Høringssvar fra At Work Systems AS

Vi er aksesspunkt og leverandør av fakturaflytsystemer til privat og offentlig sektor, samtidig som vi har virksomhet innenfor print/utsentelse/opppfølging av fakturaer for kunder (hvorav en betydelig andel innenfor ofentlig sektor).

Innledningsvis vil vi påpeke at det nå er teknisk mulig for "alle" virksomheter å sende EHF, slik at tekniske vanskeligheter med utsendelsen i praksis ikke bør frita for dette.

I den forbindelse vil vi også påpeke at - slik vi opplever det - det i stor grad er offentlige instanser som henger etter når det gjelder utsendelse av EHF. Dette er forsåvidt utenfor området for forskriften, men et mer tvingende krav om EHF fra mottakers side vil nødvendigvis også måtte gjelde det offentlige som utsteder. Det er viktig at det ikke gjøres unntak for andre offentlige enheter fra forskriften med tanke på å realisere en betydelig gevinst, ikke bare på "offentlig innkjøp"-siden men også i forhold til privateide bedrifter som mottar fakturaer fra offentlige enheter.

Konkret i forhold til utfordringene som er listet opp kan vi kort bemerke:

§§ 1 - 5 Det bør gjennomføres et generelt krav om PEPPOL/EHF ved offentlige innkjøp uavhengig av størrelsen på innkjøpet, fortrinnsvis via forskift og på en slik måte at det ikke er nødvendig å ta det inn i innkjøpsavtaler. Det er ingen - verken privatpersoner, bedrifter, offentlige enheter - som bør fritas for å sende EHF.

Rapporteringsplikt gir kun mening dersom det fører til forbedring eller konsekvenser. Dersom plikten gjøre "ubetinget" oppnår man resultatene og rapportering kan unnlates. Nå er det i og for seg en enkel sak (i hvertfall for oss/våre systemer) å lage slike rapporter basert på opprinnelse, men vi er usikre på om det faktisk fører til forbedring.

§6 Håndtering av fakturaer med sensitivt innhold vil innebære en stor innsparing, effektivisering og kontrollforbedring, og bør gjennomføres på lik linje med andre innkjøp. I praksis vil det være økonomisystem/fakturaflytsystem-leverandørene som må sørge for at systemene er tilrettelagt med tanke på beskyttelse av sensitiv informasjon gjennom å begrense tilgangen til dem (gjerne med GDPR som utgangspunkt). Slike systemer/løsninger er tilgjengelige i markedet (vi har selv utviklet/levert til noen kunder), de koster ikke mer enn tilsvarende systemer uten slik kontroll så det er heller ikke på dette område noen grunn til å sette på bremsene.

Selve "dataoverføringen" - dvs. EHF i stedet for papir - vil i seg selv neppe innebære noen økning i risikoen for data på avveie siden traffikken er kryptert og kontrollert av DIFI. Når data er mottatt hos "fakturamottaker" er det tilsvarende god grunn til å tro at det er større risiko for at en "papirfaktura" blir sett av uvedkommende enn en EHF, og det er mye enklere å kontrollere tilgang og logge hvem som har "sett" et elektronisk dokument enn et papir.

§ 7 Vi støtter forslaget om at DIFI bør være "kontrollorgan" for dette. De har høy kompetanse samtidig som de arbeider proaktivt og dynamisk med aktørene i bransjen samtidig som de er både løsningsorienterte og smidige samtidig som de er tydelige i sine krav.