NOU 2001: 10

Uten penn og blekk— Bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen

Neste kapittel

Forrige kapittel

Del 4
Forslag til regulering av elektronisk kommunikasjon med og i forvaltningen

11 Forslag til regulering av bruk av digitale signaturer og dokumentkryptering i forvaltningen

11.1 Bakgrunn

Dette kapitlet inneholder diskusjon og skisse til et mulig regelverk for hvordan digitale signaturer og kryptering kan tas i bruk med og i forvaltningen. Verken den nye loven om elektronisk signatur eller eRegel-prosjektet dekker de behovene og kravene til konkret regulering som det presenteres forslag til. Det gjør heller ikke andre deler av utvalgets anbefalinger. I dette kapitlet fremmes det imidlertid forslag til hvordan forvaltningen mer konkret kan ta i bruk de anbefalte løsningene for digitale signaturer og kryptering.

Utvalget mener det er behov for et felles grunnlag for å ta løsningene i bruk. Dels vil dette være til hjelp for den enkelte virksomhet, dels vil man unngå helt ulike framgangsmåter.

Utvalget mener de reglene som foreslås og oppsummeres i dette kapitlet, generelt bør sees i sammenheng med regler for elektronisk saksbehandling. På området for sikring av taushetsplikt finnes beskyttelsesinstruksen, jf. omtale i punkt 1.2, siste avsnitt, og utvalget mener at elektronisk behandling av opplysninger gradert etter beskyttelsesinstruksen bør sees i sammenheng med de reglene utvalget foreslår i dette kapitlet. Både beskyttelsesinstruksen og (forhåpentligvis) skissen til regler vil være gjenstand for videre arbeid fra de ansvarlige regelverksforvalterne, og utvalget mener dette vil være en god anledning til å se utviklingen av disse regelområdene i sammenheng.

I punkt 11.2 behandles spørsmålet om regler for signering og autentisering, i punkt 11.3 regler for innholdskryptering. Under punkt 11.4 følger noen overordnede synspunkter på etablering av sikkerhetstjenester for forvaltningen. I punkt 11.5 diskuterer vi om det er lurt med veiledning (retningslinjer) eller bindende regler i form av lov eller forskrift. I punkt 11.6 gir utvalget en samlet oversikt over anbefalingene.

eRegel-prosjektet (Kartleggingsprosjektet [ 47]) påpeker at hvorvidt man kan/bør åpne for elektronisk kommunikasjon i en bestemmelse, må vurderes ut fra den aktuelle bestemmelsen sammen med andre relevante bestemmelser.

Saksbehandlere som skal ta i bruk digitale signaturer og kryptering i saksarbeidet, kan trenge regler for når teknikkene kan brukes, og hvordan de skal brukes i ulike sammenhenger [ 62]. Bruken vil variere fra institusjon til institusjon og ligger til dels utenfor utvalgets mandat.

Utvalgets anbefalinger er ment som grunnlag for videre arbeid og diskusjon omkring frambringelsen av nødvendige regler. Anbefalingene er ikke, og er heller ikke ment å være, et ferdig bearbeidet forslag til regler. Det er heller ikke meningen å utelukke andre løsninger enn de skisserte. Enkelte av forslagene er med hensikt spissformulert i håp om å stimulere diskusjonen.

11.1.1 Aktuelle problemstillinger

Anbefalingene gir åpning for å benytte flere sikkerhetsnivåer og ulike modeller for implementering av sertifikattjenester mv. De gir rom for å la det enkelte forvaltningsorgan velge å benytte andre sikkerhetstjenester enn digitale signaturer. Dersom det fattes beslutning om å tilby offentlige personsertifikater, vil det være naturlig at forvaltningen bygger sine løsninger rundt disse. Ettersom det foreløpig ikke er fattet noen slik beslutning, må de foreslåtte reglene forsøke å favne også andre løsninger.

Bruk av digitale signaturer og kryptering berører den generelle saksbehandlingen. I anbefalingene er det derfor gjort forsøk på å behandle grenseflatene mot, og gi forslag til utfylling av, regelverk som berøres av bruk av digitale signaturer og kryptering. Dette gjelder f.eks. generelle regler for elektronisk saksbehandling og arkiv.

Den interne organiseringen av departementer og etater med hensyn til hvem som har kompetanse til å underskrive eller avgi uttalelse i ulike sammenhenger, hvem underskriver hva, er spørsmål som i alle fall i prinsippet er uavhengige av bruk av moderne kommunikasjonsteknologi. På den andre siden vil en økende grad av automatisering og «selvbetjening» i forvaltningen, samt endringer i arbeidsflyt ved innføring av elektronisk saksbehandling, skape nye muligheter og utfordringer. Dette prøver utvalget å ta hensyn til.

Kjernen i regler om bruk av digitale signaturer og kryptering vil være bestemmelser som retter seg mot brukerne – både internt i forvaltningen og mot enkeltpersoner når disse kommuniserer med forvaltningen.

