster10, riktlinjer från Kommunal- og distriktsdepartementet, ett ramverk med stöd och vägledning och så småningom även ekosystemet för digital hantering11. Altinn har gett alla invånare och företag en enda digital plattform för kommunikation med alla myndigheter.
Arbetet med datadelning och tjänster utgår till stor del från EU:s förhållningssätt till samarbete och t.ex. European Interoperability Reference Architecture (EIRA) samt EIF.12
Datadelning och vidareutnyttjande (vidarebruk) för myndigheter anges i en s.k. rundskriv till offentleglova (offentlighetslagen) från regeringen Det finns inget krav i lag men offentleglova genomför EU-direktivet från 2003 om vidareutnyttjande av information från den offentliga sektorn.13 En rundskriv innehåller tolkningar av lagar och föreskrifter och uppdateras vartefter reglerna ändras. Det finns inte heller någon lag om infrastruktur men det anges i rundskriv även att Altinn bör användas och att myndigheter bör publicera data i en dataportal (en s.k. felles datakatalog).14
8 Brønnøysundregistrene är en norsk förvaltningsmyndighet med ansvar för en rad nationella kontroll- och registreringsordningar. 9 Altinn är en infrastruktur för datadelning, se även beskrivning av Altinn under rubriken Felles datakatalog och Altinn. https://docs.altinn.studio/nb/community/about/open-source/ (hämtad 2023-05-15). 10 https://www.regjeringen.no/no/dokumenter/en-digital-offentligsektor/id2653874/?ch=1 (hämtad 2023-11-17). 11 https://www.digdir.no/handlingsplanen/felles-okosystem-nasjonal-digital-samhandlingog-tjenesteutvikling/1256 (hämtad 2023-10-26). 12 Se beskrivning i kapitel 4. 13 Europaparlamentets och rådets direktiv 2003/98/EG av den 17 november 2003 om vidareutnyttjande av information från den offentliga sektorn. 14 data.norge.no.
Mot bakgrund av EU:s senare direktiv om öppna data och vidareutnyttjande av information från den offentliga sektorn15, samt en rapport från OECD 2017 att Norge låg långt ner på listan av länder när det gäller digitalisering och datadelning mellan sektorer samt mellan kommuner och staten, tog Kommunal- og moderniseringsdepartementet fram riktlinjer 2017 om vidareutnyttjande av offentliga data som nu förvaltas av Kommunal- og distriktsdepartementet. Syftet med riktlinjerna är att säkerställa samtliga lager av interoperabilitet för bästa möjliga användning av offentlig information.
Av riktlinjerna framgår bl.a. följande. Att tillgängliggöra offentliga data handlar om mer än att publicera data så att det går att hitta den på en webbplats. Data måste göras tillgängliga på ett sätt som gör det möjligt för användarna att inse dess värde. Detta innebär att det måste beskrivas väl både hur data kan användas (lagligt) och hur data tekniskt görs tillgängliga (format och eventuellt applikationsprogrammeringsgränssnitt). Att tillgängliggöra offentliga data är ett viktigt bidrag till innovation, affärsutveckling och transparens i samhället. Att ge tillgång till offentliga data innebär att näringsliv, forskare, civilsamhället och offentlig sektor själva kan använda sig av information som förvaltas av offentlig sektor – för värdeskapande, ökad effektivitet och ökad öppenhet och transparens. I riktlinjerna anges vidare mer konkret vad offentliga organisationer rekommenderas att göra för att datadelning och vidareutnyttjande ska fungera.
Som ett resultat av antagna politiska mål och de erkännanden som följde på den digitala agendan 2016 och den ovan nämnda OECDrapporten 2017 undertecknade Norge Tallinndeklarationen (den 6 oktober 2017) tillsammans med EU och andra Eftaländer. I förklaringen ålades Norge att genomföra EIF genom separata nationella ramar. Den första versionen av detta nationella ramverk, ett nationellt interoperabilitetsramverk (NIF), utarbetades 2018. Ramverket kallades i den första versionen Norwegian Architecture Framework for Interaction men heter numera Framework for digital collaboration.16
15 Se beskrivning av direktivet i kapitel 6. 16 Ramverket för digitalt samarbete: https://www.digdir.no/digital-samhandling/rammeverkdigital-samhandling/2148#teknisk_samhandlingsevne (hämtad 2023-11-27).
8.2.1. Digitaliseringsdirektoratet och ramverket för digitalt samarbete
Den 1 januari 2020 bildades myndigheten Digitaliseringsdirektoratet (Digdir).17 Direktoratet for forvaltning og IKT (Difi) lades ner och förvaltningen av Altinn togs över av Digdir. Myndighetens primära uppdrag är att genomföra regeringens digitaliseringsstrategi18 i nära samarbete med många andra aktörer inom både offentlig och privat sektor. Digdirs arbete riktar sig således till staten, kommuner, företag och medborgare. Digdirs bedömning är att myndigheten måste samordna utvecklingen av digitala tjänster mellan sektorer och på förvaltningsnivå för att främja datadelning, en användarorienterad tjänsteutveckling samt främja samarbete mellan aktörer inom statsförvaltningen, kommunerna och näringslivet.
Digdir förvaltar ett ramverk för digitalt samarbete. Det mest centrala i ramverket är uppdelningen i juridisk, organisatorisk, semantisk och teknisk interoperabilitet. Enligt Digdir är dessa områden absolut nödvändiga att arbeta med för att uppnå interaktion och interoperabilitet mellan organisationer. Ramverket bygger på EIF:s lagermodell och används för samverkan samt för att bidra till att den offentliga sektorn blir mer homogen. Exempelvis finns en samarbetsarkitektur som gör det möjligt för myndigheter och företag att interagera med och återanvända information från andra. Ramverket används också för att ge organisationer stöd vid digital informationsförvaltning och utveckling avseende alla de fyra lagren av interoperabilitet. Den vägledning som finns inom ramverket kan användas av organisationer för att se till att de lösningar för datadelning som skapas är interoperabla med andra.
Digdirs bedömning är att offentliga organisationer i stor utsträckning följer departementets riktlinjer och vägledningen i ramverket men att det är mycket arbete kvar för att skapa interoperabilitet i alla delar t.ex. mellan sektorer.
17 https://www.digdir.no/digdir/digitaliseringsdirektoratets-strategi/2497 Digdir anges som regeringens främsta verktyg för en effektiv och samordnad digitalisering av den offentliga sektorn, och av samhället i stort, samt ska bidra till digitaliseringen i näringslivet. 18 https://www.regjeringen.no/no/dokumenter/en-digital-offentlig-sektor/id2653874/?ch=2 (hämtad 2023-11-28).
8.2.2. Ekosystem för sammanhållna (sömlösa) tjänster
Under de senaste åren har Direktoratet för digitalisering arbetat med att definiera och producera ett s.k. nationellt ekosystem för gemensamt sammanhängande och interagerande tjänster som innefattar digital samverkan och tjänsteutveckling (ekosystemet för nationell digital samverkan och tjänsteutveckling).
Viktiga övergripande aspekter relaterade till hantering och hantering av samarbetsarkitektur som Digdir beskriver i ramverket är: – Politiskt stöd. Politiskt stöd är nödvändigt för att skapa en vilja
till förändring för samverkan mellan nationella aktörer. Ett effektivt samarbete förutsätter att alla intressenter delar visionen om samarbete och är överens om de konkreta resultaten av arbetet. Samverkan inom offentlig sektor förutsätter att arbetet prioriteras tillräckligt politiskt och att tillräckliga resurser frigörs för de olika insatserna. – Tillräcklig expertis. Brist på intern kompetens kan vara ett hinder
för arbetet med samverkanslösningar. Arbetet med att utveckla den egna förmågan inom området bör ingå i respektive sektors plan för kompetensutveckling. Detta gäller alla olika interoperabilitetsområden (rättslig, organisatorisk, semantisk och teknisk interaktion). – Hållbara lösningar. Användningen av interoperabilitetslösningar
måste vara förutsägbar. För den enskilde användaren är det viktigt att lösningarna är tillgängliga på lång sikt.
Ekosystemet skapas genom hur organisationer interagerar – över sektorer, discipliner (sakområden) och nationsgränser. De olika aktörerna behöver bidra till att uppnå målen i regeringens digitaliseringsstrategi. För att uppnå dessa mål bidrar ”ekosystemaktörer” med gemensamma resurser, och arbetar under en uppsättning ramvillkor. Allt detta är tänkt att bidra till att skapa den samarbetskapacitet som krävs för att uppnå målen.
Ekosystemet i sig är både ett sätt att samverka, och en samling verktyg och lösningar som fler kan använda för att utveckla digitala tjänster. Genom att interagera i ekosystemet kan organisationerna göra tjänsterna sammanhängande och bilda det som kallas sömlösa tjänster.
8.2.3. Felles datakatalog och Altinn
Digdir ansvarar för drift och utveckling av den offentliga webbplatsen Felles datakatalog – data.norge.no (FDK-data). Webbplatsen ger en översikt över beskrivningar av datamängder, begrepp, API:er och informationsmodeller. Innehållet tillhandahålls av olika organisationer, både offentliga och privata.
Felles datakatalog – data.norge.no är indelat i två huvuddelar: – en portal där det finns beskrivningar av datamängder, begrepp,
API:er och informationsmodeller från olika verksamheter och – kataloger/mappar/register för att lägga till innehåll, där alla aktörer
kan lägga in beskrivningar av sina data
Felles datakatalog har två möjligheter för de organisationer som lägger in data i katalogerna: – lägga in en egen katalog som kan tillgängliggöras och delas med
ett s.k. skördeslutdatum – registrera sin organisation och få en översikt över organisationens
egna datamängder, koncept, API:er och bearbetningsaktiviteter. De publicerade beskrivningarna visas automatiskt i portalen. Privata företag som vill använda katalogerna kan också använda lösningarna enligt överenskommelse
Den tekniska nivån – med faktisk delning av data – är inriktad på infrastrukturen för delning av data, där det till stor del är API:er som används. När det gäller standarder för datadelning, så används DCAT-AP för att beskriva dataset (datamängder). De använder även CPSV-AP för att beskriva tjänster.19 De använder även tillägg till DCAT för att beskriva informationsmodeller (som realiseras genom API:er).
På den tekniska nivån finns alltså även Altinn (DAN) som är en infrastruktur för att dela data.20 Lösningen är även anpassad för delning av icke-öppna data och personuppgifter. Grunden för behandlingen som krävs för att hämta dessa uppgifter förutsätter att ”konsumenten” har en rättslig grund för att hämta informationen eller får ett samtycke från en behörig representant för aktör om vilken in-
19 The Core Public ServiceVocabulary Application profile. 20 data.altinn.no.
formationen samlas in. DAN erbjuder olika lösningar som gör det möjligt för konsumenten att dokumentera att grunden för behandlingen finns, t.ex. genom Altinns samtyckeslösning eller genom en specifik e-legitimation.
I de fall datakällorna lämnar ut personuppgifter eller andra uppgifter som omfattas av sekretess eller andra begränsningar är Digdir skyldig att ingå personuppgiftsbiträdesavtal med de parter som har ansvar för behandlingen.
För delning av data som inkluderar den privata sektorn har Norge några goda exempel som fungerar väl – samtyckesbaserad låneansökan där bankerna samlar in uppgifter
från skatteregistret och från arbetsgivar- och arbetstagarregistret – försäljning och köp av fastigheter där fastighetsmäklaren får in-
formation från banker och myndigheter – under första kvartalet 2024 kommer tjänsten Settlement after death
att lanseras där information från offentliga och privata sektor kommer att samlas för att underlätta enklare dödsboförvaltning.
8.3. Styrning och organisering av interoperabilitet i Danmark
I Danmark finns en modell för prioritering och finansiering av Digitaliseringssatsningar genom överenskommelser mellan stat, kommun och region. I den modellen har också privat sektor en tydlig roll genom en gemensam digitaliseringsstrategi med medföljande finansiering och styrstruktur.21
8.3.1. Digitaliseringsstyrelsen
Digitaliseringsstyrelsen inrättades 2011 under Finansministeriet och lyder sedan den 15 december 2022 under Digitaliserings- og Ligestillingsministeriet. Digitaliseringsstyrelsen ansvarar för att genomföra den danska regeringens politik och utveckla den digitala offentliga sek-
21 Digitaliseringsstyrelsen, Den fællesoffentlige strategi for 2022–2025, https://digst.dk/strategier/den-faellesoffentlige-digitaliseringsstrategi/ (hämtad 2023-10-30).
torn samt för stora delar av den danska offentliga digitala tjänsteinfrastrukturen.
Digitaliseringsstyrelsen ansvarar även för den kontinuerliga utvecklingen av en samlad digital offentlig sektor och för en mängd olika digitala verktyg och lösningar för att skapa en samlad nationell infrastruktur för digitala tjänster. I ansvaret ligger att underlätta samverkan mellan samtliga offentliga aktörer, inklusive regionala och kommunala förvaltningar. Fokus för de digitala tjänsterna är människors och företags behov. Det nationella Digital Post-systemet har gett alla invånare och företag en enda digital plattform för kommunikation med alla offentliga myndigheter i Danmark.
Den gemensamma offentliga digitala arkitekturen består av lednings- och arkitekturprinciper, riktlinjer och standarder.
Myndigheten arbetar med publika it-projekt med användning av gemensamma komponenter och design i digitala lösningar för att skapa mer datadelning och sammanhållen service. En gemensam offentlig webbplats om gemensam offentlig digital arkitektur och ett verktyg som heter FORM-online som ger enkel tillgång till en gemensam offentlig uppgiftskatalog.
Myndigheten bygger och delar infrastrukturkomponenter för att säkerställa att samma typ av komponenter inte behöver byggas många gånger. I stället bjuds den offentliga sektorn (och i möjligaste mån även den privata sektorn) in att använda komponenter och närliggande tjänster.
8.3.2. Datavejviser
Datavejviser.dk är en katalog över tillgängliga data från den offentliga sektorn och som tillhandahålls av Digitaliseringsstyrelsen. Datavejviser utökas löpande över de kommande åren i ett samarbete mellan Digitaliseringsstyrelsen och Erhvervsstyrelsen.22
Syftet med Datavejviser är att göra det enklare för verksamheter, forskare, myndigheter och civilsamfundet att hitta tillgängliga offentliga data.
22 Erhvervsstyrelsen har ett brett ansvarsområde som sammantaget ska göra den enklare och mer attraktivt att bedriva verksamhet i Danmark.
Datavejviser ger användaren en överblick och leder användaren vidare till de plattformar där data är tillgängliga, t.ex. från Danmarks Miljöportal, Statistikbanken eller Datafordeleren.
Datavejviseren tillhandahåller datasetbeskrivningar i den allmänt tillgängliga och europeiska interoperabla standarden DCAT-AP-DK.
8.3.3. Styrelsen for Dataforsyning og Infrastruktur
Styrelsen for Dataforsyning og Infrastruktur är ett statligt bolag, som etablerades den 1 januari 2016. Styrelsen förser den offentliga och privata sektorn med data av hög kvalitet och skapar en digital infrastruktur, som bidrar till att göra det möjligt att fatta viktiga samhälleliga beslut på bästa möjliga grund. Styrelsen sorterar under Klima-, Energi- og Forsyningsministeriet och består av 16 kontor inom varsitt specialområde.
Datafordeler.dk
Styrelsen tillhandahåller Datafordeleren. Med grunddataprogrammet, som övergick i drift 2019, har grunddata gjorts tillgänglig för myndigheter, privata verksamheter och medborgare. Grunddata kan som utgångspunkt användas fritt av alla och hämtas säkert via Datafordeleren.
Via datafordeler.dk går det att hitta metadata och annan relevant information och beskrivningar om den grunddata som tillgängliggjorts. Syftet är att främja och utveckla internationella och nationella öppna standarder, specifikationer och guider. Med fler och fler organisationer som arbetar i enlighet med dessa dokument kan högre nivåer av interoperabilitet uppnås. Detta gäller även den privata sektorn, som också kan ta del av de öppna standarderna, specifikationerna och metoderna. Dessutom hjälper de gemensamma riktlinjerna och öppna standarderna den offentliga sektorn att minimera leverantörsinlåsning på grund av proprietära lösningar.
Common Digtal Architectur: en ramarkitektur, riktlinjer för arkitekturdokumentation, riktlinjer för projektgranskningar, fyra temaspecifika referensarkitekturer och ett större antal specifikationer, regler, modell- och instruktionstexter.
8.4. Styrning och organisering av interoperabilitet i Frankrike
Styrningen av e-förvaltning i Frankrike finns under premiärministern och ministern för offentlig förvaltnings transformation och statsförvaltning23. DINUM är ett direktorat som sorterar under detta departement. Inom direktoratets ansvarsområden ligger att leda, stötta och koordinera utvecklingen den offentliga förvaltningens informations- och kommunikationssystem, i syfte att förbättra kvaliteten, effektiviteten och tillförlitligheten av dessa. DINUM utvecklar och tillhandahåller också flera gemensamma tjänster, såsom det gemensamma nätverket för offentligt datautbyte (Réseau interministériel de l’État, RIE), den digitala ID-federationslösningen FranceConnect och gemensamma API-kataloger, se mer nedan.
8.4.1. Rättslig reglering om interoperabilitet
I Frankrike finns sedan 2005 en lag som reglerar den offentliga förvaltningens digitalisering och informationsutbyte.24 Lagen reglerar bl.a. säkerhetskrav och interoperabilitetskrav för den offentliga förvaltningens informationssystem. I lagen finns reglering om ett allmän interoperabilitetsramverk (référentiel général d’interopérabilité) som fastställer regler för hur interoperabilitet mellan informationssystem ska uppnås (artikel 11). I lagen regleras också hur interoperabilitetsramverket ändras och godkänns. Den offentliga förvaltningen hade, avseende de informationssystem som redan användes när lagen trädde i kraft, tre år på sig att anpassa sig efter interoperabilitetsramverket (artikel 14).
Frankrikes interoperabilitetsramverk, som avses i lagen, godkändes genom ett dekret 2007.25 Den senaste versionen av interoperabilitetsramverket godkändes 2016.26
23 Vår översättning av Minister for Public Sector Transformation and the Civil Service. 24 Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. 25 Décret n° 2007-284 du 2 mars 2007 fixant les modalités d’élaboration, d’approbation, de modification et de publication du référentiel général d'interopérabilité. 26 Arrêté du 20 avril 2016 portant approbation du référentiel général d’interopérabilité.
8.4.2. Initativ för enklare datadelning i Frankrike
I Frankrike har det vidtagits en rad olika initiativ för att förenkla datautbyte mellan myndigheter och för att förbättra e-tjänster för enskilda. Vi presenterar nedan några av dessa.
- DINUM tillhandahåller en API-katalog som innehåller adresser till API:er. I katalogen är det möjligt att söka efter olika datateman och vilka myndigheter som tillhandahåller API:et. Det är möjligt att hitta både sådana API:er som är öppna och sådana som kräver viss behörighet för att använda.27
- Datapass är en auktorisationstjänst som tillhandahålls av DINUM och som används för standardiserad auktorisering. Aktörer kan ansluta sig till tjänsten som sedan används för att hämta sådan data hos offentliga aktörer som är begränsad.
- Gemensamt nätverk som möjliggör för datautbyte mellan myndigheter, som syftar till att underlätta och säkra datautbyten, som också tillhandahålls av DINUM.28
8.5. Styrning och organisering av interoperabilitet i Estland
Estland har länge legat i framkant när det gäller digitalisering av samhället i stort. Grunden till digitaliseringen är ett datautbyteslager som hanteras centralt och standardiserat mellan informationssystem med öppen källkod – ett system för interoperabilitet (X-Road). X-road kan även beskrivas som en struktur för styrning och en teknisk plattform och kallas ibland för ”e-Estlands ryggrad” genom att offentliga och privata organisationer kopplas ihop och fungerar tillsammans.29
Förutom att skapa interoperabilitet över Internet säkerställer X-Road konfidentialitet och integritet. På ett standardiserat sätt kopplar lösningen ihop olika informationssystem. Utgående data signeras och krypteras, medan ingående data autentiseras och loggas. Varje organisation skapar och förvaltar sina egna data. Offentliga och privata
27 https://api.gouv.fr/ (hämtad 2023-11-17). 28 Europeiska kommissionen, Digital Public Administration Factsheet 2023, Frankrike. 29 Se t.ex. Datautbytesskikt X-Road, Myndigheten för informationssystem, Estland, februari 2016, Introduktion till X-Road (del 1), Myndigheten för informationssystem, Estland, den 8 augusti 2016.
organisationer kan också hämta data för att undvika att data dupliceras. All data förblir oförändrad och krypterad medan den är i rörelse.
X-Road kan överföra stora dataset och göra sökningar i flera informationssystem samtidigt. Systemet är skalbart, så att det går att utöka skalan på mjukvaran i takt med att nya tjänster ansluts.30
Ett exempel på användning är att när ett barn föds i Estland skickas data om barnet från sjukhuset till befolkningsregistret. Därifrån skickas data automatiskt till sjukvårdssystemet för att barnet ska få sjukvårdsförsäkring och en husläkare. Några år senare vet skolsystemet när barnet ska börja i skolan.
X-Road används numera även i Finland, Island, Färöarna och flera utomnordiska länder. Det går också att koppla samman X-Roadimplementationer mellan länder. Sedan 2018 har Estland och Finland kopplat samman sina X-Road-implementationer för att kunna utbyta data över landsgränserna.31
Finland och Estland har även tillsammans grundat Nordiska institutet för interoperabilitetslösningar (NIIS) genom ett samarbetsavtal mellan ländernas regeringar. Institutets uppdrag är att utveckla e-förvaltningslösningar, som utgår från X-Road. NIIS ansvarar för utvecklingen av X-Road-kärnan och ger stöd till sina medlemmar. NIIS är både en nätverks- och samarbetsplattform och ansvarar för it-utveckling i medlemmarnas gemensamma intresse. Institutet fokuserar på praktiskt samarbete, erfarenhetsutbyte och främjande av innovation. Institutets verksamhetsmodell kan sägas vara något helt unikt i världen. Sedan 2021 är även Island medlem i NIIS.32 Vår bedömning är att förutsättningarna för att införa X-road inte handlade så mycket om teknik utan mer om ledning och styrning, lagstiftning, finansiering och utbildning.
30 Introduktion till X-Road (del 1), Myndigheten för informationssystem, Estland, den 8 augusti 2016, Källkoder som släppts till centrala komponenter i X-Road som används av Estland och Finland”, Befolkningsregistercentralen Finland, den 3 oktober 2016. 31 ”Finlands och Estlands informationslager anslöt sig till varandra den 7 februari”. Befolkningsregistercentralen Finland och Petteri Kivimäki MyData 2018 Talarens profiler, Helsingfors, Finland, Nd. 32 Nordiska institutet för interoperabilitetslösningar (NIIS), www.niis.org.
8.6. Internationella jämförelser
Digital förvaltning
I OECD:s senaste mätning över digital förvaltning placerar sig Sverige under OECD:s genomsnitt.33 Mätningen avser de grundläggande förmågorna i digital förvaltning: digitalt som utgångspunkt, datadriven offentlig förvaltning, förvaltning som plattform, öppenhet som utgångspunkt, användardrivenhet och proaktivitet.34 Särskilt i fråga om öppenhet har Sverige bottenresultat i mätningen och OECD konstaterar att det finns stort utrymme för förbättring. Även i fråga om proaktivitet har Sverige enligt OECD stor förbättringspotential. I fråga om datadriven offentlig förvaltning konstaterar OECD också att Sverige behöver skapa ett holistiskt, strategiskt angreppssätt i fråga om datadelning, särskilt i fråga om bl.a. infrastruktur för datadelning och standarder som möjliggör för offentliga aktörer att använda data på effektivt och strategiskt vis.
I EU-kommissionens årliga undersökning eGovernment Benchmark mäts olika indikatorer för e-förvaltning i europeiska länder utifrån en rad olika indikatorer: användarvänlighet35, transparens, nyckelförmågor36 och gränsöverskridande tjänster. Länderna mäts bl.a. utifrån onlinetillgänglighet, transparens i utformning av tjänster och hantering av personuppgifter, och användning av eID och digital post. Sverige hamnar i jämförelse med andra länder på plats 16, men har en högre poäng än genomsnittslandet.37 Sverige ligger dock sämst till av samtliga nordiska länder enligt undersökningen.
Myndigheten för digital förvaltning, Digg, har med anledning av kommissionens mätning konstaterat att ett skäl till att Sverige halkar efter i fråga om digitalisering av den offentliga förvaltningen är att den svenska förvaltningen var tidig med att digitalisera sina tjänster, men att digitaliseringen skedde separat hos respektive aktör. Förväntningarna på digitaliseringen har under åren skiftat och i dag är utmaningen enligt Digg att få olika aktörers tjänster att fungera sömlöst tillsammans.38
33 OECD, Digital government index, 2020. 34 Vår översättning av begreppen digital by design, data driven public sector, government as a platform, open by default, user-driven, proativeness. 35 Vår översättning av ”user centricity”. 36 Vår översättning av ”key enablers”. 37 Europeiska kommissionen, eGovernment Benchmark 2023 Factsheets. Framtagen av Capgemini, Sogeti, IDC och Politecnico di Milano på uppdrag av kommissionen. 38 Myndigheten för digital förvaltning, Delad bild av Sverige i nya internationella mätningar, 6 november 2023, https://www.digg.se/om-oss/nyheter/nyheter/2023-11-06-delad-bild-avsverige-i-nya-internationella-matningar (hämtad 2023-11-17).
Tillgängliggörande av data för vidareutnyttjande
Utredningen har tagit del av olika studier och rapporter som har undersökt bl.a. tillgängliggörandet av öppna data och interoperabilitet i olika länder, t.ex. OECD:s index för öppna data, användbara och vidareutnyttjande (OURdata), 2019.39 Det är dock svårt att dra några säkra slutsatser om hur väl just interoperabiliteten fungerar i de olika länderna utifrån dessa dokument. Vi kan dock konstatera att Norge, Danmark och Finland placerar sig högre än Sverige. Sammantaget i OURdata 2019 placerar sig Norge högst (15) av de nordiska länderna och ligger också högre än OECD-genomsnittet. Därefter kommer Danmark (27), Finland (28) och Sverige (31). Norge placerar sig framför allt mycket högt på tillgängliggörande, tillgänglighet, åtkomst (availability and accessibility) men lägre på statligt stöd för återanvändning av data. OURdata 2017 och 2019 var också en av anledningarna till att NIF bildades i Norge (2018) och att departementet utfärdade riktlinjer med stöd och rekommendationer (2020).
8.7. Slutsatser
Sammantaget kan vi konstatera att det varierar hur de nordiska länderna har hanterat anpassningen till bl.a. EIF och hur arbetet med styrning av interoperabilitet vid datadelning i övrigt har organiserats och bedrivits – både när det gäller bindande styrning och sådan som inte är bindande. I Finland har t.ex. lagstiftning och en organisationsstruktur med en tydlig ansvarsfördelning mellan olika centrala aktörer (departement och myndigheter) varit framgångsrikt. Danmark och Norge har valt att utveckla en digital infrastruktur utifrån användarnas behov med nationella tjänster, plattformar, samverkansstrukturer, samt har huvudsakligen arbetat med icke bindande styrning i form av t.ex. riktlinjer och rekommendationer, stöd (vägledning), avtal och överenskommelser. Gemensamt för alla länderna är den politiska viljan och den starka kopplingen till finansiering. Finland har utifrån EU:s arbete med bl.a. EIF arbetat aktivt med att skapa förutsättningar för interoperabilitet vid datadelning i drygt tio år. Även
39 https://digital-strategy.ec.europa.eu/en/library/egovernment-benchmark-2022, https://publicadministration.un.org/en/Research/UN-e-Government-Surveys, https://www.oecd.org/gov/digital-government/policy-paper-ourdata-index-2019.htm (hämtade 2023-05-03).
Frankrike har lagreglerat interoperabilitet för den offentliga förvaltningen utifrån ett interoperabilitetsramverk.
Informationshanteringslagen i Finland, som är en implementering av EIF, skapar förutsättningar för styrning av hela den offentliga förvaltningen. Vid förändringarna av lagstiftningen 2020 tydliggjordes styrningsfunktionerna och kraven på organisationer i offentlig förvaltning. Informationshanteringsnämndens mandat och ansvar utökades genom att nämnden blev en egen myndighet. Enligt utredningens samtal med Finansministeriet ledde dessa förändringar till att arbetet med interoperabilitet blev tydligare och bättre. Nuvarande beslutsprocess är även mer transparent än den tidigare. Informationshanteringslagen – med dess olika krav på t.ex. användande av interoperabilitetslösningar tillsammans med konsekvensbedömningarna som är knutna till finansiering – och Informationshanteringsnämnden är de viktigaste delarna för att skapa interoperabilitet vid datadelning i Finland enligt Finansministeriets uppfattning. Informationshanteringsnämnden får utvärdera hur myndigheter tillämpar informationshanteringslagen, vilket gör att förbättringar kan göras kontinuerligt.
Genom att Finansministeriet har det övergripande ansvaret för interoperabiliteten, och andra departement har ansvar för sina respektive områden, har det skapats en tydlighet i Finland. Finansministeriet får även fatta vissa bindande beslut som riktar sig till statliga myndigheter, t.ex. avseende användning av vissa beskrivningar av information (metadata), när myndigheter erbjuder tjänster eller utbyter information. Den möjligheten har ministeriet dock ännu inte använt, men kan enligt uppgift komma att göra det framöver. Eftersom myndigheterna inte alltid följer nämndens rekommendationer är bedömningen att det finns ett behov av en starkare styrning.
Utredningens bedömning är att de viktigaste delarna i Finlands system för att skapa interoperabilitet är den tydliga nationella styrningen i form av lagstiftning med krav på offentliga aktörer att använda gemensamma interoperabilitetslösningar såsom nationella tekniska gränssnitt (API:er) och informationsmodellen (Tietomallit) samt krav på att göra konsekvensbedömningar med en tydlig koppling till finansiering. Av stor betydelse är även inrättandet av Informationshanteringsnämnden. Vidare finns en organisation med en tydlig ansvarsfördelning, t.ex. mellan ministerierna och Informationshanteringsnämnden.
Lagstiftningen i Finland togs fram tidigt mot bakgrund av EU:s ramverk. Systemet för att skapa interoperabilitet har därmed funnits under många år och även förbättrats, bl.a. genom att Informationshanteringsnämnden gjorts till en fristående myndighet. Finland har hittills haft fokus på styrning på nationell (förvaltningsgemensam) nivå, och centralt har inga särskilda lösningar för olika sektorer eller områden har skapats. Vidare utgör informationshanteringskartan, interoperabilitetsplattformen och informationsmodellen viktiga delar i det som utredningen uppfattar som ett tydligt och genomtänkt system för att skapa interoperabilitet för samtliga lager av interoperabilitet. En viktig hörnsten i arkitekturen är Informationshanteringskartan. Informationshanteringskartan och Interoperabilitetsplattformen kan jämföras med Dataportalen i Sverige. Plattformen i Finland innehåller dock mer stöd och kartan innehåller mer information än Dataportalen, t.ex. avseende ändamål och datainnehåll. Tillgången till färdiga koder och datamodeller vid systemutveckling är kostnadseffektivt och förbättrar kompatibiliteten mellan de olika aktörernas system. Att alla aktörer använder enhetliga begrepp underlättar tjänsteplaneringen och förståelsen. Genom att ordlistor, koder och datamodeller som tidigare skapats i plattformen används i så hög grad som möjligt, behöver inte varje organisation själv definiera innehållet i begreppen och den information som är kopplad till detta. Utredningens bedömning är att användningen av verktygen med enhetliga begrepp underlättar begripligheten, förbättrar den semantiska interoperabiliteten och är kostnadseffektiv.
Mot bakgrund av bl.a. samtal med departement och myndigheter i Finland så är utredningens bedömning att det även tidigt funnits och fortfarande finns en tydlig politisk viljeinriktning för att skapa interoperabilitet. Den nationella finansieringen av implementering och förvaltning har också varit av stor betydelse. Sammantaget har det lett till att myndigheter, invånare, företag och leverantörer har tillit till systemet och lösningarna. Exakt hur stor effekt den nya informationshanteringslagen har fått har dock inte utvärderats helt än i Finland men Finansministeriets bedömning är att interoperabiliteten är god, även om man anser att det finns vissa förbättringsområden.
Norge och Danmark har sedan länge centrala digitaliseringsfunktioner på plats. Utredningens bedömning är att viktiga faktorer för att skapa interoperabilitet i Norge har varit att etablera en nationell digital infrastruktur, ett ramverk med stöd och arkitekturprinciper
och att en myndighet gjorts ansvarig för arbetet med digitalisering och interoperabilitet. Den norska regeringens rundskrivelse och riktlinjer är också centrala. I Sverige har arbetet med interoperabilitet byggt på frivillighet och i den mån det har funnits nationella lösningar har offentlig förvaltning kunnat välja att avstå från dem. Dataportalen är ett exempel på det, där uppladdningen av öppna data från statliga myndigheter inte alltid görs.
En viktig faktor i Danmark är enligt utredningens bedömning att det skapats en nationell digital infrastruktur och att Digitaliseringsstyrelsen har varit placerad under Finansministeriet (i dag under det nybildade Digitaliserings- og Ligestillingsministeriet) vilket gör att frågorna får ett större ekonomiskt fokus. Exempelvis ges stöd till ett särskilt it-råd som gör riskbedömningar av stora digitaliseringsprojekt och bereder underlag för nya initiativ som en del av Finansdepartementets budgetprocess. Målsättningen är att investeringarna ska betala sig själva över tid. Kommunernas insatser för interoperabilitet knyts i viss mån även till det danska systemet för statlig finansiering av kommunerna, dvs. att det finns ett tydligt ekonomiskt inslag i kommunernas incitament för att utveckla interoperabiliteten.
