Foreslår endringer i eForvaltningsforskriften

Fornyings- administrasjons og kirkedepartementet har sendt forslag til endringer i eForvaltningsforskriften på høring. Datatilsynet har en rekke innspill til høringen, og ønsker å bidra i det videre arbeidet med ny forskrift.

Datatilsynet mener det er positivt at det skal komme en ny postlov som også omhandler sikker elektronisk post. Samtidig mener vi at loven bør være på plass før eForvaltningsforskriften trer i kraft. Hvis ikke kan det legges uheldige føringer for prinsippene om fri kommunikasjon.

Beskriver kun teknologisk løsning

Datatilsynet savner en vurdering av forholdet mellom Altinn og den digitale postkassen i høringen. Dette er særlig aktuelt siden mange virksomheter allerede benytter Altinn i dag, og flere sier at de vil fortsette å bruke Altinn.

Høringen beskriver kun en, av flere mulige, teknologiske løsninger for å sende digital post mellom forvaltningen og borgerne. Siden det i dag allerede finnes flere løsninger for å sende elektronisk post fra forvaltningen til borgerne, mener Datatilsynet at forskriften også bør beskrive disse, samt klargjøre om forskriften kun gjelder løsningen som er beskrevet.

Uklart ansvarsforhold

Forskriften har ingen tydelig utredning av avsenders ansvar for en sending etter at den har kommet frem til den digitale postkassa. I tillegg til dette må sikkerheten til selve postkassa vurderes, ikke bare sikkerheten til kanalen frem til postkassa. 

Datatilsynet savner en tydeligere avklaring av hvem som har ansvar for informasjonssikkerheten. Som tilsynsmyndighet for personopplysningsloven, er Datatilsynet svært opptatt av reguleringen av databehandlere, og avklaring av hvem som er behandlingsansvarlig. Forskriften bør kommunisere dette tydelig.

Advarer mot ubrukte postkasser

Datatilsynet er imot den foreslåtte ordningen der det opprettes digitale postkasser for alle borgere, uavhengig om den enkelte borger ønsker en slik postkasse. Ordningen bør isteden være slik at det kun opprettes postbokser for de som ønsker det. Forvaltningen vil ikke kunne skille mellom digitale postbokser som ikke tas i bruk av eieren, såkalt latende postkasser og postkasser med aktive brukere. Det vil derfor mest sannsynlig føre til at en rekke latente postkasser fylles opp med ulike brev fra forvaltningen. Dette kan få følger både for borgeren og forvaltningen. I ytterste konsekvens kan det føre til at borgeres personopplysninger kommer på avveier uten at noen kjenner til det. Det er først og fremst myndighetenes ansvar å forhindre at dette skjer, men også å lage løsninger for å følge opp saken, dersom noe slikt skulle skje.

Avklaring av ansvar og taushetsplikt heller enn varselordning

Forskriften bør klargjøre taushetsplikten bedre enn det som er foreslått i høringen. Datatilsynet stusser på om forvaltningen kun har ansvar for selve sendingen frem til postkassa, eller om den også har ansvar for borgerens tilgang til postkassa. Postkasseleverandøren sin taushetsplikt må også vurderes i denne sammenhengen. I tillegg må det vurderes om leverandørens taushetsplikt gir tilstrekkelig informasjonssikkerhet.

Departementet foreslår at avsender får et ekstra varsel dersom mottageren ikke har åpnet et dokument. Dette kan bidra til at forvaltningen oppdager latente postkasser. Ved en slik løsning må avsenderen av brevet følge med på når borgeren åpner og leser post. Dette innebærer en type overvåking av borgerne Datatilsynet ikke kan støtte.

Om mottakers behandling er innenfor eller utenfor personopplysningslovens virkeområde må avklares før en felles digital postkasseløsning tas i bruk.

Informasjon i kontaktregisteret må begrenses

Difis registre med kontaktinformasjon og oversikt over hvem som har reservert seg mot å ha en digital postkasse, bør kun inneholde informasjon om hvem borgeren er, og hvilken digital postkasseleverandør han eller hun bruker. All annen informasjon bør kun utveksles mellom leverandøren og borgeren.

Tilbaketrekning av digitale meldinger

Datatilsynet mener at om forvaltningen skal ha mulighet til å trekke tilbake meldinger de har sendt til en digital postkasse, må det innføres på en slik måte at snoking ikke kan forekomme. Vi forutsetter samtidig at eieren av postkassa får beskjed om hva som har hendt, og får vite hvor han/hun kan få mer informasjon.

Datatilsynet ønsker å bidra i det videre arbeidet frem mot endelig forskrift.

Les:
Høringsuttalelse om eForskrift