Det kan gjennomføres et systematisk skille mellom 1) regler for bruk av digitale signaturer og 2) regler for kryptering. Behovet for henholdsvis signering og kryptering utløses av ulike bestemmelser, og oppfølgingen følger også forskjellige linjer.

F.eks. vil spørsmål om valg av metode for å «underskrive» en klage over et forvaltningsvedtak, og den etterfølgende vurdering av om klagen skal tas under behandling eller avvises, følge forvaltningslovens regler om klage. Samtidig kan henvendelsen være underlagt taushetsplikt etter forvaltningsloven. Det er ikke de samme hensynene som gjør seg gjeldende i disse to tilfellene. Det er heller ingen sammenheng mellom sanksjoner ved overtredelse.

Henvendelsen kan også være underlagt krav til sikring av personopplysninger etter personopplysningsloven . Disse bestemmelsene spenner antakelig over begge de nevnte regelsett idet man etter omstendighetene skal sikre både datakvalitet, integritet, konfidensialitet og tilgjengelighet.

Det kan også være behov for samordning med reglene om behandling av dokumenter/informasjon gradert etter beskyttelsesinstruksen . Utvalgets arbeid er begrenset til sivil sektor utenfor sikkerhetslovens 1 virkeområde. Hvilke krav som vil bli stilt til elektronisk behandling av dokumenter gradert etter beskyttelsesinstruksen etter at datasikkerhetsdirektivet blir opphevet, er foreløpig uklart for oss. Det bør imidlertid vurderes om det er mulig å samordne kravene for graden «Fortrolig» i beskyttelsesinstruksen med krav som følger f.eks. av taushetsplikt og sikring av sensitive personopplysninger.

Man kan tenke seg at det blir innført generelle krav til bruk av sikkerhetstjenester for nærmere angitte anvendelser. Det er f.eks. mulig at krav til bruk av signaturteknologi kan knyttes til den aktuelle meldings «rettslige status», f.eks. til om meldingen vil utgjøre et saksdokument i arkivlovens forstand, eventuelt kombinert med spørsmålet om det utløser rettigheter eller plikter for noen involverte, eller om meldingen vil være underlagt krav etter økonomireglementet. Det kan tenkes at meldinger som verken er saksdokument eller relevant som dokumentasjon etter økonomireglementet, skal være helt unntatt fra retningslinjene om bruk av autentiseringstjenester eller signeringsteknologi. Slike meldinger kan ha behov for integritets- og/eller autentisitetstjenester.

Selv om en melding er unntatt fra krav til autentiseringstjenester og signeringsteknologi, kan den likevel være underlagt krav til innholdskryptering. F.eks. kan meldingen være knyttet til utvalgsarbeid og inneholde opplysninger som ikke er offentlige, men likevel ikke være et saksdokument for det aktuelle organet.

Fordi behovene for sikkerhetstjenester kan variere mellom forvaltningsorganene og den enkelte anvendelse, er det i anbefalingene lagt opp til en viss grad av frihet for organene til selv å velge den løsningen de finner tilfredsstillende og hensiktsmessig, eventuelt innenfor rammen av alternativer trukket opp av et koordinerende organ for forvaltningen.

Etatenes anskaffelse av verktøy/system/løsning for digitale signaturer og kryptering omfattes ikke av retningslinjene. Dette er interne prosesser som ikke behøver låses fast i retningslinjer som retter seg mot andre. Det gir større fleksibilitet med hensyn til å utnytte mulighetene som ligger i framtidig utvikling av sikkerhetstjenestene i markedet. Retningslinjer for bruk må derimot forankres i regelverk som er bindende også for andre enn forvaltningen selv.

11.1.2 Forholdet til lov om elektronisk signatur

Lov om elektronisk signatur [ 52] implementerer Direktiv 1999/93/EF og behandler først og fremst spørsmål knyttet til sertifikatutsteders virksomhet og funksjonelle krav til, og rettsvirkningene av, såkalte «kvalifiserte elektroniske signaturer ». Loven berører i liten grad reglene for bruk av elektroniske signaturer, og den behandler ikke spørsmålet om innholdskryptering.

Dersom forvaltningen velger å bygge sine løsninger på annet enn kvalifiserte sertifikater og såkalte sikre signaturframstillingssystemer, gir loven liten veiledning. Utvalget forutsetter at det kan velges andre løsninger i tillegg, derfor er det nødvendig å berøre enkelte spørsmål som også er behandlet i loven.

11.1.3 Forholdet til eRegel-prosjektet

Spørsmålet om hvilke av de ulike form- og prosedyrekravene i lovgivningen som kan oppfylles med elektronisk kommunikasjon og elektronisk signatur, og eventuelle endringer i lovens krav, er ikke noe hovedanliggende for utvalget. De spørsmålene er til vurdering i det enkelte departement som et ledd i eRegel-prosjektet. Som del av den prosessen må man blant annet vurdere hensynene bak det enkelte form- og prosedyrekrav. I denne utredningen forutsettes det at de nødvendige tilpasningene blir gjennomført.