Ytterligare en slutsats vi kan dra är att detaljerade bestämmelser och detaljerad vägledning ges av myndigheter eller nämnder i de nordiska länderna. Detaljerna fastställs inte i lag. Vi kan vidare konstatera att de detaljerade bestämmelserna eller rekommendationerna i de nordiska länderna har mycket gemensamt.
Genom X-Road kan data utbytas mellan offentliga och privata organisationer på ett standardiserat och säkert sätt. När Estland skapade den första versionen av X-Road hade digitaliseringen i andra i europeiska länder mycket längre än i Estland. Estland hade på så sätt andra förutsättningar att bygga nytt och rätt från början, jämfört med länder som utvecklat sina system tidigare och successivt. Därigenom har Estland vid utvecklingen av X-Road kunnat skapa ett väl genomtänkt och interoperabelt system med ny teknik. Utredningen har inte sett det möjligt att i Sverige göra på samma sätt i dag då det skulle innebära ett alltför stort omtag med stora kostnader för offentlig förvaltning.
9. Utredningens förslag
9.1. Det krävs mer och tydligare styrning av interoperabilitet
Det finns hinder för datadelning utifrån samtliga lager av interoperabilitet, dvs. utifrån de rättsliga, organisatoriska, tekniska och semantiska lagren, vilket vi har redogjort för i kapitel 4. Data utbyts ofta manuellt genom överföring av filer, vilket är tidsödande, i stället för att utbytas automatiserat. Den offentliga förvaltningen behöver ofta utveckla, utforma eller upphandla egna lösningar eller samverka på olika sätt när data ska delas. För att etablera nya former av datadelning inom offentlig förvaltning krävs inledningsvis ett kostsamt och tidsödande arbete. Vid akuta behov av datadelning finns det sällan befintliga eller vedertagna sätt att dela data på som kan användas. Detta är onödigt dyrt och ineffektivt och kan utgöra ett hinder för Sverige i hanteringen av kommande kriser och komplexa samhällsproblem. Brister i interoperabilitet innebär också hinder för den offentliga förvaltningen att utföra sin kärnverksamhet på ett kostnadseffektivt sätt.
Det tydligaste skälet till de brister som vi har identifierat är avsaknaden av styrning av interoperabilitet, vilket resulterat i att varje myndighet eller aktör själv bestämmer över sin egen tekniska utveckling med resultatet att utvecklingen inte sker på ett likformigt eller standardiserat vis. Den direkta styrning som finns i Sverige i dagsläget är begränsad i sin omfattning och sker primärt sektorsvis, inte gemensamt för hela offentlig förvaltning. Vad gäller statliga myndigheter har regeringen möjlighet att styra mot åtgärder som gagnar interoperabiliteten, men har bara utnyttjat dessa mycket försiktigt. När det kommer till kommuner och regioner har regeringen i dag inga möjligheter att styra mot åtgärder som uttryckligen och direkt gynnar interoperabiliteten. Behovet av en sammanhållen och likartad styrning har vid vår utredning och analys visat sig vara särskilt stort
inom och mellan kommuner och regioner. Bristande styrning och samordning på alla administrativa nivåer och mellan sektorer orsakar bristande interoperabilitet inom EU, enligt konsekvensanalysen till EU:s interoperabilitetsförordning.1 Vi kan även konstatera att Sverige i förhållande till andra europeiska länder, inbegripet de nordiska grannländerna, ligger efter i utvecklingen av styrningen av datadelning och interoperabilitet, vilket vi har redogjort för i kapitel 8.
Vår slutsats är därför att det krävs mer och tydligare styrning av interoperabilitet vid datadelning. Sådan styrning behöver möjliggöra för offentlig förvaltning att dela data. Styrningen måste enligt vår uppfattning avse gemensamma krav som ska efterlevas vid datadelning och som därmed standardiserar hur den offentliga förvaltningen delar data och skapar interoperabitet vid datadelning.
Syftet med att datadelningen inom och med den offentliga förvaltningen ska bli interoperabel är dock inte själva interoperabiliteten i sig. En förbättrad interoperabilitet vid datadelning är i stället en absolut nödvändig förutsättning för att kunna dela data på ett effektivt sätt. Som vi har beskrivit i kapitel 2 så omfattar våra förslag inte några skyldigheter för den offentliga förvaltningen att dela data eller försörja samhället med information. Däremot är styrning av interoperabilitet en förutsättning för att en effektivare datadelning ska uppnås och även för att delning och användning av data ska öka över tid. Den tekniska utvecklingen kommer visserligen att leda till att den offentliga förvaltningen fortsatt digitaliserar sina verksamheter, men i avsaknad av styrning kommer den alltför låga nivån av interoperabilitet att bestå eller bli ännu sämre.
Vi har i kapitel 4 angett vad vi ser som några av de viktigaste syftena med interoperabel datadelning. Det rör sig om offentlig förvaltnings förmåga att möta kommande kriser, att hantera komplexa samhällsutmaningar som kräver sektorsöverskridande datadelning, att effektivisera och förenkla medborgarnas möte med den offentliga förvaltningen, att effektivisera kärnverksamheterna inom offentlig förvaltning, att möjliggöra en kunskapsbaserad förvaltning, att möjliggöra ett ökat vidareutnyttjande av data från den offentliga förvaltningen, och att uppnå regeringens uppsatta mål för digitaliseringen. Genom mer, tydligare och sammanhållen styrning av den offentliga förvaltningens datadelning i syfte att den ska bli interoperabel så kan dessa mål realiseras. Interoperabilitet kan också bidra till tillit mellan myndigheter
1 Europeiska kommissionen, Impact Assessment Report (SWD[2022] 721 final).
och andra aktörer i offentlig förvaltning, bl.a. genom ett koordinerat arbetssätt och koordinerade skyddsnivåer. Interoperabilitet vid datadelning kan därmed även leda till en höjd informationssäkerhet och ett bättre skydd av Sveriges säkerhet.
9.2. En reform för att uppnå interoperabilitet vid datadelning
Vi föreslår en reform som syftar till att den datadelning som sker inom och med offentlig förvaltning ska bli interoperabel. I detta avsnitt presenterar vi övergripande våra förslag. I resterande del av detta kapitel presenterar vi varje förslag med tillhörande motiveringar.
Den lag som vi föreslår reglerar en skyldighet för den offentliga förvaltningen att använda nationella interoperabilitetslösningar. Lösningarna kan avse exempelvis standarder, specifikationer och andra liknande lösningar eller krav som ska tillämpas vid datadelning. De interoperabilitetslösningar som den offentliga förvaltningen ska tilllämpa ska meddelas genom myndighetsföreskrifter.
En myndighet, Myndigheten för digital förvaltning (Digg), ska ansvara för att ta fram lösningarna och får föreskriva om dem. Digg kan också välja att rekommendera nationella interoperabilitetslösningar, som inte blir tvingande att använda.
De nationella interoperabilitetslösningarna ska tas fram i samarbete mellan myndigheter och andra aktörer, exempelvis privata aktörer. Att de tas fram i samarbete möjliggör att de lösningar som tas fram möter de behov som finns, och att de utformas på ändamålsenliga sätt och blir möjliga att använda.
Användningen av de nationella interoperabilitetslösningarna ska följas upp av Digg, i syfte bl.a. att säkerställa att de krav som ställs skapar avsedda nyttor.
Digg ska vara behörig myndighet för EU:s kommande interoperabilitetsförordning. På så vis kan Digg ta till vara det europeiska arbetet med interoperabilitet och säkerställa att det svenska arbetet med interoperabilitet utvecklas i linje med det europeiska.
9.3. Politiskt mål: Den offentliga förvaltningen ska vara fullt interoperabel
Utredningens bedömning: Det bör vara ett politiskt mål att offent-
lig förvaltnings mest angelägna datadelning ska vara fullt interoperabel senast år 2030.
Skälen för utredningens bedömning
Det har under utredningens arbete framkommit att de politiska ambitionerna uppfattas som otydliga när det kommer till interoperabilitet. Hur väl Sverige ska lyckas uppnå det övergripande målet att vara bäst i världen på att använda digitaliseringens möjligheter, målen för digitaliseringspolitiken och det förvaltningspolitiska målet är avhängigt av att den offentliga förvaltningen blir interoperabel. Inget av dessa mål nämner emellertid interoperabilitet. De styrningsåtgärder som hittills har vidtagits av regeringen, såsom regeringsuppdragen som resulterat i Ena-samarbetet, har inte heller utgått från en uttalad ambition att förvaltningen ska bli interoperabel.
Det finns initiativ som syftar till att underlätta datadelning, exempelvis för hälso- och sjukvården. Dessa initiativ syftar primärt till att underlätta datadelning inom det aktuella området eller den aktuella sektorn. Men det framstår som otydligt vilka de politiska ambitionerna är för förvaltningen som helhet när det kommer till interoperabilitet. I andra länder, såsom Finland, Danmark, Norge och Frankrike är ambitionerna tydligare (se kapitel 8).
Interoperabilitet vid datadelning är en viktig förutsättning för att lyckas med samhällets digitalisering. En interoperabel offentlig förvaltning kan bättre möta medborgarnas behov. Det behövs därför ett tydligt politiskt mål för digitaliseringspolitiken genom beslut från riksdagen om att den offentliga förvaltningen ska vara interoperabel. Vi bedömer att myndigheterna inte uppfattar att de har krav på sig att verka för interoperabilitet, särskilt inte förvaltningsgemensam interoperabilitet. Om nyttorna med datadelning och interoperabilitet ska kunna realiseras fullt ut behöver även politiken arbeta utifrån ett mål att förvaltningen ska vara interoperabel. Vår bedömning är att regeringen bör föreslå att riksdagen beslutar om ett nytt mål för digitaliseringspolitiken.
Ett mål bör vara mätbart. Vi konstaterar i kapitel 4 att det är svårt att mäta interoperabilitet. Ett politiskt mål att förvaltningen ska vara interoperabel kan alltså vara förenat med en risk att det blir svårt att mäta. Ett konkret sätt att mäta interoperabilitet är dock att mäta i vilken omfattning den offentliga förvaltningen använder nationella interoperabilitetslösningar och andra interoperabilitetslösningar för olika sektorer.
Eftersom det hittills har saknats interoperabilitetsstyrning för hela den offentliga förvaltningen kommer det att ta tid för förvaltningen att bli fullt interoperabel. Det är dock viktigt att ett uttalat mål kommer på plats. Tidsgränsen bör dessutom stimulera att arbetet kommer igång. Vi föreslår därför att målet bör avgränsas till sådan datadelning som är mest angelägen. Det kan avse exempelvis sådan data som behöver kunna delas för att underlätta hantering av angelägna samhällsutmaningar eller för att utveckla viktiga tjänster som tillhandahålls till medborgare.
9.4. En ny lag för att styra den offentliga förvaltningens interoperabilitet
Utredningens förslag: Styrning för att uppnå interoperabilitet vid
datadelning ska samlas i en ny lag.
Skälen för utredningens förslag
Vi har kunnat konstatera att det saknas nationell styrning som gäller för hela offentlig förvaltning i syfte att data som delas ska vara interoperabel eller att den ska delas på ett interoperabelt sätt. Styrningen av den offentliga förvaltningen när den delar data är i dag ytterst begränsad och sker i många fall genom rekommendationer som är frivilliga att följa eller genom tidsbegränsade regeringsuppdrag (se kapitel 6). Dessa iakttagelser har även gjorts av Statskontoret som i en rapport år 2018 konstaterade att aktörer inom förvaltningen upplever svaga incitament för att dela öppna data och att myndigheterna upplever att den egna vinsten av detta arbete är liten.2 Dagens nivå av förvaltningsgemensam interoperabilitet är inte tillräcklig för att
2 Statskontoret, Hinder för att använda myndigheternas öppna data (2018:6), s. 44–45.
realisera datadelningens nyttor eller för att uppnå EU:s eller Sveriges mål för offentlig förvaltnings digitalisering.3 Förutsättningarna för att styra förvaltningen mot interoperabilitet vid datadelning behöver därför bli mycket bättre. Det behövs enligt vår bedömning möjligheter att styra den offentliga förvaltningen genom tvingande bestämmelser i syfte att skapa förvaltningsgemensam interoperabilitet så att datadelningen blir mer effektiv och nyttorna med den kan uppnås. Det kommer även att behövas mer styrning för att efterleva EU-lagstiftning.
En ny lag behövs
Utredningens uppdrag omfattar datadelning inom den offentliga förvaltningen och från förvaltningen till externa aktörer. Enligt definitionen i den lag som vi föreslår ingår statliga myndigheter, kommuner, kommunalförbund, regioner och kommunala bolag i den offentliga förvaltningen. Enligt regeringsformen ska föreskrifter som avser kommunernas befogenheter och deras åligganden meddelas genom lag och det krävs därmed bemyndigande i lag för att regeringen ska få besluta om åligganden för kommunerna och regionerna (se kapitel 5). De bestämmelser om styrning av interoperabilitet som vi ser som nödvändiga behöver således anges i lag för att kunna omfatta hela den offentliga förvaltningen.
Utredningen har övervägt att placera de bestämmelser vi anser är nödvändiga i redan existerande författningar. Lagen (2022:818) om den offentliga sektorns tillgängliggörande av data (öppna datalagen) syftar till att främja den offentliga sektorns tillgängliggörande av data för vidareutnyttjande, särskilt i form av öppna data.4 Lagen genomför EU:s s.k. öppna data-direktiv.5 Lagen ska tillämpas av bl.a. myndigheter6 och bestämmelserna aktualiseras när en myndighet ska tillgängliggöra data för vidareutnyttjande. Lagen omfattar emellertid inte de uppgiftsutbyten som förekommer mellan myndigheter.7 Det innebär att lagen inte omfattar stora delar av den datadelning som vi anser
3 Se bl.a. EU:s digitala mål som rör den offentliga förvaltningen, artikel 4 i Europaparlamentets och rådets beslut (EU) 2022/2481 av den 14 december 2022 om inrättande av policyprogrammet för det digitala decenniet 2030. 4 1 kap. 1 § öppna datalagen. 5 Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (omarbetning). 6 1 kap. 5 § första stycket första punkten öppna datalagen. 7 1 kap. 8 § andra stycket första punkten öppna datalagen, se också prop. 2021/22:225 s. 30.
behöver regleras. Lagen är därför inte lämplig att använda för att införa de nya bestämmelser som det är frågan om här.
Även kravställning vid upphandling är en viktig komponent i att öka interoperabiliteten eftersom många system som hanterar och delar data upphandlas. Interoperabilitet bör självklart beaktas vid upphandling. Emellertid sker också egenutveckling av system och tjänster inom den offentliga förvaltningen. Därför skulle det inte räcka att införa interoperabilitetskrav i det regelverk som styr upphandlingar.
Utredningen har även övervägt om bestämmelser om interoperabilitet skulle kunna placeras i förvaltningslagen (2017:900). Interoperabilitet kommer att vara så central för den offentliga förvaltningens fortsatta tekniska utveckling att det går att argumentera för att krav på interoperabilitet ska ses som en av grunderna för god förvaltning. Bestämmelser om interoperabilitet skulle i sådana fall kunna införas i förvaltningslagen. De bestämmelser som vi anser nödvändiga är dock delvis av teknisk art och kräver anslutande förordning och myndighetsföreskrifter för att kunna tillämpas fullt ut. Sådana bestämmelser framstår därmed som främmande i förhållande till förvaltningslagens övriga bestämmelser. Förvaltningslagen styr inte heller alla delar av kommuner och regioner m.fl. Vi bedömer därför att det inte är lämpligt att införa de nya bestämmelserna i förvaltningslagen.
Sammantaget gör utredningen bedömningen att en ny lag ska införas. Det namn vi föreslår är lagen om den offentliga förvaltningens interoperabilitet.
9.4.1. Lagen ska tillämpas av offentlig förvaltning
Utredningens förslag: Statliga myndigheter, kommuner, regioner,
kommunalförbund och kommunala bolag ska tillämpa den föreslagna lagen.
Skälen för utredningens förslag
Det framgår av utredningens direktiv att vi ska analysera och föreslå styrning av interoperabilitet vid datadelning inom offentlig förvaltning och från offentlig förvaltning till externa aktörer. Begreppet
offentlig förvaltning och vilka organisationer som enligt vår definition omfattas av begreppet diskuteras i kapitel 2.
Det delas redan stora mängder data mellan statliga myndigheter, kommuner, regioner, kommunalförbund och kommunala bolag. Likaså delar dessa data till andra aktörer, såsom företag. Genom ökad interoperabilitet kan stora nyttor för individ och samhälle uppnås, bl.a. i form av effektivitetsvinster och bättre service till enskilda. Det kan även bidra till en högre datakvalitet, tillgänglighet och innovation. Nyttan av att använda interoperabilitetslösningar ökar ju fler som använder dem, vilket brukar beskrivas som nätverkseffekt. Om endast en part använder en interoperabilitetslösning uppnås inte interoperabilitet, men ju fler som använder samma lösning, desto fler kan datadelning ske till. Detta är ett skäl till att styrningen av användning av interoperabilitetslösningar bör omfatta en så bred krets av myndigheter och andra aktörer som möjligt. Ett annat skäl är att vi bedömer att behoven av att kunna dela data inom och med den offentliga förvaltningen kommer att öka över tid eftersom datadelning kommer att vara en förutsättning för att kunna bedriva kärnverksamhet effektivt.
Om endast delar av förvaltningen skulle omfattas, exempelvis endast statliga myndigheter, finns en risk att förutsättningarna för att realisera nyttorna försämras. Kommuner har exempelvis uppgiftsskyldigheter till flera statliga myndigheter. Kommuner ägnar sig i dag åt tidskrävande administrativt arbete när statliga myndigheter begär in uppgifter, som kommunerna är skyldiga att lämna enligt författning, på olika sätt, i olika format eller i olika typer av e-tjänster. Kommuner och regioner behöver dessutom tillhandahålla data och ta del av data från olika myndigheter och andra aktörer inom ramen för sina välfärdsuppdrag. Genom att inkludera såväl statliga myndigheter som kommuner, regioner, kommunförbund och kommunala bolag förbättras förutsättningarna för en mer sammanhållen, effektiv och säker förvaltning.
Möjligheterna för kommuner och regioner att själva välja hur de organiserar sin verksamhet har lett till att den i vissa fall bedrivs av en nämnd och i andra fall av kommunala bolag eller privata företag. De kan också bilda kommunalförbund. När det gäller behovet av att öka den offentliga förvaltningens interoperabilitet vid datadelning ska kommunernas val av organisation inte spela någon roll. För att kunna uppnå interoperabilitet inom hela den offentliga förvaltningen
ska organisationsneutralitet tillämpas. Att välja att inrätta kommunala bolag eller kommunalförbund för att undgå kravet på att tilllämpa nationella interoperabilitetslösningar ska inte vara möjligt. Lösningarna syftar till att förbättra interoperabiliteten för all verksamhet inom den offentliga förvaltningen, oavsett i vilken form den bedrivs. Kommunala bolag och kommunalförbund ska därför omfattas av den lag som vi föreslår och därmed av kravet på att tillämpa de nationella interoperabilitetslösningar som kommer att meddelas genom föreskrifter. Med kommunalförbund förstås här sådana förbund som avses i 3 kap. 8 § kommunallagen (2017:725). Med kommunala bolag avses aktiebolag och handelsbolag där kommuner eller regioner utövar ett rättsligt bestämmande inflytande. Definitionen är densamma som i 2 kap. 3 § offentlighets- och sekretesslagen (2009:400). Av andra stycket samma paragraf framgår att kommuner och regioner ska anses utöva ett rättsligt bestämmande inflytande om de ensamma eller tillsammans
1. äger aktier i ett aktiebolag eller andelar i en ekonomisk förening
med mer än hälften av samtliga röster i bolaget eller föreningen eller på något annat sätt förfogar över så många röster i bolaget eller föreningen,
2. har rätt att utse eller avsätta mer än hälften av ledamöterna i sty-
relsen för ett aktiebolag, en ekonomisk förening eller en stiftelse, eller
3. utgör samtliga obegränsat ansvariga bolagsmän i ett handelsbolag.
Av 2 kap. tredje stycket 1 offentlighets- och sekretesslagen framgår att det som föreskrivs i tryckfrihetsförordningen (TF) om rätt att ta del av allmänna handlingar hos myndigheter i tillämpliga delar också gälla också handlingar hos dessa bolag. Kommunala bolag som tilllämpar tryckfrihetsförordningen vad gäller rätten att ta del av allmänna handlingar omfattas således av våra förslag. Bestämmelsen har funnits länge8 och bolagen har därför under lång tid tillämpat tryckfrihetsförordningens bestämmelser. De bolag som tillämpar bestämmelserna omfattas också av våra förslag.
Enligt 2 kap. 3 § TF ska även ekonomiska föreningar och stiftelser av där kommuner eller regioner utövar ett rättsligt bestämmande
8 Motsvarande bestämmelse fanns i 1 kap. 9 § i den tidigare sekretesslagen (1980:100), som upphävdes genom den nu gällande lagen.
inflytande tillämpa lagens bestämmelser om rätten att ta del av allmänna handlingar. Vi har emellertid inte funnit skäl för att ekonomiska föreningar och stiftelser ska omfattas av den lag vi föreslår.
I våra utredningsdirektiv ingår inte privata företag (se mer nedan). Dessa omfattas därmed inte av kravet på att tillämpa nationella interoperabilitetslösningar. Den offentliga förvaltningen ska dock ställa krav på att de används när den genomför upphandlingar.
Kommissionens förslag till interoperabilitetsförordning9 ska tilllämpas av offentliga myndigheter. Definitionen av offentliga myndigheter är densamma som i öppna datadirektivet.10 Offentliga myndigheter definieras i direktivet som statliga, regionala eller lokala myndigheter och offentligrättsliga organ eller sammanslutningar av en eller flera sådana myndigheter eller av ett eller flera sådana offentligrättsliga organ. För att ett organ ska vara ett offentligrättsligt organ ska det särskilt ha inrättats för att tillgodose behov av allmänt intresse, som inte är av industriell eller kommersiell karaktär. Det ska vara en juridisk person och, något förenklat, vara finansierat av statliga, regionala eller lokala myndigheter, eller av andra offentligrättsliga organ, alternativt att hälften av ledamöterna i organisationens styrelse eller motsvarande ledningsorgan utses av statliga, regionala eller lokala myndigheter eller av andra offentligrättsliga organ. Den definition av offentlig förvaltning som vi föreslår omfattar många av de myndigheter och andra aktörer som omfattas av kommissionens förslag.
Privata aktörer omfattas inte av förslaget
Det har under vårt utrednings- och analysarbete framförts att även privata aktörer borde omfattas av en kommande styrning av interoperabiliteten. Här nämns framför allt privata aktörer som utför samma tjänster åt kommuner och regioner, som kommuner och regioner annars utför själva, eller privata aktörer som omfattas av samma lagstiftning som kommuner och regioner, t.ex. privata vårdgivare som omfattas av hälso- och sjukvårdslagen och skolor med privata huvud-
9 Förslag till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa) (COM[2022] 720 final). 10 Artikel 2.4 i förslaget till interoperabilitetsförordning som hänvisar till artikel 2.1 i öppna datadirektivet.
män. I vissa sektorer kan de som agerar i sektorn utgöras av en blandning av myndigheter, offentligt finansierade privata aktörer och privata aktörer utan offentlig finansiering. Data kan behöva delas mellan alla aktörer inom en sektor, oavsett om det är privaträttsliga eller offentligrättsliga subjekt.
Vår bedömning är att det i framtiden även kommer att behövas styrning av interoperabiliteten inom sektorer (se avsnitt 9.9). Privata aktörer i en sektor kommer förmodat att omfattas av den styrning som avser den aktuella sektorn. De kommer dock inte omfattas av våra förslag, dvs. den förvaltningsgemensamma styrningen. Det är dock viktigt att styrningen inom en sektor beaktar den styrning som finns på förvaltningsgemensam nivå, bl.a. i syfte att förbättra interoperabiliteten mellan sektorer. Den förvaltningsgemensamma styrningen förväntas därför på sikt få effekt även inom sektorer och för alla de aktörer som agerar där, oavsett om de är offentliga eller privata. Det kommer dessutom vara möjligt för privata aktörer att frivilligt tillämpa de nationella interoperabilitetslösningarna.
I den mån privata aktörers tjänster eller produkter upphandlas av myndigheter eller andra aktörer inom den offentliga förvaltningen kommer de att påverkas av våra förslag eftersom kraven i upphandlingarna ska utgå från den förvaltningsgemensamma styrningen.
9.4.2. Lagens avgränsning mot andra författningar
Utredningens förslag: Den föreslagna lagen ska inte påverka till-
lämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data, eller som begränsar en sådan rätt.
Lagen påverkar inte heller tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter.
Skälen för utredningens förslag
Den offentliga förvaltningens skyldigheter och möjligheter att dela data regleras i olika författningar. Den lag som vi föreslår ska inte påverka de rättsliga förutsättningarna för att tillhandahålla eller ta del av data. Vi föreslår därför att det i lagen införs en bestämmelse som
reglerar förhållandet mellan den lag som vi föreslår och andra författningar som reglerar förutsättningarna för att få tillgång till data, eller som begränsar en sådan rätt. Den bestämmelse som vi föreslår är likalydande med bestämmelsen i 1 kap. 2 § öppna datalagen.
Med bestämmelser som ger någon rätt att få tillgång till data avses exempelvis författningar som reglerar myndigheters tillhandahållande av uppgifter ur register. Bestämmelsen förtydligar att bedömningen av huruvida det föreligger en möjlighet att dela data ska göras utifrån annan lagstiftning än den lag som vi föreslår. Denna lag medför således ingen skyldighet att tillhandahålla allmänna handlingar eller uppgifter ur allmänna handlingar i digitalt format. Den utgör därmed inte ett sådant undantag från utskriftsregeln som avses i tryckfrihetsförordningen.11
Med bestämmelser som begränsar sådan rätt avses huvudsakligen bestämmelser om sekretess för uppgifter som gäller enligt offentlighets- och sekretesslagen (2009:400) och som kan begränsa möjligheten att dela data.
Genom bestämmelsens andra stycke förtydligas att dataskyddsförordningen och anslutande nationell reglering ska ha företräde framför den lag som vi föreslår, och att all datadelning ska ske i förenlighet med dessa författningar.
Lagen medför ingen skyldighet att dela data i digitala format
Den lag som vi föreslår innebär ingen skyldighet för den offentliga förvaltningen att ge tillgång till information. På samma sätt reglerar lagen inte heller någon skyldighet för offentlig förvaltning att dela information i digitala format. Lagen medför inte heller någon skyldighet för offentlig förvaltning att föra över sådana uppgifter som finns i fysiska handlingar till digital form.
Mot bakgrund av vår utredning och analys anser vi dock att det är en fördel att offentlig förvaltning delar information i digitala format. Det ligger emellertid utanför vårt uppdrag att reglera att allt informations- eller uppgiftsutbyte som sker ska ske digitalt. Vår utredning har visat att uppgiftsutbyte i väldigt stor utsträckning ändå sker digitalt. Vi bedömer därför att interoperabiliteten vid datadelning kan
112 kap. 16 § tryckfrihetsförordningen.
åstadkommas även utan att det finns en skyldighet att dela information i digitala format.
Lagens krav ska i vissa fall tillämpas när data tillgängliggörs för vidareutnyttjande
Den lag som vi föreslår reglerar offentlig förvaltnings datadelning. Öppna datalagen reglerar när data tillgängliggörs för vidareutnyttjande, dvs. när data tillgängliggörs av den offentliga sektorn i syfte att data ska kunna bearbetas för valfritt ändamål.
Eftersom den lag som vi föreslår reglerar bl.a. tillhandahållande av data, oaktat för vilket syfte sådant tillhandahållande sker, kan den sägas bilda huvudregel i förhållande till öppna datalagen på så vis att den lag som vi föreslår ska tillämpas på tillhandahållande av data. Öppna datalagen ska i sin tur tillämpas i de fall då syftet är vidareutnyttjande, se 1 kap. 8 § öppna datalagen samt definitioner i 1 kap. 4 § öppna datalagen.
Det finns dock en viss skillnad i tillämpningsområde avseende vilka myndigheter och andra aktörer som omfattas av lagarna, då den lag som vi föreslår ska tillämpas av offentlig förvaltning medan öppna datalagen ska tillämpas av statliga myndigheter, kommuner och regioner (med vissa undantag) samt av offentligt styrda organ och offentliga företag.12 Att lagarna delvis har olika tillämpningsområde avseende vilka aktörer som omfattas motiverar dock inte att avgränsa lagarnas tillämpningsområden. Det kommer att vara upp till respektive aktör att avgöra om den omfattas av både den lag som vi föreslår och öppna datalagen och vilken lag som ska tillämpas vid datadelning.
I öppna datalagen anges att om det i någon annan lag eller i en förordning finns mer långtgående krav i fråga om tillgängliggörande av data än i denna lag, ska de kraven tillämpas.13 Bestämmelsen tar huvudsakligen sikte på exempelvis formatkrav som finns i annan författning som exempelvis lagen (2010:1767) om geografisk miljöinformation och förordningen (1984:692) om det allmänna företagsregistret.14 Vissa av kraven som kan komma att meddelas med stöd av den lag som vi föreslår kan vara mer långtgående än kraven i öppna
12 Se närmare om vilka aktörer som omfattas av öppna datalagen i 1 kap. 5–7 §§ öppna datalagen. 13 Se 1 kap. 3 § öppna datalagen. 14Prop. 2021/22:225 s. 72.
datalagen, exempelvis i fråga om format som regleras i öppna datalagen.15 Innebörden av subsidiaritetsbestämmelsen i öppna datalagen16är att krav som meddelas med stöd av den lag vi föreslår i tillämpliga fall kommer att ha företräde framför öppna datalagens krav, i de fall som kraven i den lag som vi föreslår är mer långtgående (jfr 1 kap. 3 § öppna datalagen).
EU-rättsliga krav vid datadelning och på interoperabilitet har företräde framför den lag som vi föreslår
Vi har beskrivit det EU-rättsliga utrymmet för att styra och vilket utrymme som finns för nationell reglering (se kapitel 5 och 6). Så som vi har konstaterat är området för interoperabilitet endast delvis reglerat på EU-nivå och det finns därför utrymme för medlemsstaterna att själva reglera det som inte omfattas.
EU-rätten har företräde framför nationell rätt. Det innebär att EU-rättslig lagstiftning ska tillämpas före nationella regleringar.17 För det fall att det skulle finnas en normkonlikt mellan krav som följer av den lag som vi föreslår och krav som följer av EU-rätten så kommer de EU-rättsliga kraven att ha företräde, t.ex. ett specifikt krav på format eller gränssnitt för ett visst datautbyte. Om ett EU-rättsligt krav skiljer sig från ett krav som har reglerats med stöd av den lag som vi föreslår ska det EU-rättsliga kravet tillämpas. Detta behöver inte särskilt regleras i den lag som vi föreslår.
Målsättningen med våra förslag är emellertid att de krav på interoperabilitet vid datadelning som föreskrivs med stöd av den lag som vi föreslår, och som blir bindande för hela den offentliga förvaltningen, i så stor utsträckning som möjligt ska överensstämma med eventuella krav vid datadelning som följer av EU-rätten. Den lag som vi föreslår får dock inte leda till en dubbelreglering vid krav på datadelning, eftersom Sverige är förhindrat att reglera samma områden som regleras av EU-rätten. De krav som ställs med stöd av lagen, och den anpassning av data som sker för de syften som föreskrivs i lagen, ska möjliggöra följsamhet till eventuella krav som föreskrivs i EU-
15 2 kap. 2 § öppna datalagen. 16 1 kap. 3 § öppna datalagen. 17 Domstolens dom den 15 juli 1964. Flaminio Costa mot E.N.E.L. Begäran om förhandsavgörande: Giudice conciliatore di Milano – Italien. Mål 6-64.
rätten för samma typ av data. På så vis möjliggör lagen också ett mer effektivt införande och efterlevande av eventuella EU-rättsliga krav.
9.5. Vissa definitioner ska föras in i lagen
9.5.1. En definition av data
Utredningens förslag: En definition av data ska föras in i lagen.
Data ska definieras som information i digitalt format oberoende av medium.
Skälen för utredningens förslag
Den lag som vi föreslår reglerar sättet för datadelning. Det krävs därför en definition av data. I svensk rätt i bl.a. tryckfrihetsförordningen och registerförfattningar, är det vanligt förekommande att tala om uppgifter i digital form så som upptagning för automatiserad behandling. Vi anser emellertid att begreppet data är mer ändamålsenligt att använda för vår reglering, både utifrån att våra direktiv tar sikte på data och därför att EU-rättsakter, som öppna data-direktivet och dataförvaltningsförordningen18, använder begreppet data för att beskriva information i digitala format.
I öppna datalagen definieras data som information i digitalt format oberoende av medium (1 kap. 4 §). Lagen genomför EU:s öppna datadirektiv från 2019 och tar uteslutande sikte på tillgängliggörande av information i digitala format för vidareutnyttjande.19 Vid genomförandet av direktivet valde den svenska lagstiftaren att använda en annan term än handling och menade att det var en fördel att information inte har samma tydliga koppling till fysiska dokument som handling.20 Med data avses i lagen all information i digitalt format oberoende av medium, det vill säga allt informationsbärande innehåll och alla delar av ett informationsbärande innehåll oberoende av i vilket digitalt format det innehas.21 Trots att definitionen i sig kan tolkas som ett likhetstecken mellan information och data tydliggör lagens
18 Europaparlamentets och rådets förordning (EU) 2022/868 av den 30 maj 2022 om europeisk dataförvaltning och om ändring av förordning (EU) 2018/1724 (dataförvaltningsakten). 19Prop. 2021/22:225 s. 19. 20Prop. 2021/22:225 s. 18. 21Prop. 2021/22:225 s. 19.
förarbeten att data kan ses som bärare av information. Vi använder oss därför av samma definition av data som i 4 § öppna datalagen. Data är således information i digitalt format oberoende av medium. Ett tungt vägande skäl till att välja samma definition som i öppna datalagen är att olika definitioner skulle kunna leda till oklarheter och tillämpningssvårigheter för myndigheter och andra aktörer i offentlig förvaltning. Det ska här noteras att dataförvaltningsförordningen har en något annorlunda lydande definition av data. Den utredning som har föreslagit kompletterande bestämmelser till dataförvaltningsförordningen har emellertid bedömt att definitionerna i allt väsentligt är likalydande och att definitionen av data i öppna datalagen inte behöver ändras.22
9.5.2. Datadelning
Utredningens förslag: En definition av datadelning ska föras in i
lagen. Datadelning ska definieras som att tillhandahålla data eller ta del av data.
Skälen för utredningens förslag
Datadelning innebär enligt vårt synsätt både att dela med sig av egna data och att ta del av någon annans data. Begreppet datadelning bör således innefatta både att tillhandahålla och att ta del av data. Att även mottagandet av data bör inkluderas, motiveras bl.a. av behovet att förenkla för kommuner och regioner som är skyldiga att lämna data till olika statliga myndigheter, vilka i sin tur efterfrågar data i varierande format. Ett sådant synsätt på datadelning är dessutom naturligt när vi talar om interoperabilitet vid datadelning, där två eller flera informationssystem behöver kunna utbyta data på ett interoperabelt sätt.
Att använda begreppet datadelning innebär att vi tydligt behöver definiera vad som avses med datadelning. Datadelning definieras i dataförvaltningsförordningen som en registrerads eller datainnehavares tillhandahållande av data till en dataanvändare för gemensam eller individuell användning av dessa delade data, baserat på frivilliga avtal, unionsrätt eller nationell rätt, direkt eller via en förmedlare, t.ex.
22Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24), s. 88.
inom ramen för öppna eller kommersiella licenser mot en avgift eller kostnadsfritt.23 En datainnehavare kan vara en offentlig myndighet.24Förordningens definition av datadelning inbegriper således både tillhandahållande av data och användningen av data. På så vis ligger begreppet datadelning som det definieras i dataförvaltningsförordning nära vad vi avser med datadelning. Definitionen återspeglar dock inte helt det vi avser med datadelning, bl.a. eftersom vi behöver en mer generell definition av hur data delas. Datadelning i den lag som vi föreslår avser inte tillhandahållande från en registrerad. Vi ser därför anledning att definiera datadelning på annat sätt.
I annan lagstiftning används en rad olika begrepp för att beskriva när en myndighet tillhandahåller data till en utomstående aktör. I öppna datalagen används begreppet tillgängliggörande. Tillgängliggörande definieras inte särskilt men används för att reglera de situationer i vilken en aktör som omfattas av lagen gör data tillgänglig för vidareutnyttjande.25 Vi har övervägt om begreppet tillgängliggörande ska användas. En fördel med det skulle vara att använda ett redan etablerat begrepp. Vi har emellertid valt att inte använda detta begrepp eftersom vi ser behov av att i vissa avseenden tydliggöra en gränsdragning mellan våra förslag och bestämmelserna i öppna datalagen (se avsnitt 9.4.2). Begreppet tillgängliggörande leder tanken till att data kan användas fritt av vem som helst för valfritt ändamål. Den datadelning som vår reglering tar sikte på är bredare än tillgängliggörande av data för vidareutnyttjande. Begreppet datadelning är också det som används i våra direktiv.
Mot denna bakgrund anser vi att termen tillhandahållande är lämplig att använda. Tillhandahållande används också i definitionen av begreppet datadelning i EU:s dataförvaltningsförordning.26 Tillhandahållande definieras i Svenska Akademiens ordlista som att ställa till någons förfogande. Vidare bedömer vi att begreppet tillhandahållande också inrymmer sättet på vilket något ställs till förfogande. Begreppet tillhandahållande ligger således närmast vad vi avser med datadelning.
För att den lag som vi föreslår ska fungera behöver datadelning även innefatta att ta del av data, och även för detta behövs ett begrepp. I öppna datalagen och i dataförvaltningsförordningen används begreppet vidareutnyttjande, vilket tar sikte på hur en mottagare av
23 Artikel 2.10 dataförvaltningsförordningen. 24 Artikel 2.8 dataförvaltningsförordningen. 25 1 kap. 8 § öppna datalagen. 26 Artikel 2.10 dataförvaltningsförordningen.
data kan och får bearbeta data från offentliga aktörer. Begreppet vidareutnyttjande tar i direktivet huvudsakligen sikte på hur data används hos mottagaren av data samt i vilken utsträckning som den tillhandahållande myndigheten kan begränsa vidareutnyttjandet. Vi ser i stället ett behov av att ringa in själva mottagandet av data. Hur data sedan används hos den offentliga aktören regleras av annan lagstiftning. Av det skälet ligger begreppet att ta del av data närmast till hands.
Den myndighet som tillhandahåller data blir då att se som tillhandahållande myndighet och den myndighet som tar del av data blir mottagande myndighet. Detta hindrar inte att också privata aktörer kan vara mottagare av data, och på samma vis kan privata aktörer tillhandahålla data som den offentliga förvaltningen tar del av. I enlighet med våra direktiv kan dock våra förslag inte innehålla krav som är tillämpliga på privata aktörer.
Alternativ som utredningen har övervägt
Våra direktiv definierar inte vilken slags datadelning som avses. I direktiven nämns emellertid vikten av att kunna kombinera datamängder med varandra, att kunna dela data för att effektivisera verksamheter, möta samhällsutmaningar och dela stora maskinläsbara datamängder. Sådant tillhandahållande som sker i enstaka fall, som exempelvis uppgiftsutbyte mellan myndigheter i enstaka, enskilda ärenden avses således inte med begreppet datadelning enligt vår bedömning. Det ska snarare vara fråga om en mer omfattande och systematisk datadelning – eller en återkommande datadelning för att tillgodose myndigheters behov av data. Mot bakgrund av vad som anges i direktiven – och för att avgränsa de situationer vid datadelning som avses – har vi övervägt att reglera lagens tillämpningsområde som återkommande datadelning.
Begreppet återkommande är dock inte tillräckligt precist för den datadelning som avses och skulle även kunna leda till tolkningssvårigheter. Det är inte heller enbart återkommande datadelning som skulle behöva regleras utan även systematisk datadelning eller mer omfattande datadelning vid enstaka tillfällen. Vi har således vid en sammantagen bedömning valt att inte uttryckligen definiera tillämpningsområdet som återkommande datadelning i den lag som vi föreslår. Den datadelning som lagen ska tillämpas på är dock den som är
återkommande, systematisk eller som endast sker vid enstaka tillfällen men då är mer omfattande.
9.5.3. Interoperabilitet vid datadelning
Utredningens förslag: En definition av interoperabilitet vid data-
delning ska föras in i lagen. Interoperabilitet vid datadelning ska definieras som förmågan att tillhandahålla eller ta del av data genom informationssystem som interagerar med varandra.
Skälen för utredningens förslag
Den lag och den styrning som ska ske med grund i den lag vi föreslår syftar till att åstadkomma interoperabilitet vid datadelning. Det krävs därför en definition av vad vi avser med interoperabilitet vid datadelning och en vedertagen sådan saknas. Vi har i kapitel 2 beskrivit att det finns en mängd olika definitioner av interoperabilitet, och vi ser ett tydligt behov av att även definiera vad vi avser med begreppet i den lag som vi föreslår. Vi kan konstatera att de definitioner som används för att beskriva interoperabilitet och som vi har beskrivit i kapitel 2 i och för sig skiljer sig åt till sina ordalydelser, men att de i allmänhet tar sikte på förmågan hos it-system att fungera tillsammans vid utbyte av data. Ibland innehåller definitionerna också förmågor hos verksamheter och organisationer. Vi anser att definitionen bör ta sikte på förmågan till datadelning, och användningen av informationssystem för datadelning. Vi föreslår därför att definitionen av interoperabilitet ska vara förmågan att tillhandahålla eller ta del av data genom informationssystem som interagerar med varandra.
Med förmågan avses förmågan hos de myndigheter och andra aktörer inom offentlig förvaltning som omfattas av den lag som vi föreslår, se avsnitt 9.4.1. Förmågan ska inrymma samtliga förutsättningar som behöver föreligga hos en myndighet eller annan aktör inom offentlig förvaltning för att datadelning ska fungera. Vi har genomgående i vår utredning beskrivit att interoperabilitet behöver avse både tekniska, semantiska, rättsliga och organisatoriska aspekter. Förmåga i vår definition ska därför förstås som att det inrymmer alla dessa aspekter av interoperabilitet. Vi anser också att definitionen tydligt
behöver knytas till föremålet för vår reglering, nämligen datadelning och därmed att tillhandahålla eller ta del av data. Delning av data sker i sin tur genom informationssystem, vilket kan förstås som it-system, som interagerar med varandra.
Definitionen omfattar därmed datadelning mellan två myndigheter eller andra aktörer inom offentlig förvaltning och när en myndighet eller annan aktör inom offentlig förvaltning tillhandahåller data, eller tar del av data från en privat aktör.
9.5.4. Interoperabilitetslösningar
Utredningens förslag: En definition av interoperabilitetslösning
ska föras in i lagen. Interoperabilitetslösning ska definieras som en återanvändbar resurs som avser rättsliga, organisatoriska, semantiska eller tekniska krav, såsom konceptuella ramverk, riktlinjer, referensarkitekturer, tekniska specifikationer, standarder, tjänster och applikationer, samt dokumenterade tekniska komponenter, såsom källkod, som syftar till att uppnå interoperabilitet vid datadelning.
Skälen för utredningens förslag
De krav som ska gälla vid datadelning behöver kunna innefattas i ett samlingsbegrepp. Vi har därför valt att använda begreppet interoperabilitetslösning. En interoperabilitetslösning är en återanvändbar resurs som avser rättsliga, organisatoriska, semantiska eller tekniska krav, såsom konceptuella ramverk, riktlinjer, referensarkitekturer, tekniska specifikationer, standarder, tjänster och applikationer, samt dokumenterade tekniska komponenter, såsom källkod, som syftar till att uppnå interoperabilitet vid datadelning.
Definitionen som vi har valt är i princip likalydande med den definition som används i interoperabilitetsförordningen som just nu är under förhandling27 förutsatt att den inte ändras under förhandlingens
27 Förslag till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa) (COM[2022] 720 final). Under år 2023 har förslaget förhandlats inom EU. Vi utgår därför i vår framställning från, utöver kommissionens förslag, också rådets och Europaparlamentets
gång. Skulle definitionen i interoperabilitetsförordningen ändras något bör samma ändring göras i den lag som vi föreslår.
Vi anser att definitionen i förslaget till interoperabilitetsförordning ringar in alla de olika slags lösningar som kan användas för att ställa krav vid datadelning. En skillnad i vårt förslag, jämfört med definitionen i interoperabilitetsförordningen, är att interoperabilitetslösningarna ska syfta till att uppnå en förmåga hos informationssystem att interagera med varandra genom datadelning. Eftersom interoperabilitetslösningar kommer att användas för att styra datadelning så krävs det att definitionen inrymmer detta syfte.
Att vi använder samma definition som i interoperabilitetsförordningen innebär att de lösningar som anses vara interoperabilitetslösningar enligt den lag som vi föreslår också kan anses vara interoperabilitetslösningar enligt interoperabilitetsförordningen.
Definitionen av interoperabilitetslösning som vi föreslår inrymmer ett stort antal olika lösningar. De kan avse rättsliga, organisatoriska, semantiska eller tekniska krav för att möjliggöra interoperabilitet. Som ett exempel kan här nämnas programkod, en standard för applikationsprogrammeringsgränssnitt eller en checklista för rättsliga förutsättningar för interoperabilitet vid datadelning. En interoperabilitetslösning innehåller någon form av beskrivning på hur något ska utföras, och som därför kan återanvändas av någon annan. För att en sådan resurs ska anses vara en interoperabilitetslösning så ska den slutligen syfta till att uppnå förmåga hos offentlig förvaltning att tillhandahålla eller ta del av data genom informationssystem som interagerar med varandra.
En fråga i vår utredning har varit om tjänster ska ingå i definitionen av interoperabilitetslösning och i så fall vilka typer av tjänster som ska ingå. Vår bedömning är att tjänster kommer att ingå i definitionen av interoperabilitetslösning i interoperabilitetsförordningen.28Vår bedömning är att tjänster även ska ingå i definitionen i den lag som vi föreslår. De tjänster som avses kan exempelvis vara olika former av s.k. växeltjänster, dvs. tjänster som växlar från ett format till ett annat. En tjänst kan även vara ett API. Däremot avses inte s.k.
förhandlingsmandat avseende förordningen. Se Draft European parliament Legislative resolution on the proposal for a regulation of the European Parliament and of the Council laying down measures for a high level of public sector interoperability across the Union (Interoperable Europe Act) (COM[2022]0720 – C9 0387/2022 – 2022/0379[COD]) samt Interoperable Europe Act, Council’s negotiating mandate with the European Parliament, 6 oktober 2023. 28 Se definitionerna i respektive förhandlingsmandat för rådet och Europaparlamentet (se fotnot 27).
e-tjänster eller sådana tjänster som tillhandahålls av en statlig myndighet som anropas från en annan myndighet eller annan aktör inom den offentliga förvaltningen, såsom Bolagsverkets tjänst Mina ombud eller Diggs tjänster Säker digital kommunikation (SDK) och Digital post. Även om sådana tjänster i och för sig underlättar datadelning inom den offentliga förvaltningen, så utgör de inte sådana generellt återanvändbara resurser som avser förmågan att tillhandahålla eller ta del av data genom informationssystem som interagerar med varandra. Det är därför viktigt att understryka att den lag som vi föreslår inte reglerar sådana specifika tjänster som används genom att anropa en viss tjänst som tillhandahålls av någon annan myndighet eller annan aktör inom offentlig förvaltning. Gränsdragningen är viktig eftersom den innebär att det bemyndigande att föreskriva om användning av vissa interoperabilitetslösningar som vi föreslår inte kan avse att föreskriva om en skyldighet för myndigheter eller andra aktörer inom offentlig förvaltning att ansluta sig till sådana tjänster. Det kommer således stå dem fritt att välja vilka specifika e-tjänster som upphandlas, men däremot kommer det finnas generella interoperabilitetskrav som tjänster måste uppfylla. Dessa krav framgår av de nationella interoperabilitetslösningar som Digg kommer föreskriva om.
9.5.5. Nationella interoperabilitetslösningar
Utredningens förslag: En nationell interoperabilitetslösning ska
definieras som en interoperabilitetslösning som är gemensam för den offentliga förvaltningen.
Skälen för utredningens förslag
Vissa interoperabilitetslösningar kommer att behöva användas av samtliga aktörer inom den offentliga förvaltningen. Det behövs därför en definition av sådana interoperabilitetslösningar. Vi föreslår därför att begreppet nationell interoperabilitetslösning ska införas i lagen, och att definitionen av en nationell interoperabilitetslösning ska vara interoperabilitetslösning som är gemensam för den offentliga förvaltningen.
Vi har övervägt om definitionen ska innehålla att samtliga myndigheter och andra aktörer inom offentlig förvaltning ska vara berörda av en interoperabilitetslösning för att den ska anses vara nationell. Detta skulle dock inte vara en ändamålsenlig reglering. I stället ska nationell definieras utifrån behovet av att alla myndigheter och andra aktörer inom offentlig förvaltning ska tillämpa en viss interoperabilitetslösning. Om en interoperabilitetslösning exempelvis avser en viss datamängd, behöver den givetvis enbart användas av de myndigheter och andra aktörer inom offentlig förvaltning som faktiskt behandlar datamängden.
Genom att förtydliga den nationella karaktären på vissa interoperabilitetslösningar möjliggör vi också för att i framtiden reglera vilka interoperabilitetslösningar som behöver vara gemensamma inom vissa sektorer. Vi utvecklar förhållandet mellan den nationella styrningen och styrning inom sektorer i avsnitt 9.9.
Vi har löpande i vår utredning använt begreppet förvaltningsgemensam när vi avser något som är gemensamt för den offentliga förvaltningen. Vi har därför övervägt att benämna de gemensamma interoperabilitetslösningarna som förvaltningsgemensamma interoperabilitetslösningar. Vi har emellertid valt att använda begreppet nationell. Nationell avser dock som begrepp något som är gemensamt för hela Sverige, och är inte begränsat till den offentliga förvaltningen. På sikt bör emellertid även privata aktörer kunna omfattas av interoperabilitetsstyrningen, vilket vi utvecklar i avsnitt 9.11.4. Vi anser därför att definitionen inte bör anges som förvaltningsgemensam. Vidare anser vi att begreppet nationell gör sig bättre språkligt för att använda i kommunikation om interoperabilitetslösningar än begreppet förvaltningsgemensam. Att vi benämner lösningarna som nationella hindrar givetvis inte att vi också talar om förvaltningsgemensam interoperabilitet eller förvaltningsgemensam nivå av styrning.
9.6. Styrning av interoperabilitet vid datadelning
9.6.1. Nationella interoperabilitetslösningar ska användas vid datadelning
Utredningens förslag: Den offentliga förvaltningen ska vid datadel-
ning använda nationella interoperabilitetslösningar som har föreskrivits med stöd av lag.
Första stycket ska inte tillämpas för de data som omfattas av datadelningen om det är olämpligt med hänsyn till krav på informationssäkerhet eller krav på skydd av Sveriges säkerhet.
Skälen för utredningens förslag
Vår utredning och analys visar att det finns hinder för datadelning utifrån rättsliga, organisatoriska, tekniska och semantiska perspektiv, dvs. inom alla de fyra lagren av interoperabilitet som anges i våra direktiv. Det främsta skälet till det är att det i Sverige har saknats ett sammanhållet regelverk med krav på hur data ska utbytas. Den datadelning som sker i dag fungerar därför att statliga myndigheter, kommuner och regioner bilateralt eller i samverkan med flera myndigheter, har kommit överens om hur data ska delas. Det är ofta dyrt och resurskrävande för myndigheter att komma överens om hur data ska delas, vilket vi beskriver närmare i kapitel 4. Det är även kostsamt och ineffektivt för samhället i stort.
Situationen i Sverige är härvidlag bristfällig i jämförelse med länder som Finland, Estland, Norge och Danmark. I dessa länder finns i mycket större utsträckning strukturer för styrning och organisering av interoperabilitet, tekniska plattformar eller standardiserade informationssystem samt användning av t.ex. öppen källkod som organisationer och individer har tillgång till (se kapitel 8).
Det som behövs i Sverige är krav på att använda nationella, förvaltningsgemensamma standarder, specifikationer eller liknande lösningar som beskriver rättsliga, organisatoriska, semantiska eller tekniska förutsättningar som syftar till att uppnå interoperabilitet vid datadelning och som efterlevs av den offentliga förvaltningen. Vi föreslår därför en skyldighet för offentlig förvaltning att använda nationella
lösningar vid datadelning. Sådana gemensamma krav ska säkerställa att datadelning sker på ett mer standardiserat och ändamålsenligt sätt.
Den lag som vi föreslår ska tillämpas vid datadelning. Innebörden av det är att de bindande nationella interoperabilitetslösningarna ska användas när data delas, det vill säga när en myndighet eller en annan aktör som ingår i offentlig förvaltning tillhandahåller eller tar del av data.
Kravet på att använda de interoperabilitetslösningar som kommer att föreskrivas om för offentlig förvaltning ska därmed vara tillämpligt både på den som tillhandahåller data och på den som tar del av data. Vår bedömning är att krav som enbart träffar tillhandahållandet av data, skulle riskera att inte uppnå syftet med lagstiftningen eftersom det även är datadelning mellan myndigheters system som behöver vara interoperabel. Det innebär att både den tillhandahållande och mottagande myndigheten behöver följa samma krav.
Privata aktörer som tar del av data eller tillhandahåller data träffas inte av kraven på att använda interoperabilitetslösningar, men de kan vara mottagare av data på så vis att de tar del av data som tillhandahålls av myndigheter eller andra aktörer inom offentlig förvaltning. Därtill kommer att offentlig förvaltning vid upphandlingar som innebär att tjänster eller produkter upphandlas från privata aktörer för att utföra uppgifter för deras räkning som inkluderar datadelning, att behöva ställa krav på användande av de nationella interoperabilitetslösningar som Digg föreskrivit om, t.ex. vissa gränssnitt eller format. Vi bedömer att privata aktörers möjlighet att nyttja data kommer att öka i och med att myndigheter kommer att tillhandahålla data på det sätt som följer av bestämmelserna. Användning av nationella interoperabilitetslösningar inom den offentliga förvaltningen kommer således att förenkla för alla mottagare att veta vilka utgångspunkter som gäller för den data de tar del av.
Digitala tjänster som offentlig förvaltning erbjuder medborgare
I utredningens direktiv ingår inte att föreslå reglering av digitala e-tjänster som offentlig förvaltning erbjuder medborgare, t.ex. Mina sidor. Utredningens bedömning är dock att även sådana tjänster behöver göras tillgängliga på ett interoperabelt sätt framöver så att nya gränssnitt, t.ex. applikationer eller AI-lösningar, kan utvecklas för att skapa nytta genom de tjänster som erbjuds medborgare. Det är
även ett sätt att möjliggöra innovation. Vidare skulle det innebära en möjlighet för offentlig förvaltning att på sikt minska sina kostnader för interoperabilitet eftersom alla myndigheter och andra aktörer inom offentlig förvaltning inte skulle behöva utveckla eller upphandla sina egna gränssnitt eller lösningar utan i stället kan återanvända sådana som redan finns.
Nationella interoperabilitetslösningar ska inte tillämpas om det är olämpligt av säkerhetsskäl
Det kan finnas situationer i vilka en myndighet behöver göra avsteg från de åtgärder för interoperabilitet som ska vidtas enligt den nya lagen. Krav på informationssäkerhet eller skydd av Sveriges säkerhet kan innebära att vissa data inte bör delas på vissa sätt. Det kan vara aktuellt exempelvis när aggregering och ackumulering av data ibland innebär risker som kan kräva särskilda bedömningar (se mer i kapitel 7). Det behövs därför en möjlighet till undantag från kraven i den nya lagen. Undantaget innebär att offentlig förvaltning inte ska använda en nationell interoperabilitetslösning om det är olämpligt med hänsyn till krav på informationssäkerhet eller krav på skydd av Sveriges säkerhet.
Det bör vara upp till varje myndighet eller annan aktör som omfattas av lagen att bedöma huruvida en nationell interoperabilitetslösning är olämplig att använda i det enskilda fallet av säkerhetsskäl. Möjlighet finns att få stöd av Myndigheten för samhällsskydd och beredskap (MSB) vid sådana bedömningar. Det är en mer ändamålsenlig lösning än att den myndighet som utfärdar föreskrifter om nationella interoperabilitetslösningar ska försöka beakta de unika förutsättningar eller behov av skydd som kan finnas hos olika myndigheter för olika data. Huvudregeln är dock att nationella interoperabilitetslösningar som har meddelats genom föreskrifter ska tillämpas.
Redan vid framtagandet av nationella interoperabilitetslösningar ska emellertid krav på skydd för Sveriges säkerhet och informationssäkerhet beaktas, vilket vi beskriver i avsnitt 9.7.3. Det undantag som vi föreslår kommer därför endast att bli aktuellt att tillämpa vid enstaka tillfällen.
Alternativ som vi har övervägt men avfärdat
Vi har övervägt att direkt i den lag som vi föreslår också föra in krav om att de myndigheter och andra aktörer som omfattas av lagen ska tillämpa maskinläsbara format och lämpliga gränssnitt vid datadelning. Sådana format förbättrar möjligheterna för mottagarens system att ta emot och bearbeta data i sina system. Data kan då bearbetas automatiserat utan att det krävs någon hantering av en människa. Data behöver utbytas via någon form av gränssnitt, företrädelsevis API:er, för att säkerställa att den återkommande datadelningen inom och med den offentliga förvaltningen ska ske maskin-till-maskin och att den inte ska kräva manuella ingrepp.
Redan i dag förekommer det i stor utsträckning att myndigheter delar data i maskinläsbara format maskin-till-maskin, utan att det finns uttryckliga krav i författning att data ska delas på det sättet. I öppna datalagen finns sådana bestämmelser. Datadelning maskintill-maskin är enligt utredningen önskvärd och behöver öka bland myndigheter, för att undvika kostsam manuell hantering och för att säkerställa ett effektivt datautbyte och korrekta data.
På sikt bör datadelning inom och med offentlig förvaltning ske helt automatiserat och i maskinläsbara format för att vara effektiv. Vi har dock funnit att ett krav i lag på att tillämpa API:er skulle innebära att den datadelning som i dag fungerar väl med användning av annan teknik än API skulle behöva ställa om, och att det skulle vara en omfattande och kostsam åtgärd för de myndigheter som delar data manuellt att ställa om till att dela via API:er redan vid lagens införande. Vissa myndigheter och andra aktörer inom offentlig förvaltning kan också ha upphandlat tjänster med avtalstider som det är kostsamt att ta sig ur innan avtalstiden löpt ut. På sikt bör dock den offentliga förvaltningen styras mot att tillämpa API:er vid datadelning, vilket kan ske successivt genom Diggs föreskrifter. Detsamma gäller för kravet på att använda maskinläsbara format för den data som delas.
Framtida nationella interoperabilitetslösningar
Det kommer att krävas ett flertal nationella interoperabilitetslösningar som kan styra och stödja den offentliga förvaltningen i arbetet med att uppnå interoperabilitet vid datadelning. Det finns redan många
lösningar framtagna för att uppnå interoperabilitet, vilka vi har beskrivit närmare i kapitel 4. Det är enligt vår uppfattning viktigt att det fortsatta arbetet med nationella interoperabilitetslösningar utgår från en princip om att redan existerande och ändamålsenliga lösningar ska tas till vara samt återanvändas. Om de är lämpliga bör de tjäna som utgångspunkt när nationella interoperabilitetslösningar tas fram, antingen delar av dem eller i sin helhet. Vi lämnar inga förslag avseende framtida nationella interoperabilitetslösningar men däremot exemplifierar vi vilka lösningar som kan vara lämpliga att utgöra nationella interoperabilitetslösningar. I avsnitt 9.7.3 beskriver vi hur framtagande av nationella interoperabilitetslösningar ska gå till.
Ramverken för interoperabilitet bör bilda utgångspunkt för interoperabilitetslösningar
I kapitel 4 har vi beskrivit det Europeiska ramverket för interoperabilitet (EIF) och den svenska motsvarigheten Svenskt ramverk för digital samverkan. Båda ramverken innehåller principer och rekommendationer för hur organisationer ska arbeta för att säkerställa interoperabilitet. Ramverken lämpar sig inte i sina befintliga former som bindande nationella interoperabilitetslösningar men det finns starka skäl för att styrningen för interoperabilitet bör utgå från, och komplettera, det europeiska och svenska ramverket för interoperabilitet. Ramverkens principer och rekommendationer kan omsättas till bindande krav i tillämpliga delar. Det kan exempelvis vara specifikationer för hur data ska vara strukturerad, specifikationer för hur data ska överföras samt taxonomier eller gemensamma utgångspunkter för att arbeta tillsammans för att uppnå interoperabilitet. Att ramverken används som utgångspunkt för interoperabilitetslösningar i Sverige är också i linje med hur arbetet med interoperabilitetslösningar kommer att ske på EU-nivå, där EIF kommer att bilda utgångspunkt för interoperabilitetsarbetet.
Exempel på interoperabilitetslösningar som kan vara nationella
– API:er för datadelning. Digg har i samverkan med myndigheter
och andra aktörer tagit fram en s.k. REST API-profil, som beskrivs i kapitel 4. Den skulle kunna utgöra utgångspunkt för en styrning avseende gränssnitt som används vid datadelning. – förvaltningsgemensamma grunddefinitioner av vissa begrepp som
förekommer inom hela förvaltningen (såsom ”person”, ”adress” och ”företag”) samt modeller för versionshantering av grunddefinitionerna. – modeller för samverkan för interoperabilitet (jfr E-hälsomyndig-
hetens arbete och systematik för att välja ut och tillgängliggöra nationella, gemensamma specifikationer som ska underlätta informationsutbyte inom samt mellan hälso- och sjukvård samt socialtjänst). – gemensamma modeller för metadata som anger hur och när meta-
data ska produceras och tillgängliggöras (jfr den s.k. ”byggblocksbeskrivningen” avseende metadata som har tagits fram inom samarbetet i Ena). – förvaltningsgemensamma informationsmodeller (se det särskilda
avsnittet nedan om en sådan informationsmodell).
Förvaltningsgemensamma informationsmodeller om datastrukturering som interoperabilitetslösning
I dag används många olika informationsmodeller eller metoder för t.ex. strukturering och märkning av data i offentlig förvaltning och hos andra aktörer.29 De informationsmodeller som tillämpas inom en organisation eller gemensamt av två eller fler myndigheter eller andra organisationer, enligt en överenskommelse, tar dock inte nödvändigtvis hänsyn till andra organisationers behov. Att strukturera och använda samma koder för information och datamängder eller att använda t.ex. en gemensam informationsutbytesmodell skulle enligt utredningens bedömning kunna skapa interoperabilitet och därmed förenkla myndigheters informationsutbyte med varandra samt med andra aktörer. Det skulle också förenkla informationsutbytet mellan
29 Se kapitel 4 om informationsmodeller.
olika elektroniska system internt inom en organisation. Om sådana standarder används som är anpassningar av europeiska eller internationella standarder (utbytesformat) så skulle även det gränsöverskridande informationsutbytet underlättas. Finland har informationsmodeller som beskrivs som sådant ett verktyg för datamodellerare och informationsarkitekter i organisationer inom den offentliga förvaltningen som heter Tieto mallit. Tieto mallit används för att beskriva datasystemens och gränsytornas informerande innehåll och datastrukturer. Tieto mallit gör den logiska datamodelleringen av offentliga data inom den offentliga förvaltningen offentlig, vilket underlättar användningen av informationsmodeller över organisationsgränserna.30
En bred användning av gemensamma informationsmodeller inom den offentliga förvaltningen kan vidare bidra till att de elektroniska verksamhetssystemen som finns på marknaden anpassas av leverantörer så att de kan ta emot respektive exportera information enligt samma standarder eller specifikationer. Det skulle därmed på sikt kunna minska kostnaderna för den offentliga förvaltningen men även för privata aktörer som utför tjänster åt offentlig förvaltning. Exempelvis så skulle många organisationer att kunna minska sina kostnader för konvertering av information. Äldre system som innehåller information som organisationen behöver ha tillgång till men som man inte kunnat överföra till nya system skulle inte heller behöva behållas. Om fler organisationer ställer krav på och följer informationsmodellernas struktur i nya system från början blir överföringen av information lättare, oavsett om den ska överföras inom eller utanför organisationen.
En förvaltningsgemensam informationsmodell (eller flera modeller) för datastrukturering är således något som enligt utredningens bedömning skulle kunna ta om hand en del av de hinder för datadelning samt de tids- och resurskrävande moment som utredningen identifierat. Den får ses som en möjlig interoperabilitetslösning som skulle bidra till både teknisk och semantisk interoperabilitet.
Det finns olika typer av modeller som skulle kunna fylla syftet att skapa en eller flera förvaltningsgemensamma modeller eller verktyg för strukturering av data eller datamängder och som skulle förbättra interoperabiliteten vid datadelning. Särskilt viktigt är detta naturligtvis för data som används av många, exempelvis nationella grunddata.
30 https://tietomallit.suomi.fi/ (hämtad 2023-11-17).
Det är dock inte lämpligt eller möjligt att inom ramen för den här utredningen utreda och föreslå en eller flera gemensamma informationsmodeller som fungerar för hela den offentliga förvaltningen. Frågan kräver en mer omfattande utredning och bedömning i samverkan mellan myndigheter och andra aktörer. Utarbetandet av en förvaltningsgemensam informationsmodell på en övergripande nivå är därför något som bör göras av Digg som får ansvaret för att ta fram de nationella interoperabilitetslösningarna. Utgångspunkten för modellen bör vidare tas i sådant arbete som redan är gjort i denna riktning, t.ex. det arbete som tidigare gjorts i Ramverket för nationella grunddata. Även det arbete som gjorts i samverkan inom Ena bör kunna tjäna som utgångspunkt, exempelvis byggblocket om metadata. Detsamma gäller relevant arbete inom kommunsektorn. Även det interoperabilitetsarbete som pågår inom EU behöver beaktas i avvägningarna om en lämplig modell.
För att lösningen ska fungera så bra som möjligt och främja datadelning bör kravet på användning gälla för hela offentlig förvaltning. Utredningens bedömning är att den största utmaningen finns avseende att skapa en modell för semantisk interoperabilitet. Samtidigt är detta en av de viktigaste förutsättningarna för interoperabilitet som många myndigheter påtalat för utredningen. Semantiken är ofta svår att komma överens om vid samverkan och därför något som en myndighet skulle behöva ha det yttersta ansvaret för. Socialstyrelsens nationella informationsstruktur och Riksarkivets förvaltningsgemensamma specifikationer är goda exempel på när arbetet med semantisk interoperabilitet kommit långt. Utredningen gör således bedömningen att det skulle gynna interoperabiliteten att fastställa en förvaltningsgemensam modell med styrning på grundläggande definitioner av t.ex. vissa begrepp på gemensam nivå, som därefter kan utvecklas och bli mer detaljerade eller specifika på sektors- eller domännivå.
Den eller de modeller som väljs på förvaltningsgemensam nivå måste underhållas och förvaltas på samma sätt som andra interoperabilitetslösningar. Genom den föreskriftsrätt i den förordning som vi föreslår, samt eventuella föreskriftsrätter för andra myndigheter på sektors- eller domännivå, exempelvis grunddatamyndigheterna, kan interoperabilitetslösningarna relativt lätt förändras vid exempelvis utveckling av tekniska förutsättningar.