Det regelverket som anbefales utviklet på grunnlag av forslagene i dette kapitlet, vil derimot utgjøre et rammeverk som regelverksforvaltere kan støtte seg på når man skal vurdere å tillate elektronisk kommunikasjon, og velge løsninger for hvordan dette kan skje på det enkelte området.

Selv om det ikke finnes form- eller prosedyrekrav i lovgivningen som er til hinder for elektronisk kommunikasjon eller stiller krav til bruk av sikkerhetstjenester, kan det være f.eks. bevismessige forhold eller risikovurderinger som gjør det hensiktsmessig eller nødvendig å ta i bruk slike tjenester.

11.1.4 Språk og begreper i dette kapitlet

Skissen til regelverk har ikke gjennomgått noen separat språklig eller regelteknisk bearbeiding. Etter formålet har det ikke vært nødvendig, og med den tid og de ressurser som har vært tilgjengelig, ville det heller ikke vært mulig.

Det er ikke utarbeidet entydige definisjoner, men en beskrivelse av hvordan noen sentrale begreper benyttes i dette kapitlet kan være på sin plass, ettersom kapitlet ender med en skisse til noe utvalget mener bør bli et regelverk. Begreper som «melding», «henvendelse», «dokument» og «materiale» kan være synonymer avhengig av sammenhengen. Det skilles ikke konsekvent mellom begreper som «data» og «informasjon». Derimot benyttes begrepet «opplysning» som en nøytral form som kan dekke begge betydninger. Begreper som «forvaltningsorganet», «organet», «etaten» og «virksomheten» kan være brukt om hverandre uten at det er noen tilsiktet realitetsforskjell. Begrepene «borger», «den enkelte», «enkeltpersoner» og liknende benyttes om den som kommuniserer med forvaltningen i annen egenskap enn som ansatt i forvaltningen.

Begrepene «elektronisk signatur» og «digital signatur» brukes slik de for tiden vanligvis benyttes på området. 2 Begrepene «signeringsnøkler» og «krypteringsnøkler» brukes om data som benyttes i forbindelse med henholdsvis digitale signaturer 3 og innholdskryptering.

Det er imidlertid et problem at en del av reglene skal gjelde både for digitale signaturer med tilhørende sertifikater og for andre signerings- og autentiseringsteknikker, f.eks. PIN-koder og passord, hvis forvaltningsorganet benytter slike løsninger. I noen sammenhenger vil man kunne fellesbehandle PIN-koder/passord («autentiseringsdata») og offentlige nøkler («signaturverifiseringsdata»), f.eks. ved krav til autentisering av melding eller verifisering av signatur. I andre sammenhenger er det autentiseringsdata og signeringsnøkkel/privat nøkkel («signaturfremstillingsdata») som fellesbehandles, f.eks. ved krav til forsvarlig oppbevaring og bruk av nøkler eller PIN-koder/passord.

Signaturverifiseringsdata kan etter omstendighetene refereres til som «sertifikat» i den forstand at sertifikatet representerer den knytting mellom signaturverifiseringsdata og det kjennetegn eller den egenskap ved sertifikatinnehaveren som man er ute etter å få bekreftet. Av og til kan det være fristende å gjøre noen grove forenklinger og snakke om bruk av koder og sertifikater også i situasjoner der det er anvendelse av signeringsnøkkel man tenker på. Det ville imidlertid bygge opp under en del av de misforståelser som eksisterer med hensyn til hva sertifikater er, og hvordan de brukes. Inntil videre ser utvalget derfor ikke noen vei utenom de tunge begrepene autentiseringsdata og henholdsvis signaturfremstillingsdata og signaturverifiseringsdata, knyttet til den skissen til regelverk som her foreslås.

11.2 Signering og autentisering

11.2.1 Behovet for koordinering og ønsket om fleksibilitet

Det er, i alle fall tilsynelatende, en iboende motsetning mellom behovet for koordinering og ønsket om fleksibilitet med hensyn til kommunikasjonsform og sikkerhetstjenester for ulike typer henvendelser.

På den ene siden kan det enkelte forvaltningsorgan og den enkelte borger ha et ønske om selv å kunne velge det man mener er en hensiktsmessig og tilfredsstillende sikkerhetstjeneste.

På den andre siden ligger det åpenbart en utfordring i å administrere et stort antall ulike løsninger internt i forvaltningen, og for den enkelte i å måtte forholde seg til mange ulike løsninger.

En mulighet er å åpne for at forvaltningsorganene velger ulike løsninger, f.eks. digitale signaturer og PenOp 4, men med krav om samvirke på tvers av forvaltningsorganer. Det er antakelig vanskelig å oppnå noe effektivt samvirke mellom så ulike typer løsninger i ulike organer. Derimot er det kanskje mulig å oppnå slike effekter hvis organene anvender ulike implementeringer av digitale signaturer.