9.6.2. Bemyndigande att meddela föreskrifter om nationella interoperabilitetslösningar
Utredningens förslag: Regeringen eller den myndighet regeringen
bestämmer får meddela föreskrifter om nationella interoperabilitetslösningar.
Skälen för utredningens förslag
De nationella interoperabilitetslösningar som ska vara tvingande för den offentliga förvaltningen att använda vid datadelning ska meddelas genom föreskrifter. Vi föreslår därför att regeringen, eller den myndighet regeringen bestämmer får meddela föreskrifter om nationella interoperabilitetslösningar. Det bemyndigande som vi föreslår innebär en delegation i lag till regeringen eller den myndighet regeringen bestämmer att meddela föreskrifter om nationella interoperabilitetslösningar som avses i 6 § i den lag som vi föreslår. Bemyndigandet ska placeras i lag eftersom kravet på att tillämpa de föreskrifter som meddelas gäller även för kommuner, regioner, kommunala bolag och kommunalförbund. Vi har beskrivit förutsättningarna för sådan delegation i kapitel 5.
Regeringen bör bemyndiga en myndighet att meddela föreskrifter
Vi anser att myndighetsföreskrifter lämpar sig bäst för den detaljeringsgrad som kommer att krävas för att styra förvaltningens interoperabilitet. De detaljerade bestämmelser som kommer att behövas lämpar sig inte för lag eller förordning. Bestämmelser i lag och förordning tar längre tid att ta fram och ändra än myndighetsföreskrifter. På detta sätt skapas en större flexibilitet i styrningen. Ytterligare ett skäl till att den detaljerade styrningen bör ske genom myndighetsföreskrifter är att de expertkunskaper som kommer att krävas för att styra förvaltningen på ett ändamålsenligt sätt kommer att finnas vid den myndighet som får i uppdrag att styra och stödja förvaltningen, och den myndigheten har möjlighet att samverka med andra aktörer i syfte att ta fram ändamålsenliga nationella interoperabilitetslösningar.
Av dessa skäl är det lämpligt att krav som kan finnas i en nationell interoperabilitetslösning blir bindande genom myndighetsföreskrifter,
och inte genom lag eller förordning. Vi utvecklar i avsnitt 9.7 hur styrningen ska organiseras och vilken myndighet som bör bemyndigas rätten att meddela föreskrifter.
Vad bemyndigandet ska avse
Bemyndigandet avser en rätt att meddela föreskrifter om användning av sådana interoperabilitetslösningar som är gemensamma för den offentliga förvaltningen, dvs. nationella interoperabilitetslösningar. Sådana lösningar blir då tvingande för den offentliga förvaltningen vid datadelning, dvs. när den offentliga förvaltningen tillhandahåller eller tar del av data. Vi har beskrivit innebörden av begreppen interoperabilitetslösning och nationell interoperabilitetslösning i avsnitt 9.5.4 respektive 9.5.5 samt vad sådana interoperabilitetslösningar kan avse.
Vi har i avsnitt 9.6.1 beskrivit att det redan av definitionen av en interoperabilitetslösning följer att bemyndigandet inte avser en möjlighet att meddela föreskrifter om att en myndighet eller annan aktör inom offentlig förvaltning ska ansluta sig till en viss tjänst. Mot bakgrund av vår utredning och analys kommer föreskrifter om nationella interoperabilitetslösningar främst att avse tekniska och semantiska aspekter av datadelning.
Givetvis kan inte en enda interoperabilitetslösning åstadkomma fullständig interoperabilitet vid datadelning, utan det kommer att krävas ett flertal olika nationella interoperabilitetslösningar för att åstadkomma syftet.
9.7. Hur styrningen ska utformas och organiseras
Utvecklingen av den offentliga förvaltningens interoperabilitet vid datadelning styrs i dagsläget främst genom enskilda regeringsuppdrag till statliga myndigheter och då mest framträdande genom Ena. Den styrning som givits genom uppdrag till myndigheterna som ingår i Ena har präglats av reaktivitet och kortsiktighet, vilket vi har beskrivit i kapitel 6. Såsom tidigare framgått rekommenderar Statskontoret att tvärsektoriella frågor ska styras som en del av den ordinarie myndighetsstyrningen. Mot den bakgrunden bedömer vi att styrningen av interoperabiliteten behöver förändras och bli mer långsiktig.
Interoperabilitetens tvärsektoriella karaktär innebär att ansvaret för att uppfylla interoperabilitetskrav och härigenom bidra till en ökad interoperabilitet vid datadelning, ligger på flera myndigheter inom olika sektorer av den offentliga förvaltningen. Vi bedömer att ansvaret behöver ges till en central myndighet som har ett nationellt perspektiv. Ett sådant perspektiv krävs för att ha förmåga att identifiera bakomliggande orsaker och föreslå lösningar som främjar interoperabiliteten totalt sett.
Den omständigheten att interoperabiliteten är en tvärsektoriell fråga kan tala för att ett antal myndigheter, i stället för en enda, ges ett ansvar för att bl.a. stödja interoperabiliteten. Det är också så att samarbetet i Ena hittills har styrts med uppdrag till flera samverkande myndigheter som samordnats av Digg. Vi bedömer dock att en myndighet måste ges ett övergripande ansvar och mandat för att göra interoperabilitetsarbetet effektivt. Det finns enligt vår bedömning annars en risk för att samverkande myndigheter inte kommer överens och att effektiviteten i interoperabilitetsarbetet blir lidande. Såsom framgått i föregående avsnitt föreslår vi därför att endast en myndighet ska få föreskriva om den förvaltningsgemensamma interoperabiliteten. Samma myndighet ska även ha ansvar för att stödja densamma. En sådan ordning skapar bättre förutsättningar för regeringen att få överblick över och att styra interoperabilitetsarbetet.
Den utpekade myndighetens uppgift avseende interoperabilitet på förvaltningsgemensam nivå bör kompletteras med ett sektorsspecifikt ansvar hos en eller flera sektorsmyndigheter. Vi utvecklar detta i avsnitt 9.9.
Vi har beskrivit Diggs uppdrag i kapitel 6. Redan de uppgifter som i dag framgår av Diggs instruktion31 kan sägas innefatta området för interoperabilitet. Som exempel kan nämnas myndighetens uppgift att enligt instruktionen samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens elektroniska informationsutbyte.32 Vidare ansvarar myndigheten enligt instruktionen bl.a. för att delta i och främja nationellt och internationellt standardiseringsarbete inom sitt verksamhetsområde, att främja öppen och datadriven innovation samt att ge vägledning till den offentliga förvaltningen i juridiska frågor inom ramen
31 Förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning. 32 4 § 2 förordning med instruktion för Myndigheten för digital förvaltning.
för den förvaltningsgemensamma digitaliseringen.33 Digg har också lett arbetet med etableringen av Ena, som har utgjort det främsta exemplet på arbete med sektorsövergripande interoperabilitet i Sverige.
Uppgiften att styra förvaltningsgemensam interoperabilitet ligger därmed naturligt nära Diggs befintliga uppgifter i dag. I ett förstärkt och förtydligat uppdrag att styra förvaltningsgemensam interoperabilitet skulle Digg kunna ta tillvara befintlig kompetens, redan utfört arbete och upparbetad samverkan med andra myndigheter på området för interoperabilitet. Vi anser att interoperabilitet inte är ett tydligt och uttalat mål med de uppgifter som Digg har i dag. Diggs roll att behöver därför förtydligas på de sätt som vi föreslår.
Alternativ som utredningen har övervägt
Vi har övervägt om en befintlig myndighet ska utses till interoperabilitetsmyndighet eller om en ny myndighet bör inrättas för det syftet. Att inrätta en ny myndighet är en ingripande åtgärd som måste motiveras av starkt vägande skäl. Redan av den anledningen, och mot bakgrund av att det redan finns en myndighet som har ett övergripande uppdrag inom digitalisering (Digg), anser vi att det saknas skäl att inrätta en ny myndighet.
Vi bedömer att det är viktigt att det finns ett stort förtroende för de nya krav på interoperabilitet som kommer att beslutas av den myndighet som ges uppdraget, för att kraven ska få ett effektivt genomslag. Övergripande krav på interoperabilitet kommer att träffa den offentliga förvaltningen i sin helhet, dvs. statliga myndigheter, kommuner, regioner, kommunalförbund och kommunala bolag. Ett sätt att skapa förtroende är genom representation. Ett tänkbart alternativ vore därför att inrätta en ny nämndmyndighet. En sådan kan bedriva sin verksamhet på ett sätt som ger goda förutsättningar för en jämlik relation mellan staten, kommunerna och regionerna, eftersom dessa kan finnas representerade i nämnden och därigenom ges möjlighet att delta i beslutsfattandet. Det skulle i sin tur kunna bidra till en bättre förankring av, och ett större förtroende för, de beslut som nämnden fattar. Det skulle möjligen kunna ge bättre förutsättningar för att styrningen ska få genomslag.
33 6 § förordning med instruktion för Myndigheten för digital förvaltning.
Vi bedömer dock att representation och delaktighet kan åstadkommas på ett mindre ingripande sätt än genom att inrätta en nämnd, vilket utvecklas nedan i avsnitt 9.7.3 där vi föreslår att styrningen ska präglas av samarbete med berörda aktörer.
Diggs styrande roll på området för data för vidareutnyttjande
Digg har i dag i uppgift att främja öppen och datadriven innovation samt tillgängliggörande och vidareutnyttjande av öppna data från den offentliga förvaltningen.34 Vi har i kapitel 6 beskrivit den styrning som inte är bindande som Digg i dag utövar på området för öppna data. Enligt de förslag som presenterats för genomförandet av dataförvaltningsförordningen ska Digg ges i uppgift att främja området för öppna data även när det gäller skyddade data som tillgängliggörs enligt dataförvaltningsförordningen.35 Digg föreslås att utses som behörigt organ36 och som ansvarig för en gemensam informationspunkt37 enligt dataförvaltningsförordningen.
Vi har i kapitel 6 beskrivit att en utgångspunkt för styrningen på området för data som tillgängliggörs enligt öppna datalagen och dataförvaltningsförordningen är att data ska tillgängliggöras på ett sätt som säkerställer interoperabilitet. Regleringen har därmed en mycket nära koppling till den lag som vi föreslår. Vi ser därför ett behov av att styrning på området för data bör vara likartad, oavsett om data delas enligt den lag som vi föreslår eller enligt öppna datalagen. Vi har också beskrivit att Digg redan i dag utövar icke-bindande styrning på området, med rekommendationer och vägledningar som riktar sig till hela den offentliga förvaltningen, som arbetar med data vilka tillgängliggörs för vidareutnyttjande. Den roll som Digg har i dag på området för öppna data, och som Digg föreslås att få med anledning av dataförvaltningsförordningen, utgör enligt vår bedömning viktiga uppgifter för att styra för interoperabilitet för data som tillgängliggörs för vidareutnyttjande. Att myndigheten får utökade uppdrag avseende interoperabilitet vid datadelning enligt våra förslag kompletterar dessa uppgifter väl.
34 6 § p. 2 förordning med instruktion för Myndigheten för digital förvaltning. 35Genomförande av EU:s dataförvaltningsförordning (Ds 2023:24), s. 31–32. 36 Artikel 7 dataförvaltningsförordningen. 37 Artikel 8 dataförvaltningsförordningen.
9.7.1. Digg ska ta fram nationella interoperabilitetslösningar i samarbete
Utredningens förslag: Digg ska ta fram nationella interoper-
abilitetslösningar i samarbete med offentlig förvaltning och andra aktörer.
Skälen för utredningens förslag
Det ska regleras i förordningen att Digg ska ansvara för att ta fram nationella interoperabilitetslösningar. Uppgiften avser både sådana nationella interoperabilitetslösningar som rekommenderas och sådana som meddelas genom föreskrifter. Att uppgiften särskilt ska framgå av förordningen motiveras av att det behöver vara tydligt att arbetet med nationella interoperabilitetslösningar ska bedrivas aktivt och under tydlig ledning av Digg.
Innebörden av ansvaret att ta fram nationella interoperabilitetslösningar är att Digg kommer att behöva ha en verksamhet som arbetar med framtagande av sådana interoperabilitetslösningar. I ansvaret ligger också ett ansvar för att förvalta nationella interoperabilitetslösningar som myndigheten rekommenderar eller föreskriver om. Det innebär att Digg bör säkerställa att det finns förvaltning för en nationell interoperabilitetslösning som säkerställer att lösningen hålls uppdaterad vid behov.
Nationella interoperabilitetslösningar ska tas fram i samarbete
Nationella interoperabilitetslösningar behöver väljas ut och utformas med omsorg för att kunna underlätta den offentliga förvaltningens datadelning. Digg kommer därför att behöva stöd från andra myndigheter och andra aktörer inom offentlig förvaltning och i viss utsträckning även privata aktörer i framtagandet av nationella interoperabilitetslösningar. Det gäller oavsett om lösningarna ges i rekommendationer eller i föreskrifter.
Vi föreslår därför en skyldighet för Digg att samarbeta med myndigheter och andra aktörer inom offentlig förvaltning och andra aktörer när myndigheten tar fram nationella interoperabilitetslösningar. Syftet med en sådan skyldighet är att andra aktörer än Digg ska kunna
bidra både till att identifiera vilka nationella interoperabilitetslösningar som det finns behov av, och till att de lösningar som tas fram utformas så att de blir möjliga att tillämpa. Vi ser också behov av att andra aktörer, såsom privata företag, ska delta i samarbetet. Sådana aktörer kan exempelvis finnas bland dem som arbetar med standarder och specifikationer eller som är leverantörer av it och andra tjänster till den offentliga förvaltningen.
Att vi föreslår en skyldighet att samarbeta innebär emellertid inte ett krav på att samtliga aktörer som deltar i samarbetet behöver vara helt överens om utformningen av en nationell interoperabilitetslösning.
Vilka myndigheter och andra aktörer som ska delta i samarbetet
De som ska delta i samarbetet är offentlig förvaltning och andra aktörer. Med andra aktörer avses privata aktörer, som exempelvis leverantörer av system eller aktörer som arbetar med standarder och specifikationer.
Vi reglerar dock inte vilka myndigheter eller andra aktörer som ska delta. Det blir upp till Digg att etablera lämpliga samarbetsformer med utvalda aktörer. En aktör kan delta i samarbete antingen därför att den har generell kompetens inom området som lösningen avser, eller därför att lösningen har särskilda beröringspunkter med dess verksamhet. Som exempel är det relevant för en statlig myndighet som har register att delta i arbete som avser gemensamma begrepp m.m. Det är också av stor vikt att Digg säkerställer att kommuner och regioner av olika storlek, geografisk placering och digital mognad deltar i samarbetet för att dessa perspektiv ska kunna beaktas löpande under framtagandet. Vidare ser vi att MSB kommer att ha en central roll i att stödja Digg i framtagandet av nationella interoperabilitetslösningar utifrån myndighetens verksamhetsområde. Detta är särskilt viktigt med tanke på att de lösningar som ska tas fram ska kunna användas utan hinder av säkerhets- eller informationssäkerhetsaspekter, se avsnitt 9.6.1.
Digg leder och samordnar i dag arbetet med Ena, vilket vi har beskrivit i kapitel 6. Inom Ena har redan ett flertal interoperabilitetslösningar tagits fram som kan bli nationella interoperabilitetslösningar, exempelvis REST API-profilen och Ramverk för nationella grunddata. Vi ser det som naturligt att de myndigheter som i dag
samarbetar inom Ena kan fortsätta samarbeta i den samordningsorganisation som de har kommit överens om även i syfte att bidra till att ta fram nationella interoperabilitetslösningar. Samarbete och samverkan med de statliga myndigheter som ingår i Enas samordningsorganisation är emellertid inte tillräckligt för att uppfylla samarbetsskyldigheten, utan det krävs att samarbete sker med en bredare krets statliga myndigheter, kommuner och regioner samt andra aktörer.
Hur samarbetet i framtagande ska gå till
Vi har övervägt att reglera i förordningen hur samarbetet ska gå till. Vi ser det dock som lämpligt att Digg själv bestämmer hur samarbetet ska gå till. Vi beskriver nedan hur vi ser att samarbetet kan gå till.
Vår bedömning är att processen för att ta fram en nationell interoperabilitetslösning bör innehålla följande steg: identifiera behov av nationella interoperabilitetslösningar, ta fram sådana lösningar i samarbete och slutligen inhämta synpunkter i form av yttranden från berörda aktörer.
1. Identifiering av behov av och prioritering av nationella interoperabilitetslösningar Det kommer att krävas att Digg säkerställer att de nationella interoperabilitetslösningar som tas fram möter de behov som finns, och att myndigheten prioriterar i vilken ordning som sådana lösningar ska tas fram. Det innebär att Digg kommer att behöva etablera rutiner för behovsfångst, där myndigheten kan samla in behov och synpunkter från de aktörer som ska tillämpa nationella interoperabilitetslösningar. Sådan identifiering och prioritering bör ske med stöd av synpunkter från en bred krets av aktörer. När ett behov har identifierats bör Digg också undersöka om det redan finns en interoperabilitetslösning som tagits fram av en annan statlig myndighet eller annan aktör som kan återanvändas och bli en nationell interoperabilitetslösning, antingen i sin befintliga version eller efter viss omarbetning, i enlighet med principen om återanvändning.
2. Framtagande av nationella interoperabilitetslösningar i samarbete Att ta fram kan innebära både att justera och bygga vidare på en befintlig interoperabilitetslösning eller att ta fram en interoperabilitetslösning från ax till limpa. I denna fas krävs aktivt samarbete med olika berörda aktörer. Beroende på om interoperabilitetslösningen ska avse tekniska, semantiska, rättsliga eller organisatoriska förutsättningar kommer olika kompetenser krävas i arbetet. Här är lämpligt att Digg etablerar eller använder sig av befintliga arbetsgrupper för att ta fram nationella interoperabilitetslösningar.
3. Inhämtande av synpunkter Digg bör inom ramen för samarbetet också säkerställa att myndigheten inhämtar synpynkter från en bredare krets av berörda aktörer, för att säkerställa att den nationella interoperabilitetslösningen är utformad på ett ändamålsenligt sätt och är möjlig att tillämpa. Detta bör göras oavsett om en nationell interoperabilitetslösning ska rekommenderas eller bli bindande genom föreskrift. Om den ska bli bindande genom föreskrift gäller ett uttryckligt krav på att inhämta yttranden från berörda aktörer, se avsnitt 9.7.5.
Reglering av offentlig förvaltnings deltagande i samarbetet
Att nationella interoperabilitetslösningar tas fram och används är en angelägenhet för hela den offentliga förvaltningen. Den reglering vi föreslår, att lösningarna ska tas fram i samarbete, innebär att det finns en tydlig förväntan på myndigheter och andra aktörer inom den offentliga förvaltningen att delta i samarbetet. Vi har övervägt om det krävs någon uttrycklig skyldighet i författning för dessa att delta i samarbetet. Det finns huvudsakligen två skäl för att reglera en sådan skyldighet för den offentliga förvaltningen. Det första skälet är att myndigheter och andra aktörer ska ha rättsligt stöd ur legalitetshänseende för att delta i det aktiva samarbetet. Det andra skälet är att de ska uppfatta att de förväntas delta i samarbetet och även prioritera detta arbete genom att tillsätta resurser.
I och med den lag vi föreslår bildas en skyldighet för de myndigheter och andra aktörer i offentlig förvaltning som träffas av lagen att använda nationella interoperabilitetslösningar. Det innebär att de kommer att vara direkt berörda av de lösningar som tas fram, och vi bedömer därför att incitamenten för att delta i sådant samarbete kom-
mer att vara starka. Med stöd av den allmänna samverkansskyldigheten enligt 8 § förvaltningslagen (2017:900) menar vi att dessa myndigheter och andra aktörer kan delta aktivt i samarbete kring framtagande av nationella interoperabilitetslösningar. Vidare omfattas statliga myndigheter av skyldigheten att samverka och att löpande utveckla sina verksamheter enligt 6 § myndighetsförordningen (2007:515). Av samma bestämmelse framgår också att statliga myndigheter ska ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet. Vi anser att framtagandet av nationella interoperabilitetslösningar utgör ett tydligt exempel på sådana fördelar som kan vinnas för staten som helhet.
Därtill framstår det som rimligt att myndigheter och andra aktörer kan prioritera att lägga resurser på att delta i detta samarbete då de är direkt berörda av frågorna. Dessutom leder den tekniska utvecklingen till att aktörer inom förvaltningen redan utvecklar sina verksamheter. Vi anser därför inte att det krävs någon ytterligare reglering om de berörda aktörernas deltagande i framtagande av nationella interoperabilitetslösningar.
Enligt vår bedömning kan regleringen om samarbete med fördel kompletteras av aktiv styrning av regeringen avseende vissa statliga myndigheter. När det exempelvis finns behov av att ta fram en nationell interoperabilitetslösning där en viss statlig myndighet har expertkompetens och därför behöver bidra i stor utsträckning genom omfattande resurser, kan regeringen exempelvis styra den statliga myndigheten genom regleringsbrev eller regeringsuppdrag med särskild finansiering för just den insatsen.
Alternativ som utredningen har övervägt
Under utredningen har det framförts till oss att det krävs en långsiktig och tydlig styrning av statliga myndigheter som inskärper deras ansvar, och möjligheter, att tillsätta resurser för att delta i arbetet med nationella interoperabilitetslösningar. Vi har övervägt att peka ut vilka statliga myndigheter som ska delta i samarbetet. En sådan reglering hade exempelvis kunnat bygga på de befintliga statliga myndigheter som deltar i Ena-samarbetet. Vi anser dock att det krävs mer flexibilitet i regleringen av vilka myndigheter som ska delta än vad som är möjligt om det regleras direkt i en förordning. Med den reglering
som vi föreslår blir det möjligt för Digg att etablera långsiktigt samarbete med vissa statliga myndigheter, i likhet med hur myndigheten har reglerat samarbetet inom Ena. En sådan samverkan kan också vid behov kompletteras av enskilda insatser från vissa statliga myndigheter, som exempelvis behövs vid framtagandet av en viss nationell interoperabilitetslösning. Vissa statliga myndigheter som har verksamheter som berör hela den offentliga förvaltningen kan exempelvis delta i samverkan på ett långsiktigt vis. Som ett exempel på detta är MSB, som vi också föreslår ska få ett uppdrag om skyddsnivåer, se avsnitt 9.10.
Andra myndigheters interoperabilitetslösningar
Många myndigheter och andra aktörer arbetar i dag med lösningar som kan anses vara interoperabilitetslösningar enligt vår definition. En del av de lösningar som tagits fram skulle kunna användas på förvaltningsgemensam nivå. Dessa lösningar kan bli nationella interoperabilitetslösningar genom att Digg rekommenderar eller föreskriver om dem. På så vis kan hela den offentliga förvaltningen dra nytta av det arbete som redan har utförts av andra myndigheter och som syftar till att uppnå interoperabilitet vid datadelning.
Vi föreslår ingen särskild reglering om hur lösningar ska föreslås för Digg, utan vi anser att Digg bör etablera kontaktytor och samverkan med andra aktörer i syfte att identifiera sådana lösningar. Det finns givetvis ingen rätt för en statlig myndighet, kommun eller region att få prövat om lösningen kan bli en nationell interoperabilitetslösning. Som vi ser det ligger det dock i det gemensamma intresset för offentlig förvaltning att befintliga lösningar kan återanvändas, och därutöver ligger det i Diggs intresse att framtagandet också kan ske av andra aktörer än Digg själva.
Planering för kommande nationella interoperabilitetslösningar
Det kommer att krävas en rad olika nationella interoperabilitetslösningar för att åstadkomma interoperabilitet vid datadelning. Den offentliga förvaltningen som omfattas av styrningen med nationella interoperabilitetslösningar kommer att behöva anpassa sin datadelning efter dem. Därför är det viktigt att den offentliga förvaltningen
som träffas av kraven ges goda förutsättningar att planera för införandet av dem. Vi anser därför att Digg bör kommunicera tydligt till offentlig förvaltning vilka nationella interoperabilitetslösningar som är planerade att tas fram. Syftet med att kommunicera kommande nationella interoperabilitetslösningar är att skapa förutsebarhet och möjlighet till kostnadsbesparingar för den offentliga förvaltningen. Det möjliggör för den offentliga förvaltningen att planera sin ordinarie it-utveckling för att kunna omhänderta kommande krav. Som ett exempel kan den offentliga förvaltningen, om den vet att det inom ett antal år kommer att finnas krav på API:er, avstå från att utveckla en annan slags lösning. Detsamma gäller för sektorsmyndigheter som kommer att veta vilka krav som kommer att tas fram på förvaltningsgemensam nivå och som kommer att behöva beaktas i arbetet inom sektorn. Vi anser dock inte att detta behöver regleras särskilt.
9.7.2. Digg ska analysera nyttor och kostnader med nationella interoperabilitetslösningar
Utredningens förslag: Digg ska analysera vilka nyttor och kost-
nader som användning av nationella interoperabilitetslösningar innebär för den offentliga förvaltningen.
Skälen för utredningens förslag
För att förbättra den offentliga förvaltningens interoperabilitet vid datadelning och för att styra den på ett ändamålsenligt sätt krävs att Digg också följer upp vilka nyttor respektive kostnader som användning av de nationella interoperabilitetslösningar innebär. Denna uppgift ska regleras i den förordning som vi föreslår.
De åtgärder som vidtas i form av styrning med nationella interoperabilitetslösningar måste följas upp och utvärderas för att säkerställa att den nu föreslagna reformen får önskad effekt. De bör följas upp både avseende vilka nyttor som användningen medför, och vilka kostnader som de medför. I uppföljningen bör också ligga att beakta huruvida nationella interoperabilitetslösningar faktiskt används av den offentliga förvaltningen. Om en lösning inte har lett till önskad effekt måste det undersökas varför. Lösningen kan behöva justeras,
förvaltningen kanske har behov av mer stöd eller så bedöms lösningen som ändamålsenlig men i behov av hårdare styrning.
Utredningen är av den bestämda uppfattningen att ökad interoperabilitet kan leda både till besparingar och initialt till ökade kostnader. Det kan emellertid variera stort mellan olika organisationer. Dessutom behöver vinsterna av ökad interoperabilitet inte nödvändigtvis uppstå hos den som delar data. Vinsterna kan många gånger uppstå hos dem som använder de data som delas. Sådana vinster måste också följas upp och analyseras för att ge en förståelse för de sammantagna effekterna av reformen över tid. Analysarbetet bör också kunna ge insikter i om att det är motiverat för myndigheter och andra aktörer inom offentlig förvaltning att göra nödvändiga investeringar om det förväntas ge positiva effekter på samhällsekonomin i övrigt. Syftet med uppföljningen är primärt att säkerställa att den styrningen som myndigheten utövar är ändamålsenlig, men också att utgöra underlag för den rapportering till regeringen som vi också föreslår ska ske, se nedan.
9.7.3. Digg får meddela föreskrifter om nationella interoperabilitetslösningar
Utredningens förslag: Digg får, efter att berörda aktörer getts
tillfälle att yttra sig, meddela föreskrifter om nationella interoperabilitetslösningar enligt 5 § lagen om den offentliga förvaltningens interoperabilitet.
Skäl för utredningens bedömning
Vi har beskrivit behovet av att nationella interoperabilitetslösningar ska meddelas genom myndighetsföreskrifter och därigenom bli bindande för den offentliga förvaltningen att använda vid datadelning i avsnitt 9.6.2. Enligt vår bedömning bör Digg ges ett bemyndigande att meddela föreskrifter om nationella interoperabilitetslösningar. Att det ska vara Digg som bemyndigas med en sådan föreskriftsrätt är i linje med de förslag som vi i övrigt föreslår angående Diggs roll på området för att styra och stödja den offentliga förvaltningens interoperabilitet vid datadelning och utgör ett centralt verktyg för myn-
digheten i sin uppgift som styrande och stödjande av den offentliga förvaltningens interoperabilitet vid datadelning.
Berörda myndigheter och andra aktörer ska ges tillfälle att yttra sig
Vi föreslår att det bemyndigande som ges Digg ska förenas med en skyldighet att låta de aktörer som berörs av en föreskrift yttra sig om föreskriften innan beslut om föreskrift meddelas. Detta motiveras av att förankringen i den offentliga förvaltningen som berörs av förslaget är av stor vikt för att lösningarna ska bli så ändamålsenliga som möjligt. Det är också viktigt för förtroendet för den myndighet som ges rätten att föreskriva. De yttranden som ska lämnas kan lämnas i samband med framtagandet av nationella interoperabilitetslösningar, vilket vi har beskrivit i avsnitt 9.7.3 ovan.
Styrning som sker genom föreskrifter behöver iaktta kraven i förordningen (2007:1244) om konsekvensutredning vid regelgivning. Där framgår att den beslutande myndigheten, innan den beslutar föreskrifterna, ska utreda kostnadsmässiga- och andra konsekvenser.38Myndigheten ska även ge statliga myndigheter, kommuner, regioner, kommunalförbund och kommunala bolag, organisationer, näringslivet och andra som kostnadsmässigt, eller på något annat betydande sätt berörs, tillfälle att yttra sig i frågan och om konsekvensutredningen.
Digg kan rekommendera nationella interoperabilitetslösningar
Vår bedömning är att Digg kan behöva använda sig av olika verktyg för styrning av offentlig förvaltning. I många fall kan tydliga och skriftliga rekommendationer om användandet av nationella interoperabilitetslösningar vara tillräckliga. Rekommendationer kommer emellertid inte alltid vara tillräckliga för att en nationell interoperabilitetslösning ska få genomslag i hela förvaltningen. Det kan komma att krävas att myndigheten meddelar bindande föreskrifter. En lämplig ordning kan dock vara att först rekommendera en interoperabilitetslösning, och att meddela bindande föreskrifter om det önskade resultatet inte uppnås.
Vi föreslår ingen särskild reglering om att Digg ska rekommendera nationella interoperabilitetslösningar, utan vår bedömning är
38 4 § förordningen om konsekvensutredning vid regelgivning.
att det står myndigheten fritt att välja att rekommendera lösningar utan någon uttrycklig reglering i lag eller förordning. Redan i dag arbetar Digg med webbplatsen Regler och rekommendationer som avser rekommendationer till den offentliga förvaltningen om de verksamhetsområden som Digg arbetar med att stödja och främja. Vi har också beskrivit i kapitel 6 att Digg har valt att rekommendera en specifikation för metadata, i stället för att föreskriva om den, vilket Digg i och för sig får anses ha ett bemyndigande för i 6 a § myndighetens instruktion.
Vi har övervägt att i författning reglera att nationella interoperabilitetslösningar som rekommenderas ska publiceras. Vi anser dock att det inte kräver författningsreglering. Redan i dag arbetar Digg med att publicera sådana lösningar som vi anser kan utgöra nationella interoperabilitetslösningar, både på myndighetens egen hemsida och på webbplatsen Dataportal.se som Digg också tillhandahåller. Om Digg väljer att publicera sådana interoperabilitetslösningar som myndigheten anser ska vara rekommenderade nationella interoperabilitetslösningar, blir det dock tydligt för offentlig förvaltning vilka interoperabilitetslösningar som bör tillämpas.
9.7.4. Digg ska stödja den offentliga förvaltningen
Utredningens förslag: Det ska anges i Diggs instruktion att myn-
digheten ska stödja den offentliga förvaltningen i syfte att uppnå interoperabilitet.
Skälen för utredningens förslag
Ansvaret som Digg ges att föreskriva om nationella interoperabilitetslösningar för den offentliga förvaltningen behöver kompletteras av ett ansvar att stödja densamma. Detta ska förtydligas i myndighetens instruktion.
Att myndigheten ska ansvara för att stödja den offentliga förvaltningen i syfte att uppnå interoperabilitet motiveras av att styrningen behöver kompletteras av hjälpande insatser för att den offentliga förvaltningen enklare ska kunna göra omställningen till interoperabel datadelning. Vi reglerar inte i detalj vad stödet ska avse utan anser att det
är upp till Digg att avgöra i vilken form sådant stöd ske ges. Stödet ska dock ges primärt för att hjälpa den offentliga förvaltningen att använda de nationella interoperabilitetslösningar som Digg rekommenderar eller föreskriver om. Stödet avser inte interoperabilitet vid datadelning i enstaka fall. Avsikten är inte heller att stödet ska vara av reaktiv natur på så sätt att enstaka myndigheter eller andra aktörer inom offentlig förvaltning ska kunna kräva aktivt stöd i implementeringen av en nationell interoperabilitetslösning, att jämföra med exempelvis supporttjänster. Snarare ska stödet ta sikte på vägledning och annat proaktivt stöd som kan underlätta för den offentliga förvaltningen att använda nationella interoperabilitetslösningar.
9.7.5. Digg ska delta i europeiskt arbete för interoperabilitet
Utredningens förslag: Det ska anges i Diggs instruktion att myn-
digheten ska – beakta internationellt interoperabilitetsarbete – vara behörig myndighet enligt artikel 17 i Europaparlamentets
och rådets förordning (EU) nr XXXX/xxxx om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa).
Skälen för utredningens förslag
Utöver de uppgifter som regleras för Digg i den föreslagna förordningen ser vi behov av att vissa uppgifter regleras direkt i myndighetens instruktion. Att uppgifterna ska ligga i myndighetens instruktion motiveras av att uppgifterna tar sikte på uppgifter som myndigheten ska utföra, oberoende av regleringen i den nya lag och förordning som vi föreslår.
Beakta internationellt interoperabilitetsarbete
Interoperabilitet är inte enbart en nationell fråga. Som vi har beskrivit i kapitel 6 och kapitel 8 pågår det arbete för att förbättra interoperabilitet även på EU-nivå och globalt. Det är viktigt att Sverige i så
stor utsträckning som möjligt drar nytta av det arbete som bedrivs för att förbättra interoperabiliteten. Den uppgift som vi föreslår till innebär en skyldighet för myndigheten att aktivt beakta det interoperabilitetsarbete som pågår på internationell nivå. Enligt 7 § myndighetsförordningen ska myndigheter ge regeringen stöd vid Sveriges deltagande i verksamheten inom Europeiska unionen och i annat internationellt samarbete. Den skyldighet som vi föreslår tar emellertid sikte på att säkerställa att det arbete som bedrivs i Sverige fullt ut tar till vara på utvecklingen på internationell nivå, som exempelvis utveckling av viss teknik eller standarder, att ta tillvara på de nyttor som kan uppstå i det internationella arbetet samt att säkerställa att den styrning som ges i Sverige är förenlig med den internationella utvecklingen. En liknande skrivning finns i Diggs bemyndigande att meddela föreskrifter enligt 3 § andra stycket förordningen (2003:770) om statliga myndigheters elektroniska informationsutbyte, där det anges att Digg vid utarbetande av föreskrifter ska beakta nationell och internationell standard.
Vara behörig myndighet enligt artikel 17 i Europaparlamentets och rådets förordning (EU) nr XXXX/xxxx om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa)
Vi föreslår också att Digg ska pekas ut som behörig myndighet enligt artikel 17 i EU:s kommande interoperabilitetsförordning. Förordningen är inte ännu färdigförhandlad men vi anser att det finns starka skäl att förmoda att varje medlemsland kommer att behöva utse en eller flera behöriga myndigheter enligt förordningen. Vilka uppgifter som kommer att åläggas den behöriga myndigheten kommer att framgå direkt av förordningen och vara gällande så som lag i Sverige.
Det är lämpligt att Digg pekas ut så som behörig myndighet enligt förordningen av samma skäl som vi har anfört i avsnitt 9.7.2 om varför myndigheten ska vara den myndighet i Sverige som styr och stödjer den offentliga förvaltningens interoperabilitet vid datadelning. Därutöver ser vi att ansvaret som regleras i interoperabilitetsförordningen, och som i huvudsak avser gränsöverskridande interoperabilitet, kompletterar det nationella ansvaret som vi reglerar på ett tydligt sätt. Om Digg blir behörigt organ finns möjlighet till stora synergier mellan det europeiska och nationella arbetet.
Genom att vi föreslår att Digg pekas ut innan förordningen är färdigförhandlad kan frågan beredas och stora tidsvinster kan göras. För det fall att förordningens slutliga lydelser förändras bör givetvis vårt förslag till skrivning i instruktionen anpassas.
9.7.6. Digg ska årligen rapportera om utvecklingen av interoperabilitet
Utredningens förslag: Det ska anges i Diggs instruktion att myn-
digheten årligen ska rapportera till regeringen om hur den offentliga förvaltningens interoperabilitet utvecklas.
Skälen för utredningens förslag
För att den föreslagna reformen ska få önskad effekt måste även regeringen kontinuerligt följa den samt vidta åtgärder när så krävs. Regeringen ska årligen få en samlad återrapportering från Digg baserad på uppföljnings- och analysarbetet som Digg ska ansvara för, se avsnitt 9.7.4. Rapporteringen ska hjälpa regeringen att bedöma om och i så fall vilka åtgärder som behöver vidtas. Som exempel på åtgärder som kan behöva vidtas är att regeringen med tydlig styrning, exempelvis i regeringsuppdrag, pekar på vilka statliga myndigheter som ska bidra till framtagande av nationella interoperabilitetslösningar, se avsnitt 9.7.3, eller vilka särskilda insatsområden som är angelägna och därför behöver prioriteras, se avsnitt 9.3.
9.8. Inget behov av sanktioner i dagsläget
Under utredningsarbetet har vissa myndigheter och andra aktörer lyft frågan om vad som händer om den offentliga förvaltningen inte följer tvingande nationella interoperabilitetslösningar. Vi har övervägt om det finns behov av ett sanktionssystem, exempelvis i form av tillsyn. Vår bedömning är emellertid att ett sådant inte behövs i dagsläget.
Den offentliga förvaltningen ska följa de författningskrav som de omfattas av. Det inkluderar de framtida interoperabilitetslösningarna som Digg meddelar föreskrifter om. Incitamenten att tillämpa de nationella lösningarna kommer att vara höga eftersom de kommer
att underlätta datadelning. Utgångspunkten är därför att de nationella interoperabilitetslösningarna kommer att användas, och att det inte behöver finnas några sanktioner.
Som framgår av avsnitt 9.7.4 föreslår vi att Digg ska få i uppdrag analysera vilka nyttor och kostnader som användning av nationella interoperabilitetslösningar innebär för den offentliga förvaltningen. De åtgärder som vidtas i form av styrning med nationella interoperabilitetslösningar måste följas upp och i uppföljningen bör ligga att beakta huruvida nationella interoperabilitetslösningar faktiskt används av den offentliga förvaltningen. Om det visar sig att meddelade föreskrifter från Digg inte följs kan det framöver bli aktuellt att överväga att införa sanktioner. Sådana observationer bör ingå i den årliga rapporteringen som Digg ska ansvara för, se avsnitt 9.7.8.
9.9. Styrning inom sektorer eller områden bör ske genom speciallagstiftning
Utredningens bedömning: Interoperabilitet vid datadelning inom
sektorer eller områden bör styras genom lagstiftning för respektive sektor eller område. Det finns behov av fortsatt utredning av förutsättningarna för att införa styrning av interoperabilitet inom sektorer eller områden.
Skälen för utredningens bedömning
För att på sikt uppnå en högre grad av interoperabilitet vid datadelning inom och med offentlig förvaltning krävs att den förvaltningsgemensamma styrningen kompletteras med styrning inom sektorer. Den förvaltningsgemensamma styrningen kommer att avse de grundläggande förutsättningarna som krävs för att åstadkomma interoperabilitet inom hela den offentliga förvaltningen. Det kan emellertid också krävas en mer detaljerad styrning på sektorsspecifik nivå, som exempelvis kan avse särskilda data som huvudsakligen utbyts inom sektorer. Det är mest lämpligt att åtgärder vidtas så nära de mest berörda myndigheterna och andra aktörer som möjligt. Styrningen inom sektorer kommer i de flesta fall att behöva vara mer detaljerad än på förvaltningsgemensam nivå för att få effekt.
Interoperabilitet inom sektorer bör enligt vår uppfattning lämpligen styras av statliga myndigheter som redan har någon form av ansvar inom respektive sektor. Vår bedömning är att den lagstiftning inom sektorer som redan finns bör användas som grund för styrning av interoperabilitet inom respektive sektor. Om utrymme för ytterligare styrning saknas bör det vidtas lagstiftningsåtgärder som ger myndigheterna möjlighet till styrning.
Vi ser därför att det finns behov av fortsatta utredningar om införande av sektorsspecifik interoperabilitetsstyrning.
Etablering av sektorer pågår redan i dag
Vi har identifierat att det i dag i viss utsträckning sker etablering av sektorer där statliga myndigheter tar fram sektorsspecifik interoperabilitetsstyrning. Vi ser det som viktigt att sådan etablering fortsätter.
Vi gör bedömningen att interoperabilitetsarbetet har kommit relativt långt inom vissa sektorer. Som exempel kan nämnas samhällsbyggnadsprocessen avseende geodata, hälso- och sjukvården avseende patientdata och skolväsendet avseende elevdata samt etableringen av grunddatadomäner. Inom dessa sektorer finns interoperabilitetslösningar som kan tillämpas, däremot saknas möjligheter till tvingande styrning inom respektive sektor. De centrala förvaltningsmyndigheterna inom dessa sektorer, Lantmäteriet, E-hälsomyndigheten och Skolverket har i kontakter med utredningen efterfrågat möjlighet att meddela föreskrifter inom sina respektive sektorer i syfte att styra och förbättra interoperabiliteten. En utredning som tar sikte på en sådan sektorsspecifik styrning är Utredningen om infrastruktur för hälsodata som nationellt intresse (S 2022:10) och Utredningen om ett säkrare och mer tillgängligt fastighetsregister (JU 2022:09).
Vi ser att det finns behov av att förstärka möjligheten till interoperabilitetsstyrning med möjligheten att meddela bindande föreskrifter om sektorsspecifika interoperabilitetslösningar. Förenklat kan man säga att det som behöver vara gemensamt på förvaltningsgemensam nivå ska styras med nationella interoperabilitetslösningar, medan det som enbart behöver reglas för en sektor bör regleras där. Genom ett delat ansvar mellan den förvaltningsgemensamma nivå och den sektorsspecifika nivån säkerställs en mer effektiv styrning.
Mot denna bakgrund anser vi att det finns behov av fortsatt utredning angående förutsättningarna för att införa styrning av interoperabilitet inom sektorer.
Förhållande till förvaltningsgemensam styrning
När styrning tas fram inom sektorer behöver den vara förenlig med krav som ställs på förvaltningsgemensam nivå. Det innebär att styrning som tas fram på sektorsspecifik nivå, både styrning som sker genom rekommendationer och genom bindande myndighetsföreskrifter, ska vara möjlig att tillämpa tillsammans med styrning som ges på förvaltningsgemensam nivå. På så sätt främjas interoperabiliteten mellan sektorer. När det finns styrning mot exempelvis API:er eller definierade centrala begrepp på förvaltningsgemensam nivå så måste styrningen inom respektive sektor utgå från dessa.
Vi har föreslagit en definition av interoperabilitetslösning som vi anser ska användas även på sektorsspecifik nivå. Med det menar vi att föreskrifter som meddelas med stöd av annan lagstiftning, och som avser att styra interoperabilitet vid datadelning, kan utgöra interoperabilitetslösningar enligt vår definition. Vidare kan det givetvis finnas sektorsspecifika rekommenderade interoperabilitetslösningar.
Den sektorsspecifika styrningen av interoperabilitet kommer enligt vår bedömning att påverka myndigheter och andra aktörer inom respektive sektor i större utsträckning än den förvaltningsgemensamma eftersom detaljkraven kommer att fastslås i den sektorsspecifika styrningen. En aktör som utvecklar sin verksamhet eller utvecklar eller upphandlar ett it-system kommer primärt att rätta sig efter styrningen i den sektorn. Det är därför viktigt att styrningen inom sektorn utgår från och är förenlig med den förvaltningsgemensamma styrningen. Detta kommer att innebära att den förvaltningsgemensamma styrningen, som endast omfattar offentlig förvaltning, även kommer att göras gällande i den sektorsspecifika styrningen som också omfattar privata aktörer. På så sätt kan offentlig förvaltning och privata aktörer inom sektorerna vara trygga med att om de följer den sektorspecifika styrningen, så har de goda förutsättningar att vara interoperabla med förvaltningen som helhet.
Vi har övervägt att införa reglering med krav om att sektorsspecifik styrning ska vara förenlig med förvaltningsgemensam styrning.
Det är dock enligt vår uppfattning inte lämpligt att reglera förhållandet mellan föreskrifter som meddelas med stöd av den lag som vi föreslår och föreskrifter som i framtiden kan meddelas av andra statliga myndigheter med stöd av eventuella nya bemyndiganden i den lag som vi föreslår. Ett alternativ kan vara att framtida bemyndiganden att meddela föreskrifter om interoperabilitetslösningar på sektorsnivå ska innehålla ett krav på att sådana ska vara förenliga med nationella interoperabilitetslösningar.
Ingen reglering om sektorer i den lag vi föreslår
Vi har övervägt om den lag som vi föreslår är lämplig att använda för styrning av sektorer, exempelvis genom att lagen skulle göra det möjligt för regeringen att bemyndiga myndigheter inom olika sektorer att meddela föreskrifter om interoperabilitet respektive sektor. Det finns emellertid ett starkt skäl som talar mot den lösningen. Våra direktiv är begränsade till datadelning inom och med offentlig förvaltning till externa aktörer. Inom många sektorer i Sverige utförs välfärdstjänster av aktörer som inte ingår i den offentliga förvaltningen enligt vår definition. Som exempel på sektorer kan nämnas hälso- och sjukvården, skolväsendet och transportsektorn. Eftersom den lag vi föreslår endast omfattar den offentliga förvaltningen skulle de privata aktörerna inte omfattas av eventuell styrning i form av myndighetsföreskrifter som meddelas med stöd av lagen. Det skulle leda till att alla aktörer inom vissa sektorer inte omfattas av samma krav. Vi anser att en sådan lösning inte är önskvärd, bl.a. eftersom det kan leda till att villkoren för att bedriva verksamhet inom sektorn då kan skilja sig åt mellan olika aktörer vad gäller interoperabiliteten. Vi kan vidare konstatera att den ordning som vi föreslår är i linje med styrningen av interoperabilitet på EU-nivå, där vissa rättsakter styr övergripande interoperabilitet och andra styr inom respektive sektor (eller dataområde).
Ytterligare ett skäl som talar emot att reglera sektorsspecifik styrning i den lag som vi föreslår är att vi ser att sammansättningen av sektorer behöver utredas ytterligare för att kunna definieras. Vi har identifierat att flera sektorer redan är etablerade, eller på väg att etablera sig, vilket vi beskriver i kapitel 6. En sektorsspecifik styrning kräver
emellertid att det finns en tydlig avgränsning av sektorn i fråga, vilket vi inte har utrett inom ramen för denna utredning.
9.10. Informationssäkerhet vid ökad datadelning – koordinerade skyddsnivåer?
Utredningens förslag: MSB ska ges i uppdrag att utreda om ade-
kvata, gemensamma och koordinerade skyddsnivåer eller andra lämpliga säkerhetsåtgärder kan användas vid datadelning inom den offentliga förvaltningen och med den offentliga förvaltningen. I uppdraget ska ingå att bedöma om befintlig rådgivning och befintligt stöd som finns i dag till statliga myndigheter, kommuner och regioner är tillräckligt eller om stödet behöver stärkas bl.a. till följd av ökad datadelning.
Skälen för utredningens förslag
Interoperabilitet syftar bl.a. till att underlätta organisationers möjlighet att dela data för att skapa nyttor för individer och samhälle och för att offentlig förvaltning ska kunna fullgöra sina skyldigheter gentemot enskilda. För att det ska vara möjligt måste krav på informationssäkerhet och skydd av personuppgifter upprätthållas, och interoperabiliteten får inte innebära risker för Sveriges säkerhet.
När det gäller säkerhetsfrågor handlar det, något förenklat, om att skapa förutsättningar för en ömsesidig tillit mellan alla myndigheter och andra aktörer som tillhandahåller eller tar emot data. När data ska delas mellan många olika aktörer är det inte rimligt att samtliga myndigheter och andra aktörer ska komma överens om säkerhetsåtgärder vid varje tillfälle för datadelning och säkerställa kravefterlevnad av skyddet hos samtliga aktörer. Avsändaren av information behöver kunna lita på att mottagaren omgärdar den med minst samma nivå av säkerhet som avsändaren. Mottagaren behöver i sin tur kunna lita på att avsändaren kan säkerställa tillförlitlig tillgång till informationen över tid.
Enligt vår bedömning förutsätter tillit därmed två saker. Den ena är att avsändare och mottagare kan kommunicera säkerhetskrav på ett tydligt sätt samt att efterlevnaden av dessa säkerhetskrav följs upp.
Den andra handlar om att organisationer som hanterar information behöver bedriva ett systematiskt informationssäkerhetsarbete som omfattar all digital informationsbehandling. Organisationerna måste ha möjlighet att omsätta säkerhetskraven till säkerhetsåtgärder på ett effektivt sätt.
Särskilda frågor uppstår när det gäller aggregering och ackumulering av data, samt när det gäller komplexa beroenden. Åtkomst till data kan behöva begränsas för att säkerställa konfidentialitet, medan särskilda åtgärder kan krävas för att säkerställa tillgång till riktiga eller tillgängliga data – även under ansträngda förhållanden. Dessa perspektiv förutsätter en analys utifrån ett helhetsperspektiv som svårligen kan genomföras enskilt av varje organisation i systemet. En sådan analys kräver att involverade myndigheter har insyn i och förståelse för var, när, hur och till vad data används för att gemensamt skapa samsyn rörande vilka säkerhetsåtgärder som ska användas. Analysen behöver också beakta vad ny etablering av datadelning innebär ur ett totalförsvarsperspektiv, exempelvis vid utvecklandet av nya tjänster som kan skapa beroenden mellan tjänstetillhandahållare och de organisationer som tillhandahåller de data som tjänsten kräver för att kunna tillhandahållas. En bedömning av aggregering och ackumulering av data måste också göras i riskanalysen för att kunna välja rätt nivå av säkerhet.
Utredningens bedömning är att en gemensam modell eller metod för informationsklassning inte tillgodoser dessa behov. Vid samtal med olika myndigheter har utredningen uppfattat att data inte delas när det råder osäkerhet på om mottagaren kommer att omgärda informationen med tillräcklig säkerhet. Det kan också handla om oklarheter avseende regelverk och vad som gäller samt olika uppfattningar mellan myndigheter när det gäller tolkning av vilka krav som regelverket för informationssäkerhet ställer. För att skapa en säkrare och mer effektiv ordning vid ökad datadelning skulle MSB exempelvis kunna föreskriva om gemensamma koordinerade skyddsnivåer, tillsammans med ett antal beskrivna säkerhetsnivåer.
Om det fanns gemensamma skyddsnivåer skulle det kunna bli enklare att avgöra vilka säkerhetsåtgärder som blir aktuella vid datadelning och tilliten mellan myndigheterna skulle kunna öka. En större tillit skulle enligt utredningens bedömning få gynnsamma effekter på interoperabiliteten vid datadelning. Att utveckla gemensamma skyddsnivåer skulle således kunna innebära en bättre och mer ända-
målsenlig lösning än att organisationer ska göra om eller uppdatera sin informationsklassningsmodell som är anpassad efter organisationens uppdrag och verksamhet. Det skulle innebära att alla organisationer kan behålla eller utforma sin egen informationsklassningsmodell, göra riskanalyser och välja säkerhetsåtgärder på det sätt som är ändamålsenligt för deras verksamhet. Vid datadelning skulle de skyddsåtgärder som varje organisation har för informationen internt jämföras med de åtgärder som rekommenderas på varje nivå i de gemensamma skyddsnivåerna.
Skyddsnivåerna, eller beskrivningen av dem, skulle användas för att på ett tydligt och standardiserat sätt kommunicera vilka säkerhetsåtgärder (exempelvis kryptering) som krävs och hur de ska användas (exempelvis styrkan i krypteringslösningen) vid datadelning för att skydda olika typer av information. Exempelvis har organisationer som hanterar säkerhetsskyddsklassificerade uppgifter ett behov av ytterligare skyddsnivåer för att uppfylla krav i säkerhetsskyddsregelverken. Gemensamma skyddsnivåer skulle kunna skapa förutsättningar för en ömsesidig tillit mellan alla myndigheter som tillhandahåller eller tar emot information.
En förutsättning för att gemensamma skyddsnivåer vid datadelning ska fungera är att alla myndigheter i hela den offentliga förvaltningen använder sig av dem. Det förutsätter även att alla dessförinnan gör en informationsklassning och riskanalys av de data som ska delas eftersom skyddsnivåerna väljs utifrån klassning och riskanalys.
Utredningen har fört samtal med MSB om olika alternativ till det som i direktiven anges som en gemensam informationsmodell för ökad säkerhet och har övervägt ett förslag om att skapa förutsättningar i lag för MSB att föreskriva om gemensamma skyddsnivåer för offentlig förvaltning. Främst mot bakgrund av begränsningen i våra direktiv39 har utredningen dock kommit fram till att MSB i stället ska ges ett uppdrag av regeringen att utreda om adekvata, gemensamma och koordinerade skyddsnivåer eller andra lämpliga säkerhetsåtgärder kan användas vid datadelning inom hela den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer. De gemensamma skyddsnivåerna behöver även förvaltas. Mot bakgrund av nya hot och risker samt teknisk utveckling kan säkerhets-
39 I direktiven (I 2022:118) anges att utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess.
åtgärder i en skyddsnivå behöva justeras eller kompletteras. Ju mer specificerade säkerhetsåtgärderna är desto viktigare är det att de regelbundet ses över för att svara mot behovet. En lösning som ena dagen anses ge ett gott skydd kan visa sig innehålla sårbarheter som gör att lösningen behöver kompletteras med ytterligare säkerhetsåtgärder temporärt tills sårbarheten är hanterad eller tills lösningen är utbytt. För att kunna upprätthålla tilliten till att de gemensamma skyddsnivåerna ger det skydd som avses är det lämpligt att tilldela MSB uppgiften att utreda om adekvata, gemensamma och koordinerade skyddsnivåer eller andra lämpliga säkerhetsåtgärder kan användas vid datadelning inom den offentliga förvaltningen och med den offentliga förvaltningen.
9.11. Behov av fortsatt utredning
I vårt uppdrag ingår att bedöma behovet av ytterligare utredningsinsatser. Vi har identifierat ett flertal behov som vi bedömer behöver utredas men som inte har kunnat tas om hand av utredningen.
9.11.1. Sektorspecifik styrning av interoperabilitet vid datadelning
Den reglering som vi föreslår bör kompletteras med styrning av interoperabilitet vid datadelning inom olika sektorer. Vi har beskrivit behovet av sådan utredning i avsnitt 9.9. Frågan om sektorsstyrning bör utredas för respektive sektor.
9.11.2. Registerförfattningar och offentlighets- och sekretesslagen
Under vår utredning har flera myndigheter framfört till oss att ett stort hinder för datadelning är de rättsliga förutsättningarna för utlämnande av uppgifter, utifrån registerförfattningar och offentlighets- och sekretesslagen. Även Digitaliseringsrättsutredningen identifierade att registerförfattningar hindrar eller hämmar digitala informationsutbyten.40 Utredningen bedömde att det bör prioriteras att på ett sam-
40Juridik som stöd för förvaltningens digitalisering (SOU 2018:25), s. 466.
ordnat sätt metodiskt ta om hand de förändringar som behövs avseende registerförfattningarna. Vi kan konstatera att behovet kvarstår och att frågan om en översyn av registerförfattningar fortfarande utgör en angelägen fråga för den offentliga förvaltningens digitalisering. Även eSam har konstaterat att dagens utformning av registerförfattningar utgör ett hinder för myndigheternas digitala transformation.41Vi anser därför att frågan om registerförfattningarnas innehåll och struktur bör utredas och att en sådan översyn bör ta utgångspunkt i de rekommendationer kring utformning av registerförfattningar som eSam tagit fram.
När det gäller sekretess som hinder för interoperabel datadelning, vill vi understryka att varje rättsligt hinder för datadelning inte bör undanröjas i syfte att skapa interoperabel datadelning. Vissa hindrande sekretessbestämmelser kommer även framöver att behövas, så länge de avser informationsmängder med högt skyddsvärde och är ändamålsenligt utformade. Det pågår för närvarande ett antal statliga utredningar avseende sekretessbrytande bestämmelser mellan myndigheter.
9.11.3. Obligatorisk användning av tjänster
Flera myndigheter har framfört att de ser behov av obligatorisk användning av förvaltningsgemensamma digitala tjänster. Som framgår av avsnitt 9.5.4 är digitala tjänster som sådana inte nationella interoperabilitetslösningar. Det kan emellertid finnas behov av att en myndighet tillhandahåller en digital tjänst som alla myndigheter kan, eller i vissa fall ska, använda. Som exempel kan nämnas tjänster för att säkert överföra meddelanden mellan statliga myndigheter, kommuner och regioner. Det kan också finnas behov att inkludera en vidare krets aktörer som får använda tjänsterna.
Digitala tjänster gör av naturliga skäl nytta när de används. Om det rör sig om en tjänst för att skicka meddelanden mellan olika myndigheter och andra aktörer inom offentlig förvaltning kan realiseringen av nyttan av tjänsten uppstå först när ett kritiskt antal myndigheter har anslutit sig.
Det kan också vara så att metoder som används i stället för de förvaltningsgemensamma tjänsterna är mindre effektiva eller mindre säkra än att använda än de förvaltningsgemensamma tjänsterna.
41 eSam, En modern registerförfattning (dnr ES2022-06), juni 2022.
Användning av förvaltningsgemensamma digitala tjänster, och i vissa fall obligatorisk användning av dem, har hittills behandlats utifrån enskilda tjänster. Regeringen har t.ex. föreslagit en lag om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post.42 I propositionen uttalar regeringen att den avser att i förordning reglera att statliga myndigheter under regeringen som huvudregel ska använda de tjänster för elektronisk identifiering som tillhandahålls av leverantörer i auktorisationssystem om de kräver elektronisk identifiering av enskilda för åtkomst till myndighetens digitala tjänster.43
Digg ska enligt förordningen (2018:357) om myndighetsgemensam infrastruktur för säkra elektroniska försändelser tillhandahålla en myndighetsgemensam infrastruktur för säkra elektroniska försändelser från myndigheter till enskild. Anslutning till infrastrukturen är i dagsläget frivilligt för statliga myndigheter, kommuner och regioner. Vissa statliga myndigheter har emellertid i sina regleringsbrev fått i uppdrag att ansluta till infrastrukturen.44 Den 26 januari 2023 fattade regeringen beslut om tilläggsdirektiv till Postfinansieringsutredningen (I 2020:03).45 Enligt tilläggsdirektiven ska utredningen bl.a. utreda förutsättningarna för att införa en skyldighet för privatpersoner, enskilda näringsidkare och juridiska personer att ansluta sig till en digital brevlåda för att kunna ta emot säkra elektroniska försändelser från myndigheter. Utredningen ska också undersöka förutsättningarna för att införa en skyldighet för statliga myndigheter, kommuner och regioner att skicka säkra elektroniska försändelser till digitala brevlådor.
Förvaltningsgemensamma digitala tjänster kan ha olika målgrupper. Vissa tjänster inkluderar t.ex. enskilda i målgruppen, andra göra det inte. Olika målgrupper kan kräva olika överväganden när ett obligatorium övervägs.
Det bör utredas om obligatorisk anslutning och användning ska införas för fler förvaltningsgemensamma digitala tjänster. Sådana utredningsinsatser bör enligt vår uppfattning också inkludera en analys av behovet av författningsreglering av den eller de aktuella tjänsterna. Det kan även finnas anledning att överväga att samla regleringen av
42Prop. 2023/24:6. 43Prop. 2023/24:6 s. 46. 44 Se t.ex. regleringsbrev för budgetåret 2017 avseende Statens servicecenter respektive Migrationsverket. 45 Dir. 2023:7.
diverse förvaltningsgemensamma digitala tjänster i en samlad lagstiftning.
9.11.4. Privata aktörer
Den lag vi föreslår omfattar endast statliga myndigheter, kommuner, regioner, kommunalförbund och kommunala bolag. Skälen till detta redogörs för i avsnitt 9.4.1. Inom många sektorer finns privata aktörer som utför samma verksamhet som myndigheter, exempelvis inom skolväsendet och hälso- och sjukvården. De privata aktörerna omfattas många gånger av samma bestämmelser som myndigheterna, inklusive bestämmelser som innebär att data ska eller får delas. Under vårt arbete har det framförts en önskan från vissa att även privata aktörer ska omfattas av den förvaltningsgemensamma interoperabilitetsstyrningen. Den interoperabilitetstyrning som fortsatt behöver utvecklas inom respektive sektor kommer att omfatta även de privata aktörerna i sektorn. Enligt vår uppfattning bör det övervägas att låta frågan om huruvida privata aktörer ska omfattas av samma förvaltningsgemensamma regelverk som den offentliga förvaltningen, utredas ytterligare.
10. Ikraftträdande
Utredningens förslag: Författningarna ska träda i kraft den 1 januari
2025.
Skälen för utredningens förslag
Att öka den offentliga förvaltningens interoperabilitet vid datadelning är ett arbete som kommer att ta tid. Utifrån nuvarande förutsättningar är det inte möjligt att från en dag till en annan gå från dagens nivå av interoperabilitet till en fullt interoperabel förvaltning. Den föreslagna lagen och förordningen om den offentliga förvaltningens interoperabilitet behöver träda i kraft så fort som möjligt så att möjligheten att styra förvaltningen mot ökad interoperabilitet vid datadelning införs och arbetet kan påbörjas. Med hänsyn till den tid som kan behövas för remissförfarande och fortsatt beredning inom Regeringskansliet föreslår vi att lagen och förordningen träder i kraft den 1 januari 2025.
Också den föreslagna förordningen om ändring i förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning föreslår vi ska träda i kraft den 1 januari 2025. När det gäller förslaget att i förordningen utse Myndigheten för digital förvaltning till behörigt organ enligt artikel 17 i kommissionens förslag till interoperabilitetsförordning1 kan ikraftträdandet behöva justeras utifrån det slutliga innehållet i interoperabilitetsförordningen. Det kan inträffa att det i interoperabilitetsförordningen föreskrivs att medlemsstaterna ska utse behöriga organ enligt artikel 17 tidigare än den 1 januari 2025.
1 Förslag till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa) (COM[2022] 720 final).
11. Konsekvenser av utredningens förslag
11.1. Våra förslag skapar förutsättningar för styrning
Sverige står inför ett antal stora samhällsutmaningar som kräver en väsentligt förbättrad möjlighet att samarbeta effektivt. Staten, kommunerna, regionerna, näringslivet och de ideella organisationerna behöver alla kunna dela information utan onödiga hinder som exempelvis beror på olika standarder eller olika förståelse av begrepp.
Interoperabilitet är av avgörande betydelse för offentlig förvaltnings förmåga att hantera komplexa samhällsutmaningar och möta kommande kriser, vilka ofta kräver sektorsöverskridande datadelning. För att datadelningen ska bli snabbare och enklare vid exempelvis pandemier, motverkande av bidragsbrottslighet, klimathot, gängbrottslighet och i beredskapssituationer krävs standardisering.
Interoperabilitet för att skapa en mer effektiv datadelning handlar också om att klara samhällets välfärdsuppdrag. Det handlar även om att lösa samhällets kompetensförsörjning, liksom att effektivisera och förenkla medborgarnas möte med den offentliga förvaltningen, att möjliggöra en kunskapsbaserad förvaltning samt uppnå regeringens uppsatta mål med digitaliseringen. För allt detta krävs att offentlig förvaltning samarbetar och utbyter stora mängder information i form av data.
Våra förslag skapar förutsättningar för styrning av den offentliga förvaltningens interoperabilitet. Styrningen sker genom lag där det anges att den offentliga förvaltningen ska använda nationella interoperabilitetslösningar vid datadelning enligt föreskrifter som meddelas av Myndigheten för digital förvaltning (Digg). Digg får ansvar för att ta fram nationella interoperabilitetslösningar och får bemyndigande att meddela föreskrifter om lösningarna, vilket innebär att de måste användas av den offentliga förvaltningen.
Det innebär att de märkbara effekterna av förslagen kommer att uppstå först när Digg tagit fram och föreskrivit eller rekommenderat nationella interoperabilitetslösningar och dessa sedan börjat användas av offentlig förvaltning.
Även om effekten av våra förslag dröjer och konsekvenserna av den framtida styrningen beror på vilka lösningar Digg väljer att rekommendera eller föreskriva om gör vi bedömningen att det går att beskriva vissa förväntade konsekvenser av våra förslag. De närmare konsekvenserna av den framtida styrningen genom nationella interoperabilitetslösningar beror på vilka lösningar Digg väljer att rekommendera eller föreskriva om. Konsekvenserna av enskilda interoperabilitetslösningar som Digg väljer att meddela föreskrifter om kommer Digg att behöva utreda och beskriva. För att kunna beskriva övergripande konsekvenser har vi gjort antaganden om vilka lösningar Digg kan komma att rekommendera eller meddela föreskrifter om.
Olika myndigheter kommer att påverkas olika
Hur myndigheter och andra aktörer inom offentlig förvaltning kommer att påverkas av våra förslag beror på ett flertal faktorer. En sådan faktor är den digitala mognaden hos olika myndigheter och andra aktörer inom offentlig förvaltning, som är ett mått på organisationens förmåga att tillgodogöra sig nyttorna med digitalisering. Mognaden kan påverka hur stora kostnaderna blir för att tillämpa nationella interoperabilitetslösningar. Förutsättningarna för organisationer att anpassa sig till styrning som syftar till att öka interoperabiliteten påverkas av de kompetenser och resurser som relaterar till digitalisering. Begreppet digital mognad syftar till att beskriva detta och kan användas för att definiera organisationernas nuläge. Modellen bygger på en positionering av verksamhetens digitala mognad i två dimensioner.1 Dimensionen ”digital förmåga” mäter organisationens förmåga att förstå, fånga och förändra på basis av digitala möjligheter. Dimensionen ”digitalt arv” mäter om existerande infrastruktur stärker eller hindrar digital handlingskraft. Återkommande rapportering avseende den offentliga förvaltningens digitala mognad görs av forsk-
1 https://www.digitalforvaltning.se/modell/ (läst 2023-11-08).
ningskonsortiet Digital förvaltning.2 Ur den senaste publikationen som konsortiet tagit fram framgår att mognadsgraden för kommuner, regioner och statliga myndigheter ligger strax under 50 procent, samt att denna utvecklas långsamt över tid.3 Digg:s enkätundersökning av myndigheters digitala mognad förstärker den slutsatsen.4I en rapport om digital mognad bland Sveriges kommuner och regioner gör PwC liknande observationer.5 Den digitala mognaden kan delas in på olika sätt. Ett sätt att dela in den är i låg, medel respektive hög digital mognad. Vid låg mognad har myndigheten eller aktören tagit fram en strategi eller agenda för sitt digitaliseringsarbete samt påbörjat arbetet med att implementera dem. Vid mognad på medelnivå är den digitala strategin eller agendan implementerad i merparten av verksamheten. Hög mognad innebär att digitalisering är integrerad med ordinarie verksamhetsutveckling.