En annen mulighet er å redusere antall sikkerhetsnivåer til et minimum og la mest mulig kommunikasjon med forvaltningen gå uten sikkerhetsløsning eller basert på løsninger som leveres med standard nettlesere (f.eks. SSL ). Til gjengjeld kan man kreve et høyere sikkerhetsnivå der kravet til sikkerhet først slår inn. Man må ikke tape av syne at mye av kommunikasjonen mellom enkeltpersoner og forvaltning er trivielle henvendelser, som ikke stiller høye krav til sikkerhet, og som det ikke er hensiktsmessig å regulere. Dette bør være tilgjengelig ved elektroniske hjelpemidler også for parter som ikke ønsker å delta i «full elektronisk saksbehandling og kommunikasjon». Man bør med andre ord ikke stille andre krav enn det en hvilken som helst nettilknyttet PC med «state of the art»-programvare kan tilfredsstille – med mindre det er helt nødvendig å stille høyere krav.

Skal det først stilles krav utover «gjennomsnittsmaskinens» standardkonfigurasjon, er det mindre betenkelig å heve kravene til et nivå som kan tilfredsstille flere behov. Bruk av digitale signaturer basert på såkalte kvalifiserte sertifikater er åpenbart ett mulig nivå.

I Sverige har Statskontoret gått ut med en anbefaling om tre sikkerhetsnivåer, se punkt 6.1. Det forventes ikke at det laveste nivået vil få samordnede løsninger mellom forvaltningsorganer. Og det er antatt at «middels høyt» nivå vil være tilstrekkelig for de fleste anvendelser 5.

11.2.2 Forholdet til elektronisk saksbehandling

Bruken av digitale signaturer, kryptering og andre elektroniske sikkerhetstjenester henger nært sammen med elektronisk saksbehandling i sin alminnelighet.

Regler og prosedyrer for mottak og håndtering av henvendelser, for journalføring og arkivering, for intern saksflyt og meddelelse til den saken gjelder, om utfallet av saksbehandlingen, vil ha betydning for hvilke sikkerhetstiltak som er tjenlige og nødvendige. For eksempel vil prosedyrer for å sikre at krypteringsnøkler ikke går tapt, slik at data blir utilgjengelige, kunne være annerledes dersom all dekryptering skjer i sentralt postmottak eller arkiv, enn om det skjer hos den enkelte saksbehandler. Beskyttelse av data internt i etatens eget system kan skje med andre midler enn overfor omverdenen fordi det er kjente deltakere, og forvaltningsorganet definerer selv «reglene» for tilgang til og bruk av systemet.

Utkastet til nye retningslinjer for elektronisk post i statsforvaltningen kan være ett utgangspunkt for vurdering av sikkerhetstjenester brukt i forbindelse med visse sider ved den elektroniske saksbehandlingen.

Elektronisk post er imidlertid ikke den eneste formen for elektronisk kommunikasjon man kan forvente at forvaltningen vil benytte. Det ser tvert imot ut til at en stor del av saksbehandlingen på sikt vil være lagt opp rundt bruk av web-steder eller liknende løsninger. I mange tilfeller vil det være i form av helt eller delvis automatiserte tjenester. Dette gir andre og bedre muligheter for å styre informasjonsflyten mellom enkeltpersoner og forvaltningen. Forvaltningen kan i større grad kontrollere hvilken informasjon enkeltpersoner har tilgang til på forhånd, hvor i mottaksapparatet meldinger dukker opp, hvilke meldingsformater som benyttes, hvilke kontroller som kreves osv. Det åpner for helt andre muligheter når det gjelder fortløpende kontroll med om nødvendige opplysninger er avgitt og for umiddelbar tilbakemelding til brukeren. Forvaltningsorganet har mindre kontroll med disse forholdene ved bruk av alminnelige e-postsystemer.

Videre kan løsninger som kontrolleres av forvaltningsorganet, legge til rette for bruk av sikkerhetstjenester på en annen måte enn e-postløsninger. Særlig løsninger basert på autentisering med PIN-koder eller passord av ulike slag, kan etableres i forvaltningsorganets informasjonssystem uten behov for endringer i brukerens lokale nettleser. Det er også mulig å legge opp lenker til veiledninger og relevante kataloger mv. på en måte som gjør det enklere for brukeren enn ved tradisjonell e-post.

Den forutberegneligheten som ligger i en slik struktur, vil antakelig gi en stabil ramme for bruk av digitale signaturer o.l. Dette utelukker ikke bruk av e-post der forvaltningsorganet finner at det er hensiktsmessig.

11.2.3 Rutiner for og krav til elektronisk kommunikasjon med forvaltningen

Omtalen av de følgende punktene må sees i relasjon til forvaltningslovens alminnelige bestemmelser om informasjonsutvekslingen mellom enkeltpersoner og forvaltning. Utvalgets anbefalinger, se punkt 11.6, er ikke ment å skulle gripe inn i forvaltningslovens regulering av den tradisjonelle informasjonsflyten, men snarere være et supplement som regulerer de særlige forholdene som gjør seg gjeldende når man benytter elektronisk kommunikasjon.