Vår bedömning är att myndigheter och andra aktörer med hög digital mognad generellt har de bästa förutsättningarna att direkt kunna tillgodogöra sig nyttorna av den ökade interoperabilitetsstyrningen. Detta eftersom de bedöms ha stor erfarenhet av att utveckla verksamheten med hjälp av digitalisering, inklusive att hantera data effektivt. Myndigheter och andra aktörer med mognad på medelnivå eller låg nivå kommer, åtminstone inledningsvis, att ha sämre förutsättningar. Det kan vara svårare för dem att implementera de nationella interoperabilitetslösningarna i sina verksamheter. Den digitala mognaden kan också påverka kostnaderna. Vårt antagande är att kostnaderna generellt kommer att vara högre ju lägre digital mognad en myndighet eller annan aktör har. Det kan dock skilja sig mellan enskilda myndigheter och andra aktörer.
2 Forskningskonsortiet är organiserat som ett initiativ inom ramen för Swedish Center for Digital Innovation och arbetar med klinisk forskning resulterande i metodstöd för offentlig digitalisering. 3 Digital förvaltning, Statusrapport 2023: Digital mognad i offentlig sektor. 4 Myndigheten för digital förvaltning, Myndigheters digitala mognad och IT-kostnader – En enkät-
undersökning riktad till statliga myndigheter (Dnr: 2019-469).
5 PwC, Digital mognad i kommuner och regioner, 2023.
11.2. Konsekvenser av utebliven styrning (nollalternativet)
Digitalisering och användning av digitala hjälpmedel i olika former utgör redan en viktig del i den offentliga förvaltningens verksamheter. Den offentliga förvaltningen kommer också fortsatt att behöva utveckla sina verksamheter med hjälp av digitalisering. Det finns flera skäl till det. Förvaltningen kan med hjälp av digitalisering bli mer effektiv och den kan erbjuda medborgare och företag bättre service i form av digitala tjänster. En central del i en effektiv förvaltning är att den kan använda och dela data. Denna utveckling kommer att fortsätta oaktat våra förslag men utan tydligare styrning av interoperabilitet kommer förvaltningen inte fullt ut kunna nyttja de möjligheter som digitalisering och datadelning erbjuder. Den problembild vi redogör för i kapitel 4 kommer i stora delar att bestå och dessutom bli allt svårare att ta sig ur på grund av ökande kostnader och inlåsningeffekter. Potentialen i den offentliga förvaltningens datadelning kommer inte att realiseras och verksamheterna kommer inte att effektiviseras i den mån som hade varit möjlig med ökad interoperabilitetsstyrning.
Utan mer och bindande styrning föreligger dessutom risk att bristerna i interoperabiliteten förvärras. Det beror på att ju mer av verksamheten som digitaliseras, desto svårare eller kostsammare kan det bli att senare göra förändringar för att bli interoperabel. Om myndigheterna och andra aktörer inom den offentliga förvaltningen fortsatt väljer olika sätt att dela data utan att beakta ett förvaltningsgemensamt perspektiv kan kostnaderna och insatserna för att bli interoperabla vid datadelning till slut bli så höga att det är svårt att motivera att åtgärderna ska genomföras. Det innebär att offentlig förvaltning fortsätter att ”bygga in sig” i olika format, standarder och system m.m. som inte är fullt interoperabla. Vår bedömning är att den offentliga förvaltningen i Sverige har en form av interoperabilitetsskuld som riskerar att växa och bli svårare och dyrare att hantera om inte förvaltningen styrs åt samma håll i en nära framtid.
Det pågår arbete på sektorsnivå med att förbättra interoperabiliteten inom respektive sektor, exempelvis inom hälso- och sjukvården. I avsaknad av gemensam styrning för offentlig förvaltning finns en risk att interoperabiliteten inom sektorerna utvecklas utan att sektorerna beaktar varandra, vilket kan leda till stora interoperabilitets-
brister mellan dem. Brister som hade varit möjliga att undvika genom mer styrning. En sådan utveckling vore olycklig eftersom behoven att kunna dela data mellan sektorer är stora och enligt vår bedömning kommer att öka i framtiden, t.ex. på grund av samhällsutmaningar och kriser i form av pandemier, klimathot, gängbrottslighet och i beredskapssituationer.
Dagens krav på informationshantering är inte tillräckliga
Det ställs redan i dag krav på den offentliga förvaltningens informationshantering. Att vidta åtgärder som förbättrar interoperabiliteten och därmed främjar datadelning kan på sätt och vis redan sägas följa av förvaltningslagen, offentlighets- och sekretesslagen och arkivlagen. I dessa lagar föreskrivs att samverkan ska ske med andra myndigheter och att allmänna handlingar ska hanteras på ett sätt som medger att de både kan delas med och användas av enskilda och andra myndigheter.
I den digitala förvaltningen kan bristande interoperabilitet närmast jämföras med om analoga handlingar konsekvent skulle lämnas ut på annat språk än svenska. Handlingarna skulle då antingen inte kunna förstås och komma till nytta hos mottagaren eller behöva översättas.
Vår bedömning är att behov av interoperabilitet redan implicit framgår av det grundläggande regelverket för myndigheternas verksamhet och informationshantering. De krav på interoperabilitet som kan utläsas ur befintlig reglering innebär dock inte någon skyldighet för offentlig förvaltning att aktivt arbeta med förvaltningsgemensam interoperabilitet som ett konkret mål. Att kraven inte heller har lett till sådant arbete framgår av vår utredning och analys (se kapitel 4).
11.3. Konsekvenser i form av nyttor
Syftet med den reform vi föreslår för ökad interoperabilitet vid datadelning är att uppnå de nyttor som kan uppstå som en följd av en förbättrad och effektivare datadelning. Vi har i kapitel 4 beskrivit en rad olika syften med interoperabel datadelning, och vilka hinder som uppstår när datadelningen inte är interoperabel. Genom att den offentliga förvaltningen använder nationella interoperabilitetslösningar kan dessa hinder undanröjas och nyttorna realiseras. De nyttor vi be-
skriver nedan är nyttor som uppstår för hela den offentliga förvaltningen och för medborgare. I avsnitt 11.5 beskriver vi särskilt nyttor för kommuner och regioner.
Övergripande om ekonomiska nyttor och kostnader
Den faktiska styrningen av den offentliga förvaltningen för ökad interoperabilitet kommer ske genom att Digg tar ansvar för att ta fram nationella interoperabilitetslösningar. Det svårt att med någon exakthet kvantifiera kostnader och nyttor med digitalisering och ännu svårare att kvantifiera kostnader och nyttor med komponenter som, i likhet med interoperabilitet, möjliggör digitaliseringen. Det går därför i dagsläget inte att med exakthet fastslå vilka ekonomiska nyttor och kostnader styrningen kommer att leda till. Förutsättningarna för att beräkna nyttor och kostnader kommer dock att vara bättre för Digg när myndigheten gör dessa beräkningar avseende enskilda nationella interoperabilitetslösningar.
Försök att kvantifiera nyttor med förbättrad interoperabilitet har emellertid gjorts. I en studie från kommissionens gemensamma forskningscentrum6 jämförs full interoperabilitet med kostnaden för att inte agera. Enskilda skulle därvid kunna spara upp till 24 miljoner timmar per år på grund av förbättrad interoperabilitet, vilket motsvarar 543 miljoner euro. Företag skulle enligt samma studie kunna spara 30 miljarder timmar eller 568 miljarder euro per år.
Enligt kommissionens konsekvensanalys avseende förslaget till interoperabilitetsförordning7 beräknas möjliga kostnadsbesparingar som tillskrivs gränsöverskridande interoperabilitet ligga mellan 5,5 och 6,3 miljoner euro för enskilda medborgare och mellan 5,7 och 19,2 miljarder euro för företag.8
Digg har beräknat att nyttan med Ena kommer kunna vara närmare 10 miljarder kronor under en tioårsperiod, givet att statliga myndigheter, kommuner och regioner använder sig av infrastrukturen
6 Ulrich, P., Duch Brown, N., Kotsev, A., Minghini, M., Hernandez Quiros, L., Boguslawski, R. och Pignatelli, F., Quantifying the Benefits of Location Interoperability in the European Union, EUR 31004 EN, Europeiska unionens publikationsbyrå, Luxemburg, 2022, ISBN 978-92-76-48846-0, doi:10.2760/72064, JRC127330. 7 Förslag till Europaparlamentets och rådets förordning om åtgärder för en hög nivå av interoperabilitet inom den offentliga sektorn i hela unionen (akten om ett interoperabelt Europa) (COM[2022] 720). 8 Europeiska kommissionen, Impact Assessment Report (SWD[2022]721 final), s. 49.
(byggblocken).9 Beräkningen är emellertid inte avgränsad till enbart ökad interoperabilitet.
Förbättrad kärnverksamhet
Den offentliga förvaltningen behöver dela data för att utföra uppgifter i kärnverksamheterna. Det handlar bl.a. om att dela data inom ramen för ärendehandläggning, för uppgiftsskyldigheter och för samverkan. Genom våra förslag ges förutsättningar att standardisera hur data utbyts, vilket förenklar för myndigheter och andra aktörer inom offentlig förvaltning att utföra sina kärnverksamheter. Interoperabilitet innebär att mindre fokus behöver läggas på kostsamma processer för att etablera nya tjänster för datautbyte eller på manuell hantering av data. I situationer när data redan i dag får delas kommer det att bli lättare att dela data som kan användas i verksamheterna. Minskad manuell hantering av data och minskad resursåtgång för att etablera nya tjänster kommer att frigöra resurser som kan användas till myndigheternas kärnverksamheter.
En mer sammanhållen förvaltning
Våra förslag förbättrar förutsättningarna för en mer sammanhållen förvaltning. Interoperabilitet innebär att offentlig förvaltning på ett enklare sätt kan kommunicera digitalt. Det gäller såväl digital kommunikation inom förvaltningen, dvs. mellan två myndigheter, som kommunikation mellan förvaltningen och medborgare eller företag. Förslagen ger förutsättningar för att minska obehövlig variation mellan olika myndigheter i deras val av exempelvis tekniska lösningar för datadelning. Det kommer att bli lättare att dela data om förutsättningarna för datadelningen redan är kända.
Nätverkseffekter leder till att nyttorna ökar i takt med att fler använder de nationella interoperabilitetslösningarna. För varje ny myndighet eller annan aktör inom offentlig förvaltning som använder en lösning ökar värdet för förvaltningen som helhet. För att illustrera nätverkseffekten kan man i korthet säga att de två första myndigheterna som använder en interoperabilitetslösning kommer kunna dela data
9 Riksrevisionen, Digitala tjänster till privatpersoner – stora utvecklingsmöjligheter för statliga myn-
digheter (RiR 2023:6), s. 62.
sinsemellan. För den tredje som börjar använda interoperabilitetslösningen, finns det redan två myndigheter som denne kan enkelt dela data med. På så vis fortsätter nätverkseffekten. För den tjugonde myndigheten eller aktören som börjar använda interoperabilitetslösningen finns redan ett stort antal myndigheter och andra aktörer som denne kan dela data med. Incitamenten för att använda en interoperabilitetslösning ökar alltså för varje myndighet och annan aktör som använder lösningen.
Det kommer därmed att finnas bättre förutsättningar att tillhandahålla och ta del av data från fler myndigheter och andra aktörer. Det innebär också att värdet av en sammanhållen offentlig förvaltning kommer att öka för varje ny myndighet och annan aktör som använder interoperabilitetslösningarna, och nätverkseffekter kommer att vara en drivkraft för myndigheterna att ansluta sig. Genom att använda de nationella interoperabilitetslösningarna får myndigheter och andra aktörer tillgång till den övriga förvaltningen.
Ökad datadelning och tillämpning av principen om en uppgift en gång
Om det blir lättare att dela data kan det leda till att datadelningen inom förvaltningen och med förvaltningen ökar. Detta eftersom vissa trösklar för att dela data sänks. Den ökade styrningen ger också bättre förutsättningar för den offentliga förvaltningen att tillämpa principen om en uppgift en gång. Medborgare och företag kommer då att behöva lämna samma uppgifter till förvaltningen i mindre omfattning än i dag och uppgifterna kommer att hämtas av myndigheter från bästa källan.
Ökad automatisering och mindre manuell hantering
Våra förslag lägger grunden för styrning som kan leda till att automatiseringen i den offentliga förvaltningen kan öka och att behovet av manuell hantering av uppgifter kan minska, t.ex. vid rapportering från kommuner till statliga myndigheter.
Ökad tillit och säkerhet
Bristande tillit till hur andra hanterar information från en myndighet kan utgöra hinder för myndigheten att dela data, vid exempelvis osäkerhet kring följderna av aggregering och ackumulering av data. Själva uppgiften med att stärka myndigheternas förmåga att bedriva ett systematiskt informationssäkerhetsarbete, och därigenom kunna skydda information på rätt sätt, ligger utanför utredningens uppdrag. Förslaget att låta Myndigheten för samhällsskydd och beredskap utreda om adekvata, gemensamma och koordinerade skyddsnivåer, eller andra lämpliga säkerhetsåtgärder kan användas vid datadelning anser vi på sikt kommer att ge förvaltningen bättre verktyg för att öka tilliten och säkerheten vid datadelning.
Påverkan på upphandlingar och mindre inlåsning
Den framtida styrningen av interoperabilitet väntas på sikt få konsekvenser för upphandlingar som den offentliga förvaltningen genomför. När myndigheter upphandlar system som ska kunna dela data måste dessa system vara förenliga med de framtida interoperabilitetslösningar som Digg har meddelat föreskrifter om. Även rekommenderade lösningar kommer troligen att påverka upphandlingar eftersom många myndigheter kommer att vilja upphandla system som möjliggör användning till av dessa lösningar.
Vidare bedömer vi att förslagen på sikt kommer att minska risken för inlåsning i system. Ju fler nationella lösningar som tas fram och som implementeras i förvaltningens system eller tjänster, desto lättare kommer det vara att byta system. Detta eftersom systemen, när det kommer till datadelning, kommer att vara anpassade till samma grundförutsättningar. Om Digg t.ex. väljer att föreskriva om att data i vissa situationer ska delas genom API:er och i vissa format, så ska de system eller tjänster som upphandlas möjliggöra att föreskrifterna följs.
Bättre kunskap och möjligheter till vidareutveckling
Det arbete som en implementering av interoperabilitetslösningar innebär kommer inte bara leda till kostnader och direkta nyttor utan även till ökad kunskap om den egna organisationen – både avseende vilken
information som finns och hur data är strukturerade och används. Sådan kunskap och även det tillvägagångssätt som används vid en implementering, kan på sikt användas för fortsatt utveckling av den egna verksamheten.
Nyttor för företag och enskilda
De beskrivna nyttorna för den offentliga förvaltningen kommer också att komma företag och enskilda till del. Den förväntade konsekvensen att förslagen leder till förbättrad kärnverksamhet hos den offentliga förvaltningen, innebär att myndigheter och andra aktörer inom förvaltningen kan fullgöra sina uppdrag bättre, vilket kommer företag och enskilda till del. En större tillgång till data bidrar till utveckling av smarta tjänster och produkter, ökad transparens och kunskap om offentlig sektor samt förbättringar av befintliga tjänster inom t.ex. transport eller sjukvård.
På sikt är en förväntad konsekvens av ökad interoperabilitet vid datadelning att företag och enskilda inte behöver lämna samma uppgifter flera gånger till olika myndigheter inom den offentliga förvaltningen. Uppgiftslämnarbördan för företag och enskilda förväntas således minska.
I Tyskland, som är ett av EU:s medlemsländer med lägst grad av interoperabilitet, beräknas enligt Europeiska kommissionen ytterligare digitalisering av offentliga tjänster kunna spara 80 miljoner timmar per år för invånare, upp till 1 miljard euro för företag och 64 miljoner timmar av administration i offentlig sektor.10 Det är förenat med stor osäkerhet att jämföra potentiella effekter i olika länder eftersom förutsättningarna ser olika ut. Men om siffrorna justeras utifrån antalet invånare i Sverige skulle invånarna här kunna spara sammanlagt 10 miljoner timmar per år.11 Med bättre tillgång till data av högre kvalitet kan handläggningen av ärenden hos den offentliga förvaltningen effektiviseras, bl.a. genom ökad automatisering. Beslut som avser företag och enskilda kan fattas snabbare och bli mer enhetliga eller likformiga.
10 Europeiska kommissionen, Impact Assessment Report (SWD[2022] 721 final), s. 15. 11 Enligt Eurostat hade år 2022 Tyskland 83.24 miljoner invånare och Sverige 10.45, vilket innebär att Tyskland hade cirka 8 gånger fler invånare än Sverige, https://ec.europa.eu/eurostat/web/interactive-publications/demography-2023 (hämtad 2023-11-15).
11.4. Konsekvenser i form av kostnader
Kostnaderna för våra förslag kommer huvudsakligen att uppstå när den offentliga förvaltningen ska använda nationella interoperabilitetslösningar. Eftersom det blir upp till Digg att avgöra vilka nationella interoperabilitetslösningar som ska användas, är det inte i dagsläget klart vilka krav som kommer att gälla för den offentliga förvaltningen vid datadelning. Vi har emellertid kunnat göra vissa antaganden om vilka lösningar som kan bli nationella interoperabilitetslösningar, vilket vi beskriver i kapitel 9. Våra antaganden baseras bl.a. på samtal med Digg samt på vilka lösningar i form av vägledningar, rekommendationer och specifikationer som redan nu finns framtagna och som har potential att inom relativt kort tid göras nationella.
11.4.1. Kostnader för användning av nationella interoperabilitetslösningar
Kostnaderna för att använda nationella interoperabilitetslösningar kan delas in i implementerings- respektive driftskostnader. Implementeringskostnaderna är att betrakta som engångsostnader för det förändringsarbete som tillämpningen kommer att kräva. Driftkostnaderna är de löpande kostnaderna som organisationen har för att bibehålla förändringen.
Myndigheter och andra aktörer inom förvaltningen behöver kartlägga sina arbetssätt och system för att därefter ta fram en styrmodell bestående av både styrande dokumentation och arbetssätt för att säkra efterlevnaden av regelverket över tid. Även detta väntas leda till kostnader eftersom verksamheten behöver anpassas.
Beroende på vilken interoperabilitetslösning det rör sig om, bedömer vi att implementeringskostnaderna kommer att minska för varje implementering. Det gäller exempelvis för tekniska och semantiska lösningar eftersom mindre tid kommer att krävas för att förstå lösningen samt eftersom organisationens erfarenhet från tidigare implementeringar bör leda till att kommande implementeringar kan genomföras mer effektivt.
Vår bedömning är att fördelarna för offentlig förvaltning med att använda nationella interoperabilitetslösningar är många. I stället för att varje myndighet eller annan aktör utvecklar egna lösningar finns framtagna interoperabilitetslösningar som kan användas. I viss mån
kan kostnaderna för att använda dem således minska – i jämförelse med att utveckla egna lösningar eller upphandla lösningar från externa aktörer. Både tidsåtgång och kostnader kan minska och det möjliggör även utveckling av ny teknik och bättre lösningar.
Ett räkneexempel
Inom ramen för Ena-samarbetet har en REST API-profil tagits fram under ledning av Digg. Profilen syftar till att låta myndigheter, kommuner och regioner ta fram API:er på ett effektivare sätt som utgår från s.k. bästa praxis och krav som tydligt beskriver vad som ska, kan och bör göras. Enligt Digg bidrar användning av profilen till en högre standard och kvalitet på API:erna, både på dokumentationen och själva API:et.12 Profilen beskrivs i kapitel 4. Digg har uppgett att detta är en av de lösningar som myndigheten kan komma att rekommendera eller meddela föreskrifter om.
Kostnaden för att använda profilen vid datadelningen påverkas av många faktorer. Exempel på sådana faktorer är om existerande API:er ska förändras eller om myndigheten helt saknar erfarenhet av att dela data genom API:er över huvud taget. Kostnaden påverkas också av om myndigheten har egen personal som kan utföra arbetet eller om den måste anlita konsulter.
Bolagsverket, som har moderniserat sina befintliga API:er genom att använda profilen, har uppgett att det tekniska införandet tog cirka 50 timmar i anspråk.13 Enligt vår bedömning kan emellertid den tid som krävs skilja sig åt mellan olika myndigheter och andra aktörer beroende på vilka förutsättningar de har. Givet en genomsnittlig månadslön om 44 500 kronor för den typ av resurser som krävs innebär Bolagsverkets uppskattning en kostnad om cirka 19 000 kronor.14Denna kostnad bedöms vara lågt beräknad. Vi bedömer att kostnaderna för vissa myndigheter och andra aktörer kan vara betydligt
12 https://www.digg.se/om-oss/nyheter/nyheter/2022-07-12-rest-api-profil-okar-kvalitetenpa-apier (hämtad 2023-11-13). 13 Myndigheten uppskattade att inläsning på profilen tog cirka 20 timmar och utveckling cirka 30 timmar. 14 Enligt SCB lönesök är genomsnittslönen för it-arkitekt/systemanalytiker inom offentlig sektor 44 500 kronor. Under antagandet om 160 timmar arbete på en månad, samt att personalomkostnadspålägget enligt SKR:s data 2022 i snitt var 39,25 procent för kommuner och regioner, innebär det en kostnad á (44 500 × 1,3925)/160 = 387,2890625 kronor/timme. Då blir den totala kostnaden utifrån antagandet om 50 arbetstimmar 387,2890625 × 50 = 19 364,453125 kronor.
högre, kanske så hög som 200 000 kronor. Bolagsverket har dock bedömt att det inte finns någon betydande ökning av kostnaderna för att upprätthålla API:et efter implementeringen jämfört med tidigare API. Mot bakgrund av att kostnaderna kan skilja sig så pass mycket åt mellan olika myndigheter och andra aktörer bedömer vi att det inte låter sig göras att i detta läge beräkna eventuell kostnad för hela den offentliga förvaltningen.
Bolagsverket bedömer själva att de har en hög digital mognad. Implementering eller uppdatering av teknisk interoperabilitet kan innebära en lägre kostnad hos mer mogna organisationer. Vi bedömer att den digitala mognaden är mer relevant för kostnaderna än vilken slags organisation det rör sig om. Det är således mindre relevant om det rör sig om exempelvis en statlig myndighet, kommun eller region. Detta exempel avser dock enbart REST API-profilen. Kostnaderna kan se helt annorlunda ut för andra interoperabilitetslösningar.
11.4.2. Digg ska utreda kostnader som följer av nationella interoperabilitetslösningar
Innan Digg meddelar föreskrifter om nationella interoperabilitetslösningar ska myndigheten, i enlighet med konsekvensutredningsförordningen (2007:1244), utreda och redovisa konsekvenserna.
Genom den styrningsmodell som vi föreslår kan Digg rekommendera användning av nationella interoperabilitetslösningar eller göra användningen obligatorisk genom föreskrifter. Denna modell kommer att ge Digg goda förutsättningar att utreda konsekvenserna av att en specifik lösning skulle bli obligatorisk att använda. Digg bör utreda konsekvenserna av en lösning även innan den rekommenderas. Under tiden som den rekommenderade lösningen används i någon del av förvaltningen kan Digg genom kontakter med de myndigheter och andra aktörer i offentlig förvaltning som använder lösningen få underlag inför bedömningen av om lösningen bör bli obligatorisk för hela förvaltningen. Digg kan exempelvis få god inblick i vilka nyttor lösningen har bidragit till hos dem som har använt den, vilka kostnader den har medfört, om kostnaderna är högre eller lägre än om lösningen inte hade använts samt om lösningen behöver ändras innan den blir obligatorisk.
11.4.3. Hur kan ökade kostnader finansieras?
Om en tvingande nationell interoperabilitetslösning leder till ökade kostnader för den offentliga förvaltningen kan det finnas behov av finansiering av kostnaderna. Vår bedömning är visserligen att den ökade styrningen av den offentliga förvaltningens interoperabilitet på sikt kommer att leda till minskade kostnader och andra nyttor som överväger kostnaderna. Tidsperspektivet för när minskningen av kostnaderna och nyttorna realiseras kan däremot i vissa fall vara långt. Nyttorna kan också, som vi beskriver i kapitel 4, uppstå hos en annan myndighet eller aktör i förvaltningen än den som behöver göra investeringen. Våra förslag innebär i sig inga högre kostnader för förvaltningen i sin helhet, annat än för Digg. Men eftersom framtida nationella interoperabilitetslösningar som blir obligatoriska kan komma att göra det, ser vi det som viktigt att redan nu behandla frågan om hur eventuella kostnadsökningar kan finansieras. Det ska inte vara Diggs ansvar att ensamt säkerställa att formerna för eventuell finansiering finns på plats innan myndigheten meddelar föreskrifter.
Det finns olika möjligheter att finansiera eventuellt ökade kostnader som följer av tvingande förvaltningsgemensamma interoperabilitetslösningar. Möjligheterna till finansiering av ökade kostnader för kommuner och regioner behandlas i avsnitt 11.5.4 nedan.
Vad gäller ökade kostnader för statliga myndigheter tillämpas den s.k. lånemodellen. Den innebär att statliga myndigheter som huvudregel ska finansiera sina verksamhetsinvesteringar med lån i Riksgälden. Verksamhetsinvesteringar är anläggningstillgångar som används i statens verksamhet, exempelvis it-system eller kontorsutrustning.15Låneramen för respektive statlig myndighet fastställs av regeringen i myndighetens regleringsbrev. För det fall att användning av nationella interoperabilitetslösningar leder till ökade kostnader för en statlig myndighet bör det finansieras genom utökning av myndighetens låneram. Ett skäl som talar för denna modell är att statliga myndigheter kan ha olika förutsättningar för att använda lösningarna, vilken också kan leda till att kostnaderna skiljer sig åt mellan myndigheterna.
15 https://forum.esv.se/redovisning-och-finansiering/lan-och-rantekonto/vara-finansieringav-verksamhetsinvesteringar/ (hämtad 2023-10-20).
11.5. Konsekvenser för kommuner och regioner
Våra förslag innebär större konsekvenser för kommuner och regioner än för statliga myndigheter, utifrån den aspekten att de genom förslagen kommer att styras mer inom digitaliseringsområdet än statliga myndigheter jämfört med dagens situation. I kapitel 3 och 6 redogör vi för det förvaltningspolitiska målet och för vissa åtgärder som har vidtagits av regeringen avseende statliga myndigheter. Alla verksamheter hos kommuner och regioner som delar data med myndigheter och andra aktörer i offentlig förvaltning berörs av förslagen.
I detta avsnitt ger vi några exempel på kvantifiering av nyttor med interoperabilitetslösningar samt redovisar resonemang om beräkningar och finansiering. Digg kommer vid framtagandet av en interoperabilitetslösning behöva analysera även nyttorna för att kunna väga dessa mot de förväntade kostnaderna.
I avsnittet berörs konsekvenser för kommuner och regioner. Konsekvenserna är enligt vår bedömning snarlika för kommunalförbund och kommunala bolag, vilka ävenledes omfattas av våra förslag. Således gäller det vi skriver om kommuner och regioner i detta avsnitt i allt väsentligt också för kommunalförbund och kommunala bolag.
11.5.1. Nyttor för kommuner och regioner
En förbättrad interoperabilitet vid datadelning leder till ett stort antal nyttor för hela den offentliga förvaltningen och för medborgare, vilka vi har beskrivit i avsnitt 11.3. Dessa nyttor avser alltså även kommuner och regioner. För dessa finns också större nyttor i form av förenklad kärnverksamhet genom effektivisering, förenklad teknisk utveckling och förenklat uppgiftslämnande än för statliga myndigheter. Dessa nyttor, för respektive kommun och region, bildar i sin tur en aggregerad nytta för hela den offentliga förvaltningen. Vi beskriver dessa nyttor nedan.
Förbättrad kärnverksamhet
Obligatoriska interoperabilitetslösningar kommer ge kommuner och regioner möjlighet att bedriva en effektivare verksamhet på så vis att inhämtning och rapportering av data, som sker rutinmässigt i verk-
samheterna, kommer att förenklas. Det är dock svårt att i dagsläget uppskatta omfattningen av effektiviseringen eller att veta vilka kommuner, regioner eller delar av dessa som kommer att kunna effektivisera verksamheterna och därmed kunna uppnå direkta besparingar relativt omgående.
Förenklad teknisk utveckling
Genom tydlig styrning av vilka krav som gäller vid datadelning kommer arbetet med teknisk utveckling att förenklas för kommuner och regioner. Det kommer att vara tydligt för kommunerna och regionerna vilka nationella interoperabilitetslösningar som är rekommenderade av Digg eller bindande genom föreskrift samt vilka nationella interoperabilitetslösningar som är planerade att tas fram. Detta möjliggör för kommuner och regioner att planera samt prioritera sin tekniska utveckling och det blir tydligt vilka krav som kommer att gälla.
Enklare att lämna uppgifter
Rapporteringen från kommuner och regioner till statliga myndigheter är omfattande, tidskrävande och innefattar många gånger manuella inslag. Kommuner och regioner besvarar årligen många enkäter och lämnar stora mängder av uppgifter till statliga myndigheter. Statskontoret har konstaterat att det uppstår onödiga merkostnader som beror på att insamlingarna inte är tillräckligt samordnade, är bristfälligt digitaliserade, sker ofta samt gäller detaljerade uppgifter eller totalundersökningar.16 Statskontoret bedömer i samma rapport att det finns en stor potential i att frigöra resurser genom att staten i större utsträckning tar tillvara digitaliseringens möjligheter när den samlar in uppgifter från kommuner och regioner.
Sveriges kommuner och landsting (SKL) (nuvarande Sveriges kommuner och regioner) bedömde 2015 att kommunerna då medverkade i mer än 700 rapporteringsinsamlingar årligen och lade mellan 800 000 och 900 000 timmar per år på rapportering.17 Kostnaden för detta uppskattades till drygt 600 miljoner kronor årligen. Den stora kost-
16 Statskontoret, Administrativa kostnader i kommunsektorn – En analys av statens styrning av
kommuner och regioner (2022:9), s. 19.
17 Sveriges kommuner och Landsting, Automatiserad informations-/dataöverföring, 5 mars 2015.
naden antogs bero på omfattande manuella processer. Vi bedömer att mängden uppgifter som ska rapporteras från kommuner inte har minskat sedan 2015, utan snarare har ökat.
Region Östergötland har påbörjat ett arbete med automatisering av sin datarapportering, i synnerhet av den rapportering som sker till SKR. Inom ramen för arbetet har regionen bedömt att tidsåtgången för de processer som innefattar manuellt arbete varierar mellan allt från 15 minuter till 100 timmar.
Räkenskapssammandraget (härefter RS) är en årlig insamling av ekonomiska uppgifter från Sveriges samtliga kommuner och regioner. Syftet med sammandraget är att på kommun- och riksnivå få tillförlitlig information om kommunernas ekonomi. SCB är ansvarig myndighet för räkenskapssammandraget som genomförs genom att kommunerna fyller i en Excelfil som skickas eller laddas upp på SCB:s hemsida. I en rapport från Statskontoret framkommer att räkenskapssammandraget hade en genomsnittlig svarstid på över 100 timmar per kommun 2021.18 Solna kommun inledde 2019 i samverkan med SCB och ett flertal andra kommuner ett arbete med översyn av rapporteringen i räkenskapssammandraget. I arbetet ingick att fastställa ett antal begreppsdefinitioner för att sedan säkerställa att dessa definitioner återspeglades i den egna redovisningen. Därtill arbetade kommunen med att säkerställa att det är möjligt att översätta den egna kontoplanen till strukturen i räkenskapssammandraget. Arbetet resulterade i ett nytt arbetssätt som minskade timmarna som lades på sammandraget väsentligt, från uppskattade cirka 100 timmar till åtta timmar. Andra nyttor som har kunnat realiseras är bl.a. att den kvartalsvisa rapporteringen har effektiviserats, att den löpande analysförmågan har förbättrats och att kvaliteten har ökat vilket inneburit att bokslut kan genomföras mer effektivt. Den förbättrade kvaliteten har även inneburit att SCB inte behöver genomföra ett lika omfattande arbete för att kontrollera de data som rapporteras.
Solna kommuns uppskattning att antalet timmar som krävs för inrapportering till RS är 100 timmar, ligger i linje med Statskontorets uppskattning. Det innebär sammanlagt 31 000 timmar årligen för 290 kommuner och 20 regioner.19
18 Statskontoret, Administrativa kostnader i kommunsektorn – En analys av statens styrning av
kommuner och regioner (2022:9), s. 28.
19 Gotland är kommun men med regionsuppgifter och regionalt utvecklingsansvar.
Riksrevisionen konstaterar i en rapport att det vanligen är redovisningsansvarig funktion som ansvarar för kommunens arbete med RS.20Den genomsnittliga lönekostnaden för redovisningsekonomer innebär att kostnaden beräknas uppgå till totalt cirka 8,9 miljoner kronor för alla kommuner och regioner tillsammans.21 Åtgärder i enlighet med Solna kommun, som leder till en minskning från 100 timmar till 8 timmar, kan leda till besparingar på sammanlagt cirka 8,2 miljoner för kommunerna och regionerna.
Dessa exempel illustrerar potentialen i en förbättrad interoperabilitet vad gäller besparingar till följd av minskat behov av manuell hantering. Det finns tveklöst fler rapporteringskrav som i dagsläget innefattar manuell hantering som skulle kunna minskas avsevärt genom förbättrad interoperabilitet, exempelvis genom användning av API:er i enlighet med en fastslagen profil eller öppen källkod. Det möjliggör en högre grad av automatisering och rapportering maskin-till-maskin. Tidsbesparingarna kan frigöra resurser för kommunernas olika verksamhetsområden.
Om statliga myndigheter använder nationella interoperabilitetslösningar för datainsamling behöver kommunerna och regionerna inte göra individuella anpassningar för varje utbytesprocess, för de delar som omfattas av de nationella interoperabilitetslösningarna. Hur stor potentialen faktiskt är går inte att fastställa med säkerhet i nuläget, men utifrån beräkningarna av SKR år 2015 skulle en 10-procentig effektivisering innebära en tidsbesparing på 80 000–90 000 timmar. Dåvarande SKL beräknade att minskat antal timmar sammanlagt motsvarade 60 miljoner kronor, dvs. cirka 75 miljoner kronor i dagens penningvärde årligen, för alla kommuner och regioner tillsammans.