11.2.3.1 Adressat for henvendelser til forvaltningen

Det vil formodentlig være en fordel for et forvaltningsorgan om alle innkommende henvendelser som gjelder forvaltningsorganet og dets virksomhet, blir «sluset gjennom» forhåndsdefinerte kanaler med ansvar for registrering/journalføring og videreformidling av henvendelsen til rette sted i organisasjonen. En eventuell (første) verifisering av signaturer eller kontroll med andre autentiseringsmekanismer og sikkerhetsløsninger som måtte være benyttet, kan skje der. En del av funksjonene kan gjennomføres automatisk av behandlende informasjonssystem. Dette gjelder i mindre grad for elektronisk post.

Det bør derfor være mulig for forvaltningsorganet å angi, med bindende virkning, hvilke adresser eller hjelpemiddel/system som skal benyttes ved henvendelse til forvaltningsorganet i elektronisk form. For å gjennomføre dette bør det også være mulig for forvaltningsorganet å returnere/avvise en henvendelse som ikke er i henhold til anvisningene, sammen med opplysning om hva som er korrekt framgangsmåte.

Samtidig bør forvaltningsorganet ha anledning til å åpne for adressering av meldinger direkte til saksbehandler dersom organets interne rutiner er tilrettelagt for dette. Det at den enkelte saksbehandler har en e-postadresse, bør imidlertid ikke være tilstrekkelig.

Direkte adressering forutsetter andre interne rutiner, bl.a. for saksdeling, journalføring og arkivering. Organet bør ha lagt til rette for dette før det åpnes for direkte adressering i saksbehandlingen. Man kan tenke seg at også direkte adressert innkommende post enten går direkte til postmottaket eller «avleverer kopi» til postmottaket på sin vei fra postserver til adressaten. Dette vil imidlertid føre til at også personlig post blir avlagt i postmottaket. Og dersom meldingen gjelder forvaltningsorganets virksomhet, men er adressert til feil person, vil det kunne påføre postmottaket eller saksfordeler unødig ekstraarbeid ved at man må «tilbakekalle» den direktesendte meddelelsen samtidig som man fordeler meldingen til riktig saksbehandler.

Det er også andre ulemper knyttet til direkte adressering, f.eks. oppfølging dersom vedkommende er fraværende, har sluttet e.l. Feiladressering kan av flere grunner føre til at ting tar lengre tid eller på andre måter virker uheldig for avsender, f.eks. fordi kunnskapen om håndtering av feilsendte meldinger og hvilken informasjon avsender har krav på, og behov for, kan være mindre hos den enkelte saksbehandler enn hos postmottaket. Direkte adressering bør derfor være forbeholdt tilfeller eller typer av saksbehandling der det enten er særskilt behov for det eller det i alle fall er på det rene at det ikke har spesielle ulemper.

For å unngå usikkerhet bør regelen antakelig være at hvis forvaltningsorganet ønsker å åpne for direkte adressering, bør dette gjøres uttrykkelig. For eksempel kan det gjøres ved veiledning på organets web-sider eller gjennom peker fra meldinger som sendes ut fra organet. Dette vil øke forutberegneligheten for brukerne ved innføring av elektronisk kommunikasjon og saksbehandling.

Før det åpnes for adressering direkte til saksbehandler, må det være lagt til rette for sikring av meldingers konfidensialitet. Dette forutsetter at man enten åpner for kryptering med saksbehandlers offentlige krypteringsnøkkel, eller at det legges til rette for en totrinnsprosess der meldingen formidles kryptert til organets postmottak e.l. og videreformidles direkte derfra under organets interne sikringsrutiner. Valg av løsning kan bl.a. avhenge av hvilken type informasjon det er tale om å overføre.

Det kan være særskilte behov for direkte kommunikasjon mellom ansatte i forvaltningsorganer. Det vil si at informasjonsutveksling mellom ansatte i samme eller ulike organer i første omgang går utenom arkiv eller postmottak, slik det skjer f.eks. ved bruk av telefon eller telefaks. Dette kan bl.a. være begrunnet i hensyn til effektivitet eller behov for å kunne kommunisere skriftlig når postmottaket ikke er bemannet. Også disse tilfellene forutsetter at de interne rutinene er lagt til rette, bl.a. når det gjelder krav til journalføring. Dersom foreløpig behandling og videresending fra postmottak skjer automatisk når postmottaket ikke er bemannet, burde behovet for direkte adressering være begrenset, men kan naturligvis være til stede i enkelte tilfeller. Det er heller ikke alle de samme innvendingene som gjør seg gjeldende her som ved henvendelser «utenfra». Blant annet vil kommunikasjon direkte mellom saksbehandlere ofte være basert på mer sikker kunnskap om hvem som er rette adressat, enn når det gjelder f.eks. henvendelser fra privatpersoner. Videre vil enkelte forvaltningsorganer være tilsluttet nett som sikrer meldinger mot innsyn fra utenforstående uten bruk av krypteringsnøkler knyttet til den enkelte mottaker.

Likevel bør man tenke gjennom om det virkelig er grunn til å behandle, i alle fall meldinger som vil være «saksdokumenter» i forvaltningslovens forstand, ulikt avhengig av om de kommer fra borgerne eller fra et annet forvaltningsorgan. Det enkelte forvaltningsorgan bør ta stilling til om de ønsker én løsning for innkommende meldinger, eller om de vil legge til rette for alternativer. I og med at hensynene kan variere i de ulike tilfellene, bør det kanskje være adgang til å åpne for direkte adressering bare fra andre forvaltningsorganer.

Henvendelser i elektronisk form til et forvaltningsorgan skal rettes til den adressen forvaltningsorganet har oppgitt for slike henvendelser.
Hvis forvaltningsorganet har tilrettelagt for henvendelser, eller visse typer av henvendelser, via eget nettsted/hjemmeside, skal henvendelser i elektronisk form skje på den måten det er tilrettelagt for.
Henvendelse i elektronisk form direkte til saksbehandler, av meldinger som angår forvaltningsorganet, skal kun skje hvis forvaltningsorganet har lagt til rette for det og uttrykkelig tillatt slik direkte kommunikasjon generelt eller i det enkelte tilfelle 6.
Forvaltningsorganet kan avvise henvendelser som har en annen form eller er avgitt til annen adresse eller på en annen måte enn foreskrevet eller tilrettelagt for. Forvaltningsorganet skal samtidig opplyse om hva som er korrekt adresse, form eller framgangsmåte. Slike opplysninger kan gis i form av henvisning til eller utsending av veiledning om forholdet.
Forvaltningsorganet kan bestemme at adressering direkte til saksbehandler av meldinger som angår forvaltningsorganet, bare kan skje når meldingen sendes fra annet forvaltningsorgan.

11.2.3.2 Henvendelser som utløser veiledningsplikt – formfrie henvendelser

Henvendelser til forvaltningen er mangeartete. Det kan være uforpliktende informasjonsinnsamling, forespørsel som utløser veiledningsplikt, henvendelse som utløser saksbehandling, men som ikke er underlagt spesielle formkrav, informasjonsutveksling som etter loven skal skje i bestemte former, og utveksling av følsom informasjon av ulike slag. Krav og rutiner må tilpasses dette.

I punkt 11.2.1 anbefaler utvalget at man ikke bør kreve bruk av sikkerhetsløsninger i andre sammenhenger enn der det ansees nødvendig. Det kan imidlertid være vanskelig å gi helt presise beskrivelser på forhånd av når det er behov for f.eks. rimelig sikker identifisering. For å unngå at man for «sikkerhets skyld» krever sikkerhetsløsninger, bør det være mulig for forvaltningsorganet å søke tilleggsopplysninger eller kreve bruk av sikkerhetsløsninger i individuelle tilfeller der det er nødvendig. Det bør også være anledning til å fastsette generelle krav for visse typer av henvendelser, f.eks. krav om å benytte digitale signaturer og/eller innholdskryptering.

Hvis forvaltningsorganet stiller slike krav, bør det samtidig tilby eller gi anvisning på sikkerhetstjenester som oppfyller de kravene som er stilt. Det kan ikke kreves at den enkelte selv skal finne fram til egnede tjenester. Anvisning kan gis f.eks. ved lenke eller relevant kontaktinformasjon til sertifikatutstedere som forvaltningsorganet aksepterer, eller ved at organet selv organiserer og tilbyr, eventuelt med tredjemanns hjelp, bruk av f.eks. passord og PIN-koder for autentisering mot forvaltningsorganets informasjonstjenester.

Henvendelser til forvaltningen som ikke er underlagt særskilte formkrav, og som ikke utløser saksbehandling, kan skje i elektronisk form uten bruk av sikkerhetstjenester.
Forvaltningsorganet kan i det enkelte tilfelle be om opplysninger som bekrefter avsenders identitet eller fullmakter dersom dette er av betydning for håndtering av henvendelsen.

11.2.3.3 Søknader og andre henvendelser som utløser saksbehandling

Adgangen til å kreve «bekreftelse av identitet eller fullmakter» blir antakelig for svakt i en del tilfeller. Det må også være adgang til å kreve mulighet for autentisering, ikke-benekting og eventuelt konfidensialitet. Dette kan f.eks. skje ved å kreve bruk av særlige sikkerhetstjenester som digitale signaturer og kryptering.

Henvendelser som utløser saksbehandling, men som ikke er underlagt særskilte formkrav, kan skje uten bruk av sikkerhetstjenester.
Forvaltningsorganet kan i det enkelte tilfelle be om opplysninger som bekrefter avsenders identitet eller fullmakter dersom dette er av betydning for håndtering av henvendelsen. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Forvaltningsorganet kan fastsette at slike krav skal gjelde generelt for nærmere angitte typer av henvendelser.
Forvaltningsorganet skal tilby, eller gi anvisning på, tjenester som gjør det mulig å oppfylle kravet til bekreftelse av identitet eller fullmakter eller øvrige krav forvaltningsorganet har stilt.