11.5.2. Kostnader för kommuner och regioner
Kostnaderna för att implementera och använda nationella interoperabilitetslösningar kommer att skilja sig åt beroende på vilken slags lösning det rör sig om. Som framgår av avsnitt 11.1 är vår bedömning att den digitala mognaden hos respektive organisation påverkar kost-
20 Riksrevisionen, Räkenskapssammandraget som underlag för kommunjämförelser – är kostnads-
måtten tillförlitliga? (RiR 2018:23), s. 14.
21 Den genomsnittliga lönen år 2022 för en redovisningsekonom inom offentlig sektor är 33 000 kronor enligt SCB:s lönesök. Vidare var personalomkostnadspålägget enligt SKR:s data 2022 i snitt 39,25 procent för kommuner och regioner. Kostnaden per timme blir därför 287,2 kronor ([33 000 / 160] × 1,3925 = 287,2).
naderna och att den digitala mognaden är mer relevant än vilken form som organisationen har, t.ex. statlig myndighet, kommun eller region. Utifrån räkneexemplet i avsnitt 11.4.1 när det gäller REST API-profilen kan kostnaden för kommuner och regioner således variera från 19 000 kronor upp till 200 000 kronor, om profilen ska användas.
Exempel på skolområdet
Ett annat sätt att beräkna kostnader som relaterar till digitalisering kan hämtas från Skolverket. Myndigheten driver sedan 2017 ett arbete för att digitalisera de nationella proven. Myndigheten har översiktligt räknat på de årliga kostnaderna som relaterar till teknik för kommunala skolhuvudmän vid en implementering av de digitala nationella proven.22 Myndigheten har delat in skolhuvudmännen efter storlek och, givet denna fördelning, räknat på att en digitalisering av de nationella proven innebär en årlig teknikrelaterad kostnad om sammanlagt 20 miljoner kronor för kommunerna.23 Indelningen av huvudmän utifrån storlek innefattar antaganden om antalet systemadministratörer som behöver vara i tjänst för omställningen. Utöver dessa kostnader beskriver Skolverket i sin konsekvensutredning att det kan tillkomma kostnader för t.ex. support eller installation av specifik programvara. Därtill nämns att det kommer att uppstå kostnader för bl.a. inlärning av nya arbetssätt och processer, översyn och ändringar av den fysiska miljön samt för att säkerställa tillgång till tillräckligt hög internetkapacitet. Myndigheten bedömer vidare att digitaliseringen av de nationella proven kommer att medföra en minskad arbetsbörda för administration, rättning och inrapportering för skolpersonal samt minskade materialbehov. Skolverkets sammantagna bedömning är att besparingarna (nyttorna) motsvarar eller överstiger kostnaderna för att anpassa sig till de lösningar som kommer att bli obligatoriska att använda.
22 Skolverket, Konsekvensutredning avseende förslag till föreskrifter om hantering och genom-
förandet av digitala nationella prov (Dnr 2023:885).
23 En mycket liten huvudman (upp till 5 000 invånare) (sex procent av kommunerna) beräknas ha kostnader om cirka 12 400 kronor. En liten huvudman (5 001–20 000 invånare) (52 procent av kommunerna) beräknas ha kostnader om cirka 33 600 kronor. En mellanstor huvudman (20 001–200 000 invånare) (41 procent av kommunerna) beräknas ha kostnader om cirka 199 400 kronor och en stor huvudman (201 000 invånare eller fler) (en procent av kommunerna) kostnader om cirka 472 000 kronor.
11.5.3. Den kommunala självstyrelsen
Vi behandlar den kommunala självstyrelsen i kapitel 5. Enligt 14 kap. 3 § regeringsformen bör en inskränkning i den kommunala självstyrelsen inte gå utöver vad som är nödvändigt med hänsyn till de ändamål som har föranlett den.
Den kommunala självstyrelsen inskränks genom våra förslag genom att kommuner och regioner kommer att vara skyldiga att använda sådana nationella interoperabilitetslösningar som Digg får meddela föreskrifter om. Kraven i de nationella interoperabilitetslösningarna kommer att avse sådant som kommuner och regioner i dag beslutar själva. Det som omfattas av kommande föreskrifter från Digg kan kommunen eller regionen således inte längre själv besluta om.
Eftersom inskränkningar i det kommunala självstyret inte får gå utöver vad som är nödvändigt med hänsyn till de ändamål som har föranlett inskränkningen behöver vi motivera varför våra förslag är nödvändiga.
En utgångspunkt för våra förslag är att nyttan med interoperabel datadelning, där gemensamma krav vid datadelning efterlevs, blir större ju fler myndigheter och andra aktörer i offentlig förvaltning som följer samma krav. Den offentliga förvaltningen har digitaliserats under flera decennier utan förvaltningsgemensam styrning. Det har resulterat i bristande interoperabilitet, som vi redovisar i kapitel 4. Eftersom kommuner och regioner är centrala myndigheter inom den offentliga förvaltningen är det viktigt att även de ingår i den förvaltningsgemensamma styrningen. Våra förslag innebär tydliga nyttor för alla de verksamhetsområden som kommuner och regioner ansvarar för (se mer om nyttor i kapitel 4). Bördan av att rapportera uppgifter manuellt kommer att minska avsevärt, och kärnverksamheten och den tekniska utvecklingen kan förenklas, vilket våra exempel visar.
Vi har övervägt om mindre ingripande åtgärder än styrning genom lag och myndighetsföreskrifter skulle ge önskat resultat. Sådana åtgärder skulle exempelvis kunna vara enbart rekommendationer från Digg om nationella interoperabilitetslösningar. Vi bedömer emellertid att svagare styrning och mindre ingripande åtgärder än de vi föreslår inte skulle leda till den standardisering av datadelning som krävs för att komma till rätta med de samhällsutmaningar Sverige står inför. Inskränkningen i den kommunala självstyrelsen är således helt nödvändig för att realisera nyttorna.
Den styrning som vi föreslår genom lag, förordning och myndighetsföreskrifter är proportionerlig eftersom mindre ingripande åtgärder i form av styrning som är frivillig att följa har visat sig inte leda till godtagbara nivåer av interoperabilitet. Det är därför angeläget att den offentliga förvaltningen kan styras genom tvingande bestämmelser. Dessutom möjliggör modellen en gradvis upptrappning av kraven på interoperabilitet vid datadelning. Som vi har beskrivit i avsnitt 11.5.1 kommer kommuner och regioner gradvis att kunna anpassa sin befintliga tekniska utveckling till kommande krav. Vidare säkerställer den modell för samarbete och inhämtande av yttranden vid framtagande av nationella interoperabilitetslösningar att kommuners och regioners behov och synpunkter löpande beaktas under framtagandet av kraven. Detta säkerställer i sin tur att kommunerna och regionerna har goda förutsättningar att använda de nationella interoperabilitetslösningar som kommer att rekommenderas eller bli bindande genom föreskrifter.
Vi anser därför att våra förslag om inskränkning i den kommunala självstyrelsen är förenliga med kraven i regeringsformen.
11.5.4. Finansiering för kommuner och regioner
Att föreslå nya åligganden för kommuner och regioner innebär att frågan om finansiering för dessa åligganden aktualiseras. I detta avsnitt redogör vi för finansieringsprincipen och hur vi anser att finansiering av de nya åtagandena ska tas om hand. En viktig aspekt är att de åligganden som vi föreslår i allt väsentligt är hänförliga till den befintliga tekniska utveckling som ändå måste ske.
Vi vill också understryka att de åtgärder som vidtas för att uppnå interoperabilitet vid datadelning bör betraktas som investeringar, där nyttan på sikt vida kommer att överstiga de initiala kostnaderna, vilka kan liknas med en så kallad ”puckelkostnad”. Även om detta förhållande inte i sig ändrar frågan om finansieringsprincipens tillämplighet så anser vi att den samhällsekonomiska nyttan med våra förslag ska beaktas.
Finansieringsprincipen
Enligt finansieringsprincipen ska staten inte ålägga kommuner och regioner nya uppgifter utan att ge dem adekvat finansiering, vilket innebär att statliga reformer varken ska vara under- eller överfinansierade.24 Kommuner och regioner ska få möjlighet att finansiera nya åligganden med annat än höjda skatter.25 Principen tillämpas om staten ger kommuner och regioner nya uppgifter, avvecklar uppgifter eller ändrar ambitionsnivåer eller regler för befintliga åtaganden. Den ska tillämpas för hela kommunsektorn och gäller när riksdag, regering eller myndighet fattar bindande beslut om ändrade regler för verksamheten.26 Enligt principen bör staten anvisa hur kostnadskrävande förändringar ska finansieras. Vanligtvis finansieras nya åligganden genom att det generella statsbidraget höjs.
Finansieringsprincipen är inte lagfäst men tillämpas sedan 1993. Den formulerades när den offentliga förvaltningen, precis som i dag, hade ett behov av att kunna utbyta information, men i en tid då medlen och den teknik som stods till buds för att utbyta information hade långt ifrån den kapacitet som finns i dag.
Principen omfattar dock enbart statligt beslutade åtgärder som direkt tar sikte på den kommunala verksamheten.27 Principen omfattar inte statliga åtgärder som inte direkt tar sikte på, men som ändå får direkta ekonomiska effekter för kommunsektorn. Konsekvenserna av sådana åtgärder ska däremot beaktas vid den samhällsekonomiska bedömning som görs av det skattefinansierade utrymmet i samband med fastställandet av statsbidragsramen.28
Kravet på att använda nationella interoperabilitetslösningar gäller för hela den offentliga förvaltningen och enligt vår definition av offentlig förvaltning ingår då kommuner och regioner. Förslaget innebär således ett nytt åliggande för dem. Finansieringsprincipen tillämpas bl.a. för nya åligganden inom en sektor, även om det finns fler myndigheter och andra aktörer än kommuner eller regioner som agerar i sektorn.29 Att principen alltid ska tillämpas när kretsen som omfattas av åliggandena är bredare än enbart kommuner och regioner är emeller-
24 Riksrevisionen, Den kommunala finansieringsprincipen – tillämpas den ändamålsenligt? (RIR 2018:8), s. 16. 25Prop. 1991/92:150 del II s. 22. 26Prop. 1993/94:150 Bilaga 7 s. 30–33. 27Prop. 1993/94:150 Bilaga 7 s. 30. 28Prop. 1993/94:150 Bilaga 7 s. 33. 29 För exempel från skolväsendet, se t.ex. prop. 2017/18:195 s. 75–76.
tid enligt vår bedömning inte helt självklart. Regeringen har i ett antal propositioner avseende förslag om att införa nya åligganden för offentlig sektor30, offentliga aktörer31 eller samtliga myndigheter32 (kommuner och regioner omfattas av samtliga begrepp) gjort olika bedömningar avseende om finansieringsprincipen ska tillämpas eller inte, t.ex. vid införandet av lagen (2022:818) om den offentliga sektorns tillgängliggörande av data (öppna datalagen). Det går således att argumentera för att finansieringsprincipen inte är tillämplig för detta åliggande. I det följande utgår vi emellertid från att finansieringsprincipen är tillämplig på de förslag som vi lämnar.
Finansiering för tekniska förändringar
De åligganden som vi föreslår för kommuner och regioner tar i stor utsträckning sikte på teknisk utveckling. Det finns anledning att belysa detta utifrån att finansieringsprincipen inte tillämpas vid förändrade intäkter eller kostnader för kommunerna till följd av tekniska förändringar, vilket framgår av Finansdepartementets s.k. budgetcirkulär.33
Den tekniska utvecklingen i samhället innebär att även den offentliga förvaltningen måste göra tekniska förändringar i sina verksamheter. En teknisk förändring skulle exempelvis kunna sägas vara för handen när antalet olika standarder för datadelning blir så stort och svårhanterligt att åtgärder behöver vidtas för att reducera dem, för att kommuner och regioner ska kunna dela data effektivt med andra myndigheter och med enskilda och därmed efterleva generella krav i befintliga författningar.
Digitaliseringen av alla delar av samhället innebär såväl nya möjligheter som nya skyldigheter för kommuner och regioner. Exempelvis kan delar av verksamheten effektiviseras och automatiseras vilket leder till besparingar. Å andra sidan kräver digitaliseringen åtgärder som inte hade gjort sig gällande på samma sätt i en rent analog förvaltning. Exempelvis krävs åtgärder för att skydda informationssystem och data (it-säkerhet och informationssäkerhet) samt åtgärder för att
30 Se prop 2017/18 :153 s. 45 och prop. 2021/22:225 s. 68. 31 Se prop. 2017/18:299 s. 80. 32 Se prop. 2021/22:276 s. 135. 33 Se också https://skr.se/skr/ekonomijuridik/ekonomi/prognoserplaneringbudget/finansieringsprincip en/finansieringsprincipenfordjupning.70993.html (hämtad 2023-11-17).
kunna använda data på ett effektivt och lagenligt sätt (såsom digital arkivering och tillgängliggörande enligt öppna data-lagen).
Vi vill här understryka att förmågan att dela information i digitala format redan utgör en klar och tydlig förväntan på kommuner och regioner för att effektivt kunna utföra den verksamhet som de är ålagda enligt gällande rätt. Det kan konstateras att det redan ur befintliga författningar kan utläsas ett åliggande för kommuner och regioner att kunna dela data med andra myndigheter och med enskilda. De generellt tillämpliga författningar ur vilka ett sådant åliggande kan utläsas är förvaltningslagen, offentlighets- och sekretesslagen och arkivlagen. Därutöver finns speciallagstiftning avseende olika typer av ärenden, vars handläggning förutsätter delning av information, som exempelvis plan- och bygglagen (2010:900). I avsnitt 11.2 ovan finns en närmare redogörelse för dessa bestämmelser. Vidare medför lagreglerade krav på serviceskyldighet m.m. att medborgare förväntar sig att kommuner och regioner anpassar sin verksamhet utifrån tekniska förändringar. De nationella interoperabilitetslösningarna tar i sin tur enbart sikte på hur denna datadelning, som kommuner och regioner redan förväntas göra, ska gå till.
Mot bakgrund av den samhällsövergripande digitaliseringen finns det anledning att ifrågasätta vilka åtgärder på digitaliseringens område som faktiskt kan anses gå utöver vad som krävs med anledning av den tekniska utvecklingen överlag i samhället. Enligt det resonemanget bör åtgärder och nya krav som följer av nya tekniska möjligheter endast undantagsvis och i mycket speciella fall omfattas av finansieringsprincipen. När datadelning som krävs eller förväntas av den offentliga förvaltningen försvåras av exempelvis framväxten av olika standarder och taxonomier, bildar det ett hinder för en rationell hantering av data i förvaltningen. Åtgärder som motverkar detta, i form av standardiserade krav, bör i allt väsentligt anses ingå i vad som krävs med anledning av den tekniska utvecklingen.
Ett exempel i den riktningen är att regeringen ansåg att finansieringsprincipen inte blir tillämplig när det gäller bedömningen i propositionen om införandet av ett digitaliserat provsystem för landets skolor.34 Bedömningen att nationella prov ska genomföras digitalt är enligt regeringen en följd av tekniska förändringar och den tekniska utvecklingen i samhället. Vidare ansåg regeringen att skolor behöver
anpassa sig till den tekniska utvecklingen av fler skäl än för att genomföra de nationella proven.35
Fördelningen mellan stat, kommun och region
Statlig finansiering kan enligt finansieringsprincipen endast komma i fråga för nationella interoperabilitetslösningar som går utöver åtgärder som kommuner och regioner ändå hade behövt vidta till följd av tekniska förändringar och krav i befintliga författningar. Vi menar att de nya åligganden som införs för kommuner och regioner i allt väsentligt kommer vara hänförliga till teknisk utveckling.
Därför ska endast en mindre del av kommunernas och regionernas kostnader finansieras genom statliga bidrag. Kostnaderna bör således i allt väsentligt ligga på kommunerna och regionerna.
Den sedvanliga ordningen för finansiering
Om finansieringsprincipen ska tillämpas på införandet av tvingande nationella interoperabilitetslösningar för kommuner och regioner, finns det två ordningar för hur finansiering kan säkerställas. Den sedvanliga ordningen för finansieringsprincipen är att nya åligganden ska finansieras vid införandet, och att principen inte ska tillämpas retroaktivt. Beräkningar av kostnader som ska finansieras enligt principen ska således vara genomförda innan ett införande om åliggandet beslutas.
Om finansieringsprincipen tillämpas enligt den sedvanliga ordningen anser vi att det behövs ett konkret exempel att utgå från vid uppskattningen av summan. Här menar vi att de digitala nationella proven kan tjäna som exempel och utgångspunkt eftersom de digitala nationella proven medför tekniska krav som kan jämföras med krav som kommer följa av nationella interoperabilitetslösningar.
I fallet med de digitala nationella proven rör det sig om krav angående överföringen av användaruppgifter, anslutningen till en identitetsfederation samt krav på en inloggningstjänst och e-legitimation för landets samtliga kommuner. Skolverket har i sin konsekvensutred-
ning36 uppskattat att samtliga kommunala skolors kostnader för tekniska åtgärder kommer uppgå till cirka 20 miljoner kronor. Vi menar att den summan kan användas även som en på förhand uppskattad finansiering för kommunernas och regionernas genomförande av samtliga obligatoriska, nationella interoperabilitetslösningar. Uppskattningen avser kostnader för vilka statsbidrag bör ges under det första året då obligatoriska nationella interoperabilitetslösningar finns på plats. Summan avser endast den del av kommunernas och regionernas kostnader som i enlighet med resonemangen ovan inte beror på den tekniska utvecklingen i samhället och som därför ska omfattas av finansieringsprincipen. Kommunernas och regionernas totala kostnader för att använda nationella interoperabilitetslösningar kommer med all sannolikhet vara många gånger större än denna summa.
En alternativ ordning för finansiering
För det fall finansieringsprincipen tillämpas kan emellertid ett avsteg från den sedvanliga ordningen övervägas. Det är osäkert om vissa interoperabilitetslösningar medför kostnader samt hur stora de i så fall kommer att vara. Det är då lämpligt att tillämpa en annan ordning för finansieringen som bygger på existerande författningar avseende konsekvensutredningar och på medgivande från regeringen avseende vissa beslut om föreskrifter.
Enligt förordningen (2007:1244) om konsekvensutredning vid regelgivning ska en myndighet innan den beslutar föreskrifter utreda föreskrifternas kostnadsmässiga och andra konsekvenser i den omfattning som behövs. Om föreskrifterna kan få effekter för kommuner eller regioner ska konsekvensutredningen innehålla en redogörelse för de överväganden som myndigheten gjort enligt 14 kap. 3 § RF. Detta innebär att Digg ska utreda bl.a. kostnader och särskilt redogöra för överväganden avseende den kommunala självstyrelsen.
Enligt förordningen (2014:570) om regeringens medgivande till beslut om vissa föreskrifter ska en förvaltningsmyndighet inhämta medgivande från regeringen innan myndigheten beslutar föreskrifter som vid tillämpningen kan få sådana effekter på kostnader för staten, kommuner eller regioner som inte är oväsentliga. Om Digg bedömer
36 Skolverket, Konsekvensutredning avseende förslag till föreskrifter om hantering och genom-
förandet av digitala nationella prov (Dnr 2023:885).
att föreskrifter om nationella interoperabilitetslösningar kan få sådana effekter ska myndigheten alltså inhämta medgivande från regeringen innan föreskrifterna beslutas.
Eventuella behov av finansiering för kommuner och regioner avseende användning av en tvingande interoperabilitetslösning skulle vid tillämpningen av denna ordning behöva hanteras löpande i den årliga, statliga budgetprocessen. Det innebär att Digg i samband med framtagandet av föreskrifter, vid tillämpningen av denna ordning, behöver beräkna kostnaderna för kommuner och regioner. Om Digg bedömer att kostnaderna inte kan hänföras till teknisk utveckling och att finansieringsprincipen ska tillämpas, behöver myndigheten inkomma med underlag till Regeringskansliet som sedan hanteras inom ramen för budgetprocessen.
Omfördelning i den statliga budgeten
Oaktat vilken ordning för finansieringen som väljs, behöver en omfördelning ske i den statliga budgeten för att skapa utrymme för finansieringen. Omfördelningen kan ske på flera olika sätt.
Finansiering kan ske genom att en del av det generella kommunala statsbidraget, utgiftsområde 25, anslag 1:1 Kommunalekonomisk utjämning, får bekosta tillämpningen av obligatoriska interoperabilitetslösningar.
Finansiering kan också ske genom en omfördelning från utgiftsområde 22 Kommunikationer. Närmare bestämt genom att medel omfördelas från anslaget 1:1 Utveckling av statens transportinfrastruktur till utgiftsområde 25, anslaget 1:1 Kommunalekonomisk utjämning 2.
Finansiering kan även ske genom en minskning av anslagen för de statliga myndigheter som har störst it-budget. Detta kan te sig rimligt eftersom det kan förmodas att dessa myndigheter på sikt kommer ha stor nytta av ökad interoperabilitet. Minskningen skulle exempelvis kunna motsvara en procent av respektive myndighets it-budget.
11.6. Konsekvenser för företag
Våra förslag ställer krav på den offentliga förvaltningen, varav kommunala bolag utgör en del. Dessa bolag kommer att påverkas av förslagen i likhet med myndigheterna i förvaltningen. De kommer att bli tvungna att använda de nationella interoperabilitetslösningar som Digg får föreskriva om. Även andra företag kommer emellertid på sikt att påverkas av våra förslag, när nationella interoperabilitetslösningar används av den offentliga förvaltningen. Förslagen leder till en mer homogen offentlig förvaltning när det gäller datadelning, vilket vi bedömer har positiva konsekvenser för företag. Förslagen väntas vidare leda till en mer effektiv offentlig förvaltning som kan tillämpa principen om en uppgift en gång (once only principle) i större utsträckning än i dag. Det kommer att leda till att företag inte kommer att behöva lämna samma uppgift flera gånger till den offentliga förvaltningen lika ofta som i dag. Det i sin tur kan frigöra resurser hos företag som i dagsläget behöver lämna samma uppgift till olika myndigheter. Vi bedömer att en kontrollerad uppgift hos en myndighet troligen kommer att gå snabbare att inhämta från myndigheten än att be det aktuella företaget om att lämna uppgiften.
Förslagen kommer på sikt att leda till att företag som använder data från olika källor inom den offentliga förvaltningen kommer att behöva göra färre anpassningar till respektive källa.
Systemleverantörer
En kategori företag som kommer att påverkas av de nationella interoperabilitetslösningarna är företag som levererar system till den offentliga förvaltningen. Vi har inte kunnat få fram statistik över hur många företag det rör sig om eller hur många system som levereras till förvaltningen. För att systemen ska kunna användas för datadelning i den offentliga förvaltningen måste de utvecklas i enlighet med relevanta inteoperabilitetslösningar. Systemleverantörer kan därför förvänta sig att den offentliga förvaltningen vid upphandling kommer att ställa krav i enlighet med lösningarna. Våra förslag förväntas leda till att det blir lättare att leverera system till förvaltningen i och med att förutsättningarna blir tydligare, med mindre variationer och med mer långsiktighet. Företag som säljer system till förvaltningen kommer att ha tydligare specifikationer och liknande krav att förhålla sig till.
Marknaden kommer bli mer homogen genom att hela den offentliga förvaltningen kommer att ställa samma krav på sina leverantörer, vilket innebär att leverantörer som använder interoperabilitetslösningarna får en större marknad att erbjuda sina system till. Samtidigt kan företag som säljer system som inte är förenliga med de nationella interoperabilitetslösningarna inte räkna med att kunna sälja dessa till den offentliga förvaltningen framöver, om de ska användas för datadelning.
I kapitel 4 konstaterar vi att det i den offentliga förvaltningen finns inlåsningar, dvs. att myndigheter och andra aktörer inom förvaltningen blir låsta till att använda ett visst system och att det är förenat med stora svårigheter och kostnader att byta system. Systemleverantörer som tillämpar en affärsmodell som innefattar inlåsning kommer att påverkas av interoperabilitetsstyrningen eftersom ett syftena med styrningen är att förvaltningen inte ska låsas in i specifika system eller lösningar.
Privata utförare
Företag som utför sådana tjänster där det finns både offentliga och privata utförare kommer indirekt att påverkas av förslagen. Som exempel kan nämnas företag inom hälso- och sjukvården och inom skolväsendet. Dessa aktörer omfattas inte av förslagen men vår bedömning är att den offentliga förvaltningen kommer att använda de nationella interoperabilitetslösningarna även vid datadelning med dessa aktörer. Som vi beskriver i kapitel 9 ska dessutom den sektorspecifika interoperabilitetsregleringen, som kan omfatta även privata utförare, vara förenlig med regleringen på förvaltningsgemensam nivå. Sektorspecifika interoperabilitetslösningar ska således utgå från de nationella lösningarna. Privata utförare kommer således på sikt att behöva anpassa sig till de nationella interoperabilitetslösningarna.
11.7. Konsekvenser för sysselsättningen
Våra förslag får inga direkta konsekvenser för sysselsättningen. Däremot kan det inte uteslutas att framtida interoperabilitetslösningar som tas fram av Digg får konsekvenser för sysselsättningen. Vi bedömer emellertid att det i dagsläget inte är möjligt att med något mått
av exakthet bedöma om, och i så fall hur, sysselsättningen kan komma att påverkas av dessa lösningar.
11.8. Konsekvenser för jämställdheten mellan män och kvinnor
Statistik från SCB visar på små skillnader mellan män och kvinnor i användningen av myndigheters webbplatser och olika offentliga digitala tjänster.37 Statistik för år 2022 visar exempelvis att 20 procent av kvinnor i åldern 16–85 respektive 23 procent av männen i samma åldersgrupp har fått tillgång till information från offentliga databaser eller register. 61 procent av kvinnorna och 61 procent av männen har fått tillgång till information som lagras om dem själva, t.ex. om pension eller hälsa. Ungefär nio av tio personer i åldern 16–85 år använder internet i stort sett varje dag utan signifikanta skillnader mellan kvinnor och män.38 Framtida nationella interoperabilitetslösningar som tas fram av Digg bedöms komma att påverka enskilda, bl.a. genom förbättrad digital service från den offentliga förvaltningen. Eftersom skillnaderna mellan män och kvinnor vad gäller användning av myndigheters offentliga webbplatser och offentliga digitala tjänster är små, bedömer vi utifrån nuvarande kunskapsläge att våra förslag inte får konsekvenser för jämställdheten mellan män och kvinnor i egenskap av mottagare av digital service från den offentliga förvaltningen (dvs. inte i egenskap av arbetstagare).
I kommuner var det 792 600 anställda 2022 och i regioner 283 100, tre av fyra anställda var kvinnor.39 Fördelningen mellan män och kvinnor skiljer sig åt mellan yrkesgrupper. Våra förslag kommer inte att påverka fördelningen eller jämställdheten i övrigt inom den offentliga förvaltningen. Framtida nationella interoperabilitetslösningar kan emellertid på sikt påverka olika arbetsuppgifter inom förvaltningen. Beroende på hur fördelningen mellan kvinnor och män ser ut som utför arbetsuppgiften, kan kvinnor och män komma att påverkas olika.
37 https://www.scb.se/hitta-statistik/statistik-efteramne/levnadsforhallanden/levnadsforhallanden/befolkningens-it-anvandning/pong/tabelloch-diagram/andel-personer-som-anvant-myndigheters-webbplatser-efteranvandningsomrade. 38 https://www.scb.se/contentassets/a3faa0cdf5c44382a8343eb4a2e3df04/le0108_2020a01_br _lebr2001.pdf (s. 9–10). 39 https://skr.se/download/18.3a0a1c2218723106f76136e6/1680095405576/Personalen-ivalfarden-2022.pdf.
11.9. Konsekvenser för att nå de integrationspolitiska målen
Vi bedömer att våra förslag inte får några konsekvenser för det integrationspolitiska målet.
11.10. Konsekvenser för brottsbekämpning och brottsförebyggande arbete
Våra förslag väntas på sikt ge bättre förutsättningar även för att dela data som har relevans för brottsbekämpning och brottsförebyggande arbete. Ett behov av ökat informationsutbyte för att förebygga och bekämpa brott har konstaterats av ett flertal utredningar, som även har lämnat förslag till hur de rättsliga förutsättningarna för att dela data i dessa syften kan förbättras.40 Förslag till hur datadelningen ska bli interoperabel saknas däremot. Användning av nationella interoperabilitetslösningar underlättar den faktiska datadelningen, och eftersom lösningarna ska användas av hela förvaltningen kommer de även att gagna det brottsbekämpande och brottsförebyggande arbetet.
11.11. Konsekvenser för den personliga integriteten
Våra förslag innebär inte några nya skyldigheter för offentlig förvaltning att dela data och kommer därför inte att medföra någon ny behandling av personuppgifter. Inte heller kommer de nationella lösningar som tas fram och blir bindande med stöd av vår lag och förordning kunna medföra några nya skyldigheter att dela data. När data ska eller får delas regleras alltså även fortsättningsvis av annan lagstiftning än den lag och förordning som vi föreslår. Att personuppgifter ska behandlas i förenlighet med EU:s dataskyddsförordning41 och anslutande nationell reglering förtydligas även genom 2 § andra stycket i den lag vi föreslår som anger att lagen inte påverkar tillämpningen av bestämmelser i någon annan lag eller förordning
40 Se exempelvis Utökat informationsutbyte (Ds 2022:13) och Ökat informationsflöde till brotts-
bekämpningen – En ny huvudregel (SOU 2023:69).
41 Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning).
om skyddet av personuppgifter. Våra förslag har således inga direkta konsekvenser för den personliga integriteten.
En konsekvens av våra förslag är att datadelningen inom och med den offentliga förvaltningen på sikt ökar eftersom förutsättningarna för att dela data förbättras. Det kan innebära att även personuppgifter delas till fler myndigheter och andra aktörer inom offentlig förvaltning än vad som är möjligt i dag på grund av bristande interoperabilitet.
De nationella interoperabilitetslösningar som tas fram med stöd av den lag och förordning som vi föreslår kan även ha påverkan på den personliga integriteten på så vis att kraven i lösningarna kan medföra förändringar i hur data, inbegripet personuppgifter, delas. Våra förslag kan exempelvis leda till att data som redan delas kan delas genom användning av annan teknik än den som används i dag, om krav på de tekniska förutsättningarna blir gällande i en föreskrift. Detsamma gäller exempelvis semantik, såsom begrepp, där begreppen som används kan behöva ändras eller där definitionerna av använda begrepp ändras. I linje med vad vi tidigare har påpekat kommer emellertid även detta att bero på vilka nationella interoperabilitetslösningar som Digg tar fram.
Det är därför viktigt att Digg noga analyserar om de interoperabilitetslösningar som myndigheten tar fram får några konsekvenser för den personliga integriteten. Digg kommer inte att vara den myndighet som behandlar personuppgifterna men om vissa interoperabilitetslösningar leder, eller kan leda till, behandling av fler personuppgifter inom förvaltningen är det viktigt att Digg säkerställer att den aktuella lösningen är utformad på ett sådant sätt att behandlingen kan ske i enlighet med regelverket om dataskydd och informationssäkerhet.
Nationella interoperabilitetslösningar kan ge myndigheter stöd i att leva upp till kraven i EU:s dataskyddförordning på inbyggt dataskydd och dataskydd som standard och därigenom ha positiva konsekvenser för den personliga integriteten.42
Vid användning av nationella interoperabilitetslösningar är det alltjämt den myndighet eller annan aktör inom offentlig förvaltning som ska behandla personuppgifter och därmed är personuppgiftsansvarig som ansvarar för att behandlingen är laglig och sker i förenlighet med dataskyddsförordningen och anslutande nationell reglering. Digg kom-
42 Artikel 25 dataskyddsförordningen.
mer därför att behöva vara lyhörd inför andra myndigheters behov vad gäller skyddet för personuppgifter och informationssäkerhet när nationella interoperabilitetslösningar utformas.
I viss utsträckning kan det bli fråga om att personuppgifter behandlas med anledning av de uppgifter för Digg som innebär samråd i framtagandet och remittering av nationella interoperabilitetslösningar. Enligt vår bedömning har sådan behandling av personuppgifter ingen betydande påverkan på den personliga integriteten.
11.12. Förslagens överensstämmelse med de skyldigheter som följer av Sveriges anslutning till Europeiska unionen
Förhållandet mellan nationell kompetens och EU:s kompetens redogörs för i kapitel 5. Vår bedömning att medlemsstaterna har utrymme att reglera interoperabilitet redovisas i kapitel 6. Där framgår att medlemsstaterna har utrymme att reglera sina nationella offentliga förvaltningar, i den mån EU-reglering saknas. Det faller inom medlemsstaternas kompetens att organisera och styra sina egna offentliga förvaltningar, även om organisationen och styrningen kan påverkas av EU-rätten och i vissa avseenden också styras på EU-nivå. Det område vi reglerar genom våra förslag regleras endast delvis genom EU-lagstiftning. Det finns på EU-nivå inga övergripande bestämmelser om hur medlemsstaternas offentliga förvaltningar ska dela data på det sätt som våra förslag gör. Sammantaget är vår bedömning att våra förslag är förenliga med EU-rätten, inklusive kommissionens förslag till interoperabilitetförordning.
Den lag och de förordningar som vi föreslår utgör enligt vår bedömning inte sådana tekniska föreskrifter som behöver anmälas i enlighet med EU:s anmälningsdirektiv.43 Förslagen utgör inte heller någon form av reglering av eller krav på tjänster som behöver anmälas inom ramen för EU:s tjänstedirektiv.44 Digg behöver emellertid bedöma om myndighetens nationella interoperabilitetslösningar behöver anmälas enligt dessa direktiv.
43 Europaparlamentets och rådets direktiv (EU) 2015/1535 av den 9 september 2015 om ett informationsförfarande beträffande tekniska föreskrifter och beträffande föreskrifter för informationssamhällets tjänster (kodifiering). 44 Europaparlamentets och rådets direktiv 2006/123/EG av den 12 december 2006 om tjänster på den inre marknaden.