11.2.3.4 Henvendelser som er underlagt formkrav

Henvendelser som er underlagt formkrav, kan trenge mekanismer for å sikre både dataintegritet og mulighet for å sikre bekreftelser av avsenders identitet eller fullmakter.

For henvendelser som er underlagt særskilte formkrav, kan forvaltningsorganet gi anvisning på hvilke virkemidler som må benyttes for at henvendelse kan skje i elektronisk form, herunder krav til virkemidler for sikker bekreftelse av avsenders identitet eller fullmakter. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Forvaltningsorganet skal tilby, eller gi anvisning på, tjenester som gjør det mulig å oppfylle kravet til bekreftelse av identitet eller fullmakter eller øvrige krav forvaltningsorganet har stilt.

11.2.3.5 Henvendelser som ikke tilfredsstiller aktuelle krav

Anbefalinger på dette området er tenkt å omfatte både tilfeller der nødvendig sikkerhetstjeneste ikke er brukt, og tilfeller der aktuelt sertifikat e.l. er trukket tilbake eller signaturen av annen grunn ikke kan verifiseres.

Et forvaltningsorgan som mottar henvendelse i elektronisk form som ikke tilfredsstiller de aktuelle kravene til slik henvendelse, skal uten ugrunnet opphold gi avsender melding om dette, samt gi veiledning om hvilke tiltak som må iverksettes for at henvendelsen skal kunne tas under behandling 7.
Slik veiledning kan gis ved henvisning til forvaltningsorganets offentliggjorte regler for håndtering av den aktuelle typen henvendelse.
Forvaltningsorganet skal registrere tidspunkt for når slik melding er sendt, og til hvem.
Dersom feilen er av en slik art at det ikke er mulig å identifisere avsender, og varsel ikke kan sendes, skal det registreres.
Forvaltningslovens alminnelige regler om avvisning og oppreisning kommer til anvendelse på de nevnte forholdene.

11.2.3.6 Underretning om vedtak

For å få mest mulig effektivitet ut av den elektroniske saksbehandlingen, bør det også være mulig å gi underretning om enkeltvedtak i elektronisk form. Dette må skje på en slik måte at de(n) vedtaket retter seg mot, ikke kommer i en situasjon hvor det er større risiko for å lide rettstap, f.eks. ved oversitting av klagefrister, enn for dagens underretning på papir.

Dette innebærer for det første at man må forsikre seg om at vedkommende er oppmerksom på at underretning vil skje i elektronisk form, f.eks. ved å innhente vedkommendes samtykke. For det andre er det viktig å sikre at vedtaket bare gjøres tilgjengelig for rette vedkommende. For det tredje bør man søke å fastlegge et klart skjæringspunkt for når underretning ansees å ha skjedd og klagefrister begynt å løpe.

Fordi vi mangler tradisjon og erfaring med denne formen for underretning, er behovet for et klart skjæringspunkt antakelig større enn for papirbasert underretning. Manglende tradisjon og erfaring gjør det nødvendig å opprettholde en reserveløsning. Den innebærer at de som til tross for samtykket til elektronisk underretning av en eller annen grunn ikke får tilgang til vedtaket, får dette tilsendt på tradisjonell måte og etter en bestemt tid.

Underretning om enkeltvedtak kan skje i elektronisk form dersom den vedtaket gjelder/den som har krav på underretning, har samtykket i dette.
Underretning om vedtak skal gjøres tilgjengelig fra dertil egnet informasjonssystem.
Den vedtaket gjelder, skal få melding om at vedtak er fattet, og om hvor og hvordan vedkommende kan skaffe seg kunnskap om innholdet, samt en frist for når dette senest må skje.
Vedtakets innhold skal gjøres tilgjengelig for parten når vedkommende bekrefter sin tilknytning til saken overfor informasjonssystemet der vedtaket er lagt ut (autentisering).
Informasjonssystemet registrerer tidspunktet for når parten har skaffet seg tilgang til vedtaket, samt data som bekrefter vedkommendes tilknytning til saken.
Underretning ansees å ha skjedd på det tidspunktet parten skaffet seg tilgang til vedtaket.
Dersom parten ikke har skaffet seg tilgang til vedtaket innen 7 dager fra det tidspunkt det ble sendt melding om vedtaket, eller vedtaket ble gjort tilgjengelig, skal underretning skje i henhold til de reglene som gjelder for underretning om enkeltvedtak på det aktuelle området når det ikke er gitt samtykke til elektronisk kommunikasjon.