11.13. Konsekvenser för Digg
Digg har i dag ett övergripande uppdrag att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig.45 Myndighetens uppdrag specificeras i myndighetens instruktion, regeringsuppdrag, regleringsbrev och specialförfattningar. Våra förslag är i linje med myndighetens övergripande uppdrag men innebär att myndigheten kommer att få ett utökat uppdrag. Myndigheten arbetar redan med interoperabilitetsfrågor, bl.a. inom ramen för Ena-samarbetet.
Digg har i dag inget uppdrag att ta fram nationella interoperabilitetslösningar men kommer enligt våra förslag att få ett sådant uppdrag. Myndigheten får även andra uppdrag i syfte att skapa förvaltningsgemensam interoperabilitet. Digg har sedan myndigheten bildades samverkat med många myndigheter och andra aktörer inom den offentliga förvaltningen och har erfarenhet av att samla in behov och beskriva lägesbilder av den offentliga förvaltningens digitalisering. Den erfarenheten kommer myndigheten att kunna dra nytta av i det fortsatta interoperabilitetsarbetet. Myndigheten har även tagit fram vägledningar och rekommendationer för förvaltningen och den har således erfarenhet även av sådant arbete.
Myndighetens uppdrag utökas emellertid och vi bedömer att det kommer att krävas utökade resurser till myndigheten för att kunna genomföra uppdraget. Digg har uppskattat att myndighetens kostnader för de uppgifter vi föreslår kommer att uppgå till 35 miljoner kronor årligen. Av dessa utgör 4 miljoner kronor kostnader för tekniska system och it-drift. Övriga kostnader utgörs av 19 årsarbetskrafter som bl.a. avser systemutveckling och it-arkitekter, rättslig och analytisk kompetens, projektledning och samordning samt dataspecialister. I den beräknade kostnaden ingår också utveckling och förvaltning av nationella interoperabilitetslösningar.
Finansiering av Diggs nya uppgifter skulle kunna ske genom omfördelning av medlen för politiken för informationssamhället inom utgiftsområde 22, anslagen 2:1–7. För Diggs nya uppgifter skulle medel kunna omfördelas från anslaget 1:1 Utveckling av statens transportinfrastruktur till anslaget 2:6 Myndigheten för digital förvaltning. Dessa omfördelningar skulle endast i mycket ringa omfattning påverka möjligheterna att uppfylla syftena med anslag 1:1 då de invester-
45 1 § 1 st. förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning.
ingskostnader som anslaget bland annat ska täcka är svårprognosticerade både i tid och medelsåtgång.46
11.14. Konsekvenser för Myndigheten för samhällsskydd och beredskap
Myndigheten för samhällsskydd och beredskap (MSB) ska enligt våra förslag ges i uppdrag att utreda om adekvata, gemensamma eller koordinerade skyddsnivåer – eller andra lämpliga säkerhetsåtgärder – kan användas vid datadelning inom den offentliga förvaltningen och med den offentliga förvaltningen. MSB kommer att behöva lägga resurser på att genomföra det uppdrag som vi föreslår. Om uppdraget ges i form av ett regeringsuppdrag ska det tillföras särskilda medel.
MSB förväntas vidare ha en central roll i framtagandet av nationella interoperabilitetslösningar för att bevaka frågor om informationssäkerhet och skydd av Sveriges säkerhet. Vi bedömer dock att finansiering av deltagandet kan ske inom befintligt ramanslag.
46 Se Säker och kostnadseffektiv it-drift – förslag till varaktiga former för samordnad statlig it-drift, (SOU 2021:97), s. 413 f.
12. Författningskommentar
12.1. Förslaget till lag om den offentliga förvaltningens interoperabilitet
Inledande bestämmelser
1 § I denna lag finns bestämmelser om interoperabilitet vid datadelning.
Lagen ska tillämpas av den offentliga förvaltningen vid datadelning. Med den offentliga förvaltningen avses statliga myndigheter, kommuner, regioner, kommunalförbund och kommunala bolag.
Med kommunala bolag avses sådana bolag som omfattas av 2 kap. 3 § offentlighets- och sekretesslagen (2009:400).
Paragrafen anger lagens innehåll och klargör när lagen ska tillämpas. Den anger också vilka som ska tillämpa lagen. Övervägandena finns i avsnitt 9.4.
I första stycket anges att lagen innehåller bestämmelser om interoperabilitet vid datadelning. Vad som i denna lag avses med datadelning och interoperabilitet vid datadelning framgår av 3 §. Den datadelning som lagen ska tillämpas på är den som är återkommande, systematisk eller som endast sker vid enstaka tillfällen men då är mer omfattande.
I andra stycket anges att det är offentlig förvaltning som ska tilllämpa lagen vid datadelning. Det anges även att det i denna lag är statliga myndigheter, kommuner, regioner, kommunalförbund och kommunala bolag som ingår i offentlig förvaltning.
I tredje stycket anges att det är de bolag som omfattas av 2 kap. 3 § OSL som avses med kommunala bolag.
Offentlig förvaltning har ett stort behov av en gemensam och sammanhållen styrning för att skapa interoperabilitet. Nyttan av att använda interoperabilitetslösningar ökar ju fler som använder dem, vilket innebär en så kallad nätverkseffekt. Interoperabilitetsösningarna syftar till att förbättra interoperabiliteten för all verksamhet i den
offentliga förvaltningen, oavsett i vilken form den bedrivs. För att styrningen ska få avsedd nytta och effekt omfattas en bred krets myndigheter och andra aktörer av lagen. Kommunalförbund och kommunala bolag omfattas av lagen och därmed av kravet på att använda nationella interoperabilitetslösningar. Privata företag kommer inte att omfattas av kravet på att använda nationella interoperabilitetslösningar. Den offentliga förvaltningen ska dock ställa krav på att dessa lösningar används när den genomför upphandlingar.
2 § Denna lag påverkar inte tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data, eller som begränsar en sådan rätt.
Lagen påverkar inte heller tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter.
Paragrafen anger hur lagen förhåller sig till författningar som reglerar tillgång till data, till exempel offentlighets- och sekretesslagen (2009:400). Övervägandena finns i avsnitt 9.4.2.
Av första stycket framgår att lagen inte påverkar tillämpningen av bestämmelser i någon annan lag eller förordning som ger någon rätt att få tillgång till data eller som begränsar en sådan rätt. Lagen kan alltså inte åberopas som grund för att data ska delas. Vad som i denna lag avses med data framgår av 3 §. Det saknar betydelse att en lag eller förordning som reglerar rätten till tillgång eller begränsningar i sådan rätt använder en annan term än data för att beskriva den information som omfattas av den författningen. Med lag eller förordning avses även direkt tillämpliga EU-rättsakter. Lagen medför inte heller en skyldighet att dela data i digitala format.
Av andra stycket framgår att lagen inte påverkar tillämpningen av bestämmelser i någon annan lag eller förordning om skyddet av personuppgifter. Sådana bestämmelser finns bl.a. i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) och i anslutande nationell reglering. Samtliga bestämmelser i sådan reglering som rör skyddet av personuppgifter ska tillämpas utan påverkan av förevarande lag. En bestämmelse som syftar till att skydda en enskilds personliga integritet kan vara av sådan art att den inte ställer upp ett absolut hinder mot tillgång men påverkar denna rätt på annat sätt. Det kan exem-
pelvis finnas hinder mot att tillgängliggöra en personuppgift digitalt om det saknas lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda uppgiften.
Ord och uttryck i lagen
3 § I lagen avses med
data: information i digitalt format oberoende av medium, datadelning: att tillhandahålla data eller ta del av data, interoperabilitet vid datadelning: förmågan att tillhandahålla eller ta del
av data genom informationssystem som interagerar med varandra,
interoperabilitetslösning: en återanvändbar resurs som avser rättsliga, orga-
nisatoriska, semantiska eller tekniska krav, såsom konceptuella ramverk, riktlinjer, referensarkitekturer, tekniska specifikationer, standarder, tjänster och applikationer, samt dokumenterade tekniska komponenter, såsom källkod, som syftar till att uppnå interoperabilitet vid datadelning,
nationell interoperabilitetslösning: interoperabilitetslösning som är gemen-
sam för den offentliga förvaltningen.
Paragrafen innehåller en lista med ett antal ord och uttryck som används i lagen. Övervägandena finns i avsnitt 9.5.
Med data avses information i digitalt format oberoende av medium. I lagen används uttrycket data som samlingsbegrepp för att beskriva all information som omfattas av tillämpningsområdet. Uttrycket har en vidsträckt innebörd och omfattar allt informationsbärande digitalt innehåll, även metadata och rådata, oavsett om det lagras på ett medium eller endast existerar momentant. Det saknar betydelse om innehållet är läsbart för det mänskliga ögat eller om det endast kan uttolkas maskin-till-maskin. Information på pappershandlingar omfattas inte av uttrycket data. Uttrycket har samma innebörd som i lagen (2022:818) om den offentliga sektorns tillgängliggörande av data (öppna datalagen).
Med datadelning avses att tillhandahålla data eller ta del av data. Uttrycket datadelning innebär i denna lag således både att dela med sig av data och att ta del av data. Datadelning kan till exempel ske på grund av att en myndighet har en uppgiftsskyldighet, på grund av uppgiftsutbyte inom ärendehantering eller någon annan form av informationsförsörjning. Uttrycket datadelning i denna lag har ett bredare tillämpningsområde än exempelvis tillgängliggörande för vidareutnyttjande enligt öppna datalagen. När information görs tillgänglig för att användas i myndigheters verksamheter, som inte är konkurrensut-
satta, är öppna datalagen inte tillämplig eftersom sådant utbyte av information inte utgör ett vidareutnyttjande (se 1 kap. 8 § andra stycket 1 i öppna datalagen och även SOU 2020:55, s. 395). Uttrycket tillhandahållande används även i definitionen av begreppet datadelning i EU:s dataförvaltningsförordning (artikel 2.10).
Om en myndighet eller en annan aktör inom den offentliga förvaltningen endast tillhandahåller tekniska lösningar för att förmedla data mellan andra myndigheter inom förvaltningen, utan att själv ta del av den data som förmedlas, är det inte datadelning enligt denna lag (jfr TF 2 kap. 13 §). Så är exempelvis fallet vid användning av så kallat eget utrymme (se prop. 2016/17:198 och eSam, Eget utrymme hos en myndighet – En vidareutveckling – 2021).
Med interoperabilitet vid datadelning avses förmågan att tillhandahålla eller ta del av data genom informationssystem som interagerar med varandra. Med uttrycket förmågan avses förmågan hos de myndigheter och andra aktörer som ingår i offentlig förvaltning enligt 1 § andra stycket. Uttrycket omfattar samtliga lager av interoperabilitet, dvs. tekniska, semantiska, rättsliga och organisatoriska aspekter. Delning av data sker genom informationssystem (it-system) som interagerar med varandra. Definitionen omfattar datadelning mellan flera myndigheter eller andra aktörer inom offentlig förvaltning och när offentlig förvaltning tillhandahåller data till en privat aktör.
Med interoperabilitetslösning menas en återanvändbar resurs som avser rättsliga, organisatoriska, semantiska eller tekniska krav, såsom konceptuella ramverk, riktlinjer, referensarkitekturer, tekniska specifikationer, standarder, tjänster och applikationer, samt dokumenterade tekniska komponenter, såsom källkod, som syftar till att uppnå interoperabilitet vid datadelning. Sådana lösningar är till exempel maskinläsbara format, såsom JSON, och olika gränssnitt till exempel ett API. De tjänster som avses kan exempelvis vara olika former av s.k. växeltjänster, dvs. tjänster som växlar från ett format till ett annat. En tjänst kan även vara ett API. Däremot avses inte s.k. e-tjänster eller sådana tjänster som tillhandahålls av en statlig myndighet som anropas från en annan aktör inom den offentliga förvaltningen, såsom Bolagsverkets tjänst Mina ombud eller Diggs tjänster Säker digital kommunikation (SDK) och Digital post. Även om sådana tjänster i och för sig underlättar datadelning inom den offentliga förvaltningen, så utgör de inte sådana generellt återanvändbara resurser som avser förmågan att tillhandahålla eller ta del av data genom informations-
system som interagerar med varandra. Begreppet har i allt väsentligt samma innebörd som i EU:s kommande interoperabilitetsförordning.
Med en nationell interoperabilitetslösning avses en interoperabilitetslösning som är gemensam för offentlig förvaltning. Lösningen används av myndigheter och andra aktörer i offentlig förvaltning, således även mellan sektorer samt områden med olika förvaltningsregleringar och bör utgå från behoven hos förvaltningen. Styrningen inom olika sektorer behöver utgå från de nationella interoperabilitetslösningarna och kan vara mer detaljerad. Digg får föreskriva om nationella interoperabilitetslösningar enligt bemyndigande i den anslutande förordning som vi föreslår och lösningarna bli då obligatoriska att använda till skillnad från om Digg i stället väljer att rekommendera interoperabilitetslösningar.
Listan med ord och uttryck i lagen är inte uttömmande.
Nationella interoperabilitetslösningar
4 § Den offentliga förvaltningen ska vid datadelning använda nationella interoperabilitetslösningar enligt föreskrifter som har meddelats med stöd av 5 §.
Första stycket ska inte tillämpas för de data som omfattas av datadelningen om det är olämpligt med hänsyn till krav på informationssäkerhet eller krav på skydd av Sveriges säkerhet.
Paragrafen anger att nationella interoperabilitetslösningar, som blir bindande genom myndighetsföreskrifter, är obligatoriska att använda för den offentliga förvaltningen när de tillhandahåller eller tar del av data. Övervägandena finns i avsnitt 9.6.1.
Av första stycket framgår att det är en skyldighet för offentlig förvaltning att använda sådana nationella interoperabilitetslösningar som anges i föreskrifter.
Andra stycket innehåller ett undantag av vilket det framgår att
offentlig förvaltning inte är skyldig att använda de nationella interoperabilitetslösningar som anges i föreskrift, om det är olämpligt för de data som omfattas av datadelningen med hänsyn till krav på informationssäkerhet eller krav på skydd av Sveriges säkerhet. Regleringen motiveras av att det kan finnas säkerhetsaspekter som innebär att data inte får eller bör delas på vissa sätt. Även om säkerhetsaspekter givetvis ska beaktas redan när nationella interoperabilitetslösningar tas fram måste varje myndighet och andra aktörer som omfattas av
lagen vid datadelning beakta de unika behov av säkerhetsskydd som kan finnas för olika data. Aggregering och ackumulering av data kan också ställa andra eller särskilda krav på säkerhetslösningar.
Bemyndigande
5 § Regeringen eller den myndighet regeringen bestämmer får meddela föreskrifter om nationella interoperabilitetslösningar.
Paragrafen anger att föreskrifter om nationella interoperabilitetslösningar får meddelas av regeringen eller den myndighet som regeringen bestämmer. Övervägandena finns i avsnitt 9.6.2.
Bemyndigandet i lagen avser möjligheten att meddela föreskrifter om vilka nationella interoperabilitetslösningar som ska användas av offentlig förvaltning vid datadelning. Bemyndigandet är brett och kan exempelvis avse både att bestämma att vissa gränssnitt, såsom API:er, ska användas samt att en viss API-profil ska användas, till exempel REST API-profil.
Bemyndigandet är placerat i lag eftersom det är en förutsättning för att skyldigheten ska gälla för kommuner, kommunalförbund, regioner och kommunala bolag.
Ikraftträdande
Denna lag träder i kraft den 1 januari 2025.
Kommittédirektiv 2022:118
Utvecklad reglering och styrning av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer
Beslut vid regeringssammanträde den 14 juli 2022
Sammanfattning
En särskild utredare ska analysera befintlig styrning och reglering av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer. Utredaren ska utifrån analysen föreslå om och hur styrning och reglering av interoperabilitet bör och kan utvecklas. Syftet är att öka den offentliga förvaltningens förmåga att samverka digitalt genom att dela data på ett effektivt och säkert sätt samtidigt som den personliga integriteten värnas och säkerheten i systemen och i samhället förblir robust. Utredningsarbetet ska utgå från det arbete som Myndigheten för digital förvaltning utför när det gäller den digitala infrastrukturen Ena (Sveriges digitala infrastruktur).
Utredaren ska bl.a.
- överväga om och hur regleringen av sektorsövergripande interoperabilitet bör och kan utvecklas, om det finns ett behov av föreskriftsrätt på området och i så fall föreslå föreskriftsrättens omfattning,
- överväga hur en möjlig föreskriftsrätt bör fördelas så att det blir en effektiv samordning mellan den sektorsövergripande och sektorsspecifika nivån,
- överväga hur en effektiv styrning av interoperabilitet bör organiseras,
- överväga om det finns behov av en reglering av en förvaltningsgemensam informationsmodell,
- lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket samt tillämplig dataskyddsreglering, och
- bedöma behovet av ytterligare utredningsinsatser.
Utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess.
Uppdraget ska redovisas till Regeringskansliet (Infrastrukturdepartementet) senast den 15 december 2023.
Behovet av en utredning
Stora samhällsnyttor och effektiviseringsvinster finns att hämta om offentlig förvaltning ökar förmågan att dela data
Genom att datamängder kombineras från olika datakällor kan stora samhällsnyttor uppnås samtidigt som nya risker kan uppstå. Det finns effektiviseringsvinster att hämta i förvaltningen och inom välfärden genom utökad digital myndighetssamverkan. Cancerdiagnostiken kan t.ex. förbättras genom att bilddiagnostikdata inom mammografiområdet används för maskininlärning. Jordbruket kan bli mer hållbart om jordobservationsdata och jordbruksstatistik kan kombineras med jordbruksdata för att främja ett s.k. precisionsjordbruk. I dag är det svårt att nå dessa samhällsnyttor eftersom många offentliga datorsystem inte kan utbyta data med varandra på ett standardiserat sätt, dvs. systemen kan inte dela data på ett interoperabelt sätt.
Teknik- och samhällsutvecklingen medför behov av att den offentliga förvaltningen ökar sin förmåga att dela data på ett interoperabelt och samtidigt säkert sätt. Därigenom kan myndigheter, regioner och
kommuner effektivisera sin verksamhet och samverka för att t.ex. möta komplexa samhällsutmaningar som ökad kriminalitet och segregation, klimatomställningen eller välfärdens utveckling.
Styrning och reglering av interoperabilitet inom offentlig förvaltning behöver utvecklas
Teknikutvecklingen går snabbt och skapar nya möjligheter för offentlig förvaltning att använda metoder för datadelning som både är effektiva och rättssäkra. Det gäller t.ex. delning av stora maskinläsbara datamängder som kan användas för utveckling av artificiell intelligens och maskininlärning. I och med utvecklingen av en inre marknad för data finns behov av att myndigheter, regioner och kommuner ökar sin förmåga att dela data mellan många parter, ibland i realtid, inom ramen för ett antal europeiska dataområden.
Data behöver vara interoperabla för att kunna kombineras med andra datamängder. Något förenklat kan man säga att interoperabilitet kan uppnås genom att alla parter applicerar samma standarder för dataformat. Detta gäller för den tekniska, semantiska, organisatoriska och juridiska nivån. Interoperabilitet uppnås genom gemensamma tekniska format och specifikationer (teknisk interoperabilitet) och en gemensam modell för hur olika begrepp ska tolkas och definieras (semantisk interoperabilitet). Vidare bör det vara tydligt vilket ansvar varje aktör har över de data som de delar (organisatorisk interoperabilitet) och det bör finnas gemensamma rättsregler som styr datadelningen (juridisk interoperabilitet). För att interoperabilitet ska vara hållbar över tid krävs dessutom en organisation för styrning av interoperabilitet över tid då standarder och nya dataområden utvecklas etc. (styrning av interoperabilitet).
I dagsläget bygger etablerandet av interoperabilitet på frivilliga vägledningar, ramverk, principer och rekommendationer som förvaltas av Myndigheten för digital förvaltning inom ramen för Ena – Sveriges digitala infrastruktur.
På grund av frivilligheten krävs ofta ett omfattande arbete för myndigheter, regioner och kommuner för att förhandla och ingå avtal om delning av data baserat på gemensamma standarder för metadata, datakvalitet, ursprungsmärkning, datastruktur, dataformat, vokabulärer etc. Möjliga besparingar och effektiviseringar nås inte eftersom många digitala utvecklingsprojekt försenas eller avbryts.
I dagsläget är regleringen för hur myndigheter, regioner och kommuner ska samverka på ett effektivt sätt vad gäller interoperabel datadelning bristfällig. Ökad interoperabilitet underlättas sannolikt av en utvecklad styrning och reglering av t.ex. kravställande på gemensamma standarder vid datadelning. Därigenom kan den digitala samverkan mellan myndigheter utvecklas, besparingspotentialer och effektiviseringsvinster nås samt värdefulla datamängder delas med privata aktörer.
Nya formatkrav i öppna data-direktivet ställer krav på en sektorsövergripande reglering och styrning
Den offentliga förvaltningen står för en viktig del av produktionen av de datamängder som det digitala samhället bygger på. Den 1 augusti 2022 träder lagen (2022:818) om den offentliga sektorns tillgängliggörande av data i kraft. Den nya lagen, som genomför Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (öppna datadirektivet), ska gälla när en myndighet, ett offentligt styrt organ eller ett offentligt företag frivilligt eller med stöd i någon annan författning tillgängliggör data i syfte att de ska kunna vidareutnyttjas. I lagen införs det bl.a. krav på format. Öppna datadirektivet stipulerar dessutom att särskilt värdefulla datamängder i flera kategorier ska publiceras som öppna data. Närmare vilka datamängder som kommer att pekas ut som särskilt värdefulla avser Europeiska kommissionen att reglera i en s.k. genomförandeakt.
Både den nya lagen om den offentliga sektorns tillgängliggörande av data och genomförandeakten för öppna data kan medföra behov av kompletterande reglering gentemot myndigheter, regioner och kommuner så att dessa tillgängliggöranden kan genomföras på ett effektivt, säkert och sammanhållet sätt.
Säker och effektiv datadelning ställer krav på sektorsövergripande reglering av informationsmodell
Organisationer i den offentliga förvaltningen skyddar i dag sin information utifrån sina egna organisatoriska förutsättningar och behov. Detta kan leda till att skyddet för samma information varierar inom
den offentliga förvaltningen. Utan möjlighet att ge en gemensam inriktning för nivån på skyddet blir det svårare att säkerställa att samhällets gemensamma intresse av skydd kan omhändertas.
Myndigheten för samhällsskydd och beredskap (MSB) har i sin Infosäkkoll för 2021 visat på ”bekymmersamma brister” i stora delar av den offentliga förvaltningen (MSB:s rapport Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen – Resultatredovisning Infosäkkollen 2021). Rapporten visar att många statliga myndigheter inte lever upp till de föreskrifter som MSB införde redan 2009 och att stora delar av den offentliga förvaltningen inte arbetar systematiskt med informationssäkerhet.
Statliga myndigheter har i enlighet med 19 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap en skyldighet att se till att deras egna informationshanteringssystem uppfyller vissa grundläggande och särskilda säkerhetskrav. Av samma bestämmelse framgår att myndigheterna därvid särskilt ska beakta behovet av säkra ledningssystem. MSB har rätt att, med beaktande av nationell och internationell standard, meddela föreskrifter om sådana säkerhetskrav som avses i förordningen. Förordningen kommer att upphävas den 1 oktober 2022 när förordningen (2022:524) om statliga myndigheters beredskap träder i kraft. När det gäller dessa bestämmelser om informationshanteringssystem och MSB:s föreskrifter har dessa överförts i princip oförändrade till den nya förordningen.
En ökad förmåga att dela data inom den offentliga förvaltningen ställer högre krav på samlad informationssäkerhet. Detta kan t.ex. uppnås genom att krav ställs på gemensamma informationsmodeller som i sin tur kan stödja organisationer i offentlig förvaltning i arbetet med mer koordinerade skyddsnivåer.
Utredningsuppdraget
Allmänna utgångspunkter
Syftet med utredningen är att främja utvecklingen av en effektiv och säker digital förvaltning, förstärka möjligheterna till datadriven forskning och främja den digitala ekonomin i Sverige. Utredningsarbetet ska bedrivas i enlighet med på området relevanta strategier, ramverk, statliga uppdrag m.m. samt bidra till att förstärka Myndigheten för
digital förvaltnings arbete med den digitala infrastrukturen Ena (Sveriges digitala infrastruktur), metadata, öppna data och datadelning. Vidare ska i arbetet hänsyn tas till arkivrättslig reglering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket samt tillämplig dataskyddsreglering. Det är även viktigt att vid utformningen väga in hur förslagen påverkar näringslivet, då näringslivet ingår bland de externa aktörer som avses kunna nyttiggöra de data som blir mer tillgängliga via förslagen. Detta gäller såväl företags förutsättningar och incitament som vikten av att inte öka den administrativa bördan eller andra kostnader för företag mer än nödvändigt vare sig generellt eller inom en specifik sektor.
I enlighet med den europeiska datastrategin (COM(2020) 66 final) pågår både lagstiftningsarbete och främjandeåtgärder i syfte att etablera en inre marknad för data där interoperabilitet är ett centralt värde inom ramen för utpekade dataområden. Utredarens förslag måste vara förenliga med främjandeåtgärder och relevanta EU-rättsakter på området, t.ex. förslaget till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final, förslaget till Europaparlamentets och rådets förordning om dataförvaltning, (dataförvaltningsakten) COM(2020) 767 final, öppna datadirektivet och Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Européiska gemenskapen (Inspire), liksom anslutande nationell reglering. Det europeiska ramverket för interoperabilitet (EIF) ställer vidare sedan tidigare upp ett antal principer för hur interoperabilitet kan uppnås, vilka har legat till grund för Svenskt ramverk för digital samverkan (Svenskt ramverk för digital samverkan 1.3) som i dag förvaltas av Myndigheten för digital förvaltning.
Enligt regeringens datastrategi Data – en underutnyttjad resurs för Sverige: En strategi för ökad tillgång av data för bl.a. artificiell intelligens och digital innovation (I2021/02739) ska målet vara att Sverige ska vara en ledande datadelningsnation inom AI och digital innovation med syftet att stärka välfärden, konkurrenskraften och det robusta hållbara samhället. Finland antog som jämförelse en lag om interoperabilitet i offentlig förvaltning redan 2011. Denna lag uppdaterades 2019 till en bredare lag om informationshantering inom den offentliga förvaltningen (906/2019). Finland, Estland och Island driver tillsammans Nordic Institute for Interoperability Solutions (niis.org).
Inom forskarsamhället har de s.k. FAIR-principerna utvecklats. Principerna innebär att forskningsdata ska vara sökbara (findable), tillgängliga (accessible), interoperabla (interoperable) och återanvändningsbara (reusable). Enligt regeringens färdplan för det europeiska forskningsområdet (U2019/01576) ska offentligt finansierad forskning i Sverige uppfylla FAIR-principerna så långt som möjligt.
En utvecklad reglering och ansvarsfördelning för interoperabilitet
Det är viktigt att delning av data kan ske på ett effektivt och säkert sätt. Detta sker ofta genom att parterna använder samma standarder. I dagsläget sker styrningen av interoperabilitet inom offentlig förvaltning genom frivilliga rekommendationer och ramverk. Detta försvårar en effektiv digital samverkan mellan myndigheter och skapar långa projekttider. Detta gäller både mellan och inom olika sektorer. Att statliga myndigheter är organisatoriskt fristående och kommunsektorn självstyrande innebär, vid avsaknad av rättsregler eller annan styrning, att ingen part har mandat att bestämma villkoren för datadelning framför någon annan part. Detta kan medföra särskilda problem inom områden där tvärsektoriell datadelning behövs, men även inom olika sektorer. En ökad reglering kan sannolikt främja ökad interoperabilitet mellan olika sektorer och värdefulla datamängder. Detta kan i sin tur leda till en generellt sett högre informationssäkerhet.
För att uppnå målen i regeringens datastrategi samt för att bidra till en inre marknad för data inom EU är det viktigt att analysera behovet av en utvecklad reglering av interoperabilitet vid datadelning i syfte att göra datadelningen mer effektiv och säker. Förslag ska motiveras bl.a. utifrån samhällsekonomisk effektivitet och kostnadseffektivitet samt minimera omställningskostnader inom offentlig förvaltning.
Utredaren ska därför
- analysera hur interoperabilitet styrs och regleras i dag inom den offentliga förvaltningen och vid datadelning från den offentliga förvaltningen till externa aktörer,
- överväga om och hur regleringen av sektorsövergripande interoperabilitet bör och kan utvecklas, om det finns ett behov av föreskriftsrätt på området och i så fall föreslå föreskriftsrättens omfattning, och
- överväga hur en möjlig föreskriftsrätt bör fördelas så att det blir en effektiv samordning mellan den sektorsövergripande och sektorspecifika nivån varvid den sektorsspecifika analysen ska begränsas till de områden som utpekas i den nationella datastrategin.
Utredaren ska lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket inklusive sådan reglering som syftar till att skydda uppgifter som kan vara känsliga för företag och för personer om de sprids samt tillämplig dataskyddsreglering. Utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess.
En tydlig styrning av interoperabilitet
I Digital Government Review of Sweden – Towards a Data-driven Public Sector rekommenderar OECD regeringen att förstärka styrningen av datahanteringen i syfte att öka tillgången till data som kan främja samverkan inom offentlig sektor och stödja digital innovation i ekonomin. OECD rekommenderar regeringen att bl.a. förstärka Myndigheten för digital förvaltnings verkställighetsmakt och utveckla en nationell datainfrastruktur för att främja datadriven innovation och bättre samarbeta med specifika användargrupper (t.ex. de finansiella och hälsotekniska ekosystemen).
Myndigheten för digital förvaltning har nyligen lanserat namnet Ena som beteckning på Sveriges digitala infrastruktur. Den samlar olika förvaltningsgemensamma komponenter och etablerar mjuk infrastruktur för att information och data ska kunna utbytas på ett säkert och effektivt sätt. Inom Ena förvaltas i dag ett antal frivilliga ramverk, principer och vägledningar som bl.a. syftar till högre interoperabilitet. Även andra myndigheter har roller i styrningen av hanteringen av information och data, t.ex. Riksarkivet, Integritetsskyddsmyndigheten, MSB och Post- och telestyrelsen. MSB har en uttalad samordningsroll avseende informationssäkerhet inom Ena. Utvecklingen av Ena går dock långsamt och bygger på frivillighet. Det är
därför viktigt att över tid kunna utveckla Ena till en effektiv och säker digital infrastruktur som möjliggör interoperabilitet vid datadelning och effektiva förvaltningsgemensamma tjänster. Samtidigt måste respektive sektor ta ansvar för att utveckla de sektorsspecifika krav på interoperabilitet som behövs.
Utredaren ska därför
- överväga hur en effektiv styrning av interoperabilitet bör organiseras så att effektiva regleringar kan tas fram inom rimlig tid, och
- överväga hur regleringen av interoperabilitet bör utvecklas över tid så att nödvändig reglering kan utökas vid behov till nya sektorer eller dataområden samtidigt som samordningen mellan de olika nivåerna säkerställs.
Utredaren ska lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket, inklusive sådan reglering som syftar till att skydda uppgifter som kan vara känsliga för företag och för personer om de sprids samt tillämplig dataskyddsreglering. Utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess.
Utredaren ska även bedöma behovet av utredningsinsatser för ytterligare sektorer eller dataområden.
Sektorsövergripande reglering av informationsmodellering
Ökad interoperabilitet ställer nya krav på myndigheter, regioner och kommuner att hantera informationen på ett konsekvent och säkert sätt. Genom att utgå från gemensamma informationsmodeller kan parterna lättare koordinera t.ex. skyddsnivåer på ett sätt som gör att den samlade informationssäkerheten ökar i den offentliga förvaltningen.
Utredaren ska därför
- överväga om det finns behov av en reglering av en förvaltningsgemensam informationsmodell.
Utredaren ska lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket, inklusive sådan reglering som syftar till att skydda uppgifter som kan vara känsliga för företag och för personer om de sprids samt tillämplig dataskyddsreglering. Utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess.
Konsekvensbeskrivningar
Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för myndigheter, regioner och kommuner samt för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska särskilt ange konsekvenserna för myndigheter och företag i form av ökade kostnader och ökade administrativa bördor. I bedömningarna bör de konsekvensbeskrivningar som har gjorts avseende ovan nämnda rättsakter för data samt Lantmäteriets nyttoberäkningar angående värdefulla datamängder (Lantmäteriets dnr 2019:007157) tas i beaktande.
En inskränkning av den kommunala självstyrelsen bör inte gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning måste göras. Om något av förslagen i betänkandet påverkar den kommunala självstyrelsen ska därför, utöver förslagets konsekvenser, de särskilda avvägningar som bär upp förslaget och som motiverar inskränkningen i den kommunala självstyrelsen redovisas särskilt.
Kontakter och redovisning av uppdraget
Utredaren ska samråda med Arbetsförmedlingen, Bolagsverket, Brottsförebyggande rådet, Domstolsverket, E-hälsomyndigheten, Försvarsmakten, Försäkringskassan, Integritetsskyddsmyndigheten, Lantmäteriet, MSB, Myndigheten för digital förvaltning, Riksarkivet, Samverkansprogrammet eSam, Statistiska centralbyrån, Skatteverket, Statens skolverk, Trafikverket samt Sveriges Kommuner och Regioner.
Samråd ska ske med utredningen Hälsodata som nationellt intresse – en lagstiftning för interoperabilitet (S2022:98). Dessutom kan samråd ske med de myndigheter som har särskilda uppdrag inom ramen för regeringens datastrategi. Under arbetet ska utredaren även inhämta synpunkter från näringslivet.
Uppdraget ska redovisas till Regeringskansliet (Infrastrukturdepartementet) senast den 15 december 2023.
(Infrastrukturdepartementet)