11.2.3.7 Klage

Hvis saksbehandlingen ellers foregår i elektronisk form, eller det er lagt særskilt til rette for det, bør klage over forvaltningens vedtak kunne formidles elektronisk. Det problematiseres ikke her hva som skal til for å oppfylle forvaltningslovens krav om at klage skal undertegnes, jf. forvaltningsloven § 32 bokstav b). 8

Klage over enkeltvedtak kan sendes i elektronisk form dersom forvaltningsorganet har tilrettelagt for det, eller underretning om vedtaket er skjedd i elektronisk form.
Forvaltningsorganet kan be om opplysninger som bekrefter avsenders identitet eller fullmakter dersom dette er nødvendig for håndtering av klagen. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Forvaltningsorganet skal tilby, eller gi anvisning på, tjenester som gjør det mulig å oppfylle kravet til bekreftelse av identitet eller fullmakter eller de øvrige kravene forvaltningsorganet har stilt.

I forvaltningsloven finnes det regler om hva som skal til for å avbryte en klagefrist. Klage framsatt ved hjelp av «brukerstyrt» elektronisk kommunikasjon, som f.eks. vanlig e-post, omfattes imidlertid neppe av spesialregelen for klage avgitt til post eller telegrafstasjon. Det bør vurderes om det skal utvikles spesialregler for fristavbrudd ved elektronisk formidling av klage, f.eks. når klage leveres over dedikert informasjonstjeneste tilrettelagt av forvaltningsorganet.

Det kan også vurderes en løsning basert på at forvaltningsorganet alltid skal kvittere for mottatt klage. Klager kan i så fall ikke forutsette at klagen er mottatt før han har fått kvittering.

Det er imidlertid ikke uten videre riktig å overføre risikoen for formidlingsfeil eller forsinkelse på klager når forvaltningsorganet har åpnet for elektronisk kommunikasjon i forbindelse med klager.

En mulig løsning kan være å knytte fristavbrudd til det tidspunkt klager initierte sending av den elektroniske meldingen til forvaltningsorganet, men med plikt til å følge opp kvittering for mottak og sende klagen på nytt dersom kvittering ikke er mottatt innen f.eks. 24 timer. Dette vil imidlertid legge nye byrder på klageren med hensyn til oppfølging etter at klage er sendt. Det åpner også for mulighet til å hevde at det ikke foreligger fristoversittelse ved å påberope at klage er sendt like før fristen gikk ut, men ikke kommet fram. Med en knapp frist for kontroll av kvittering og eventuell ny klage vil dette likevel neppe få stor betydning, fordi fristoversittelsen under en slik regel ikke kan overstige f.eks. de nevnte 24 timer. Innvendingen at klage er sendt, men ikke mottatt, har man for øvrig heller ingen mulighet for å etterprøve i dag for klager sendt med posten.

Ved fristoversittelse bør alminnelige regler om oppreisning komme til anvendelse.

Et alternativ er at klager alltid leveres over dedikert informasjonstjeneste slik at formidling av klage og kvittering for mottak skjer «i en operasjon». Dette bør antakelig være hovedregelen, supplert med bestemmelser om håndtering av klager sendt på annen måte.

Hvis det skal framsettes klage i elektronisk form, og forvaltningsorganet har lagt til rette for klage ved bruk av sitt informasjonssystem, skal denne framgangsmåten benyttes.
Et forvaltningsorgan som mottar klage i elektronisk form, skal straks sende kvittering til avsender for mottatt klage.
Klager har plikt til å kontrollere at han mottar kvittering for innsendt klage 9. Dersom slik kvittering ikke er mottatt innen 24 timer, skal klager sende klagen på nytt med angivelse av når den ble sendt første gang.

11.2.3.8 Innsyn i opplysninger og dokumenter i elektronisk form

Det bør være adgang til innsyn i elektronisk arkiv. Dette vil kunne innebære en vesentlig styrking av innsynsretten ettersom terskelen for den enkeltes innsyn senkes. Man antar for det første at det er enklere å begjære innsyn direkte fra egen maskin enn via brev eller telefon, forutsatt at innsynsarkivet er hensiktsmessig organisert. For det andre slipper vedkommende å vente på brev fra organet eller møte opp personlig. Innsyn via skjerm kan i mange tilfelle oppnås umiddelbart etter at begjæring er sendt 10.

Dersom det begjæres partsinnsyn, og dokumentet ikke kan utleveres etter offentlighetsloven, er det viktig å sikre at begjæringen kommer fra parten selv, og at opplysningene ikke blir gjort tilgjengelige for uvedkommende i forbindelse med utleveringen. Etter personopplysningsloven kan begjæring om innsyn sendes i elektronisk form, og den behandlingsansvarlige kan kreve at den registrerte (den opplysningene gjelder og som ber om innsyn) identifiserer seg på en sikker måte, f.eks. ved hjelp av en digital signatur 11.

Innsyn kan som nevnt skje f.eks. ved autentisering direkte mot «innsynsarkiv» (speiling av dokumenter for innsynsformål), eller ved overføring av dokumenter i kryptert form. Dette kan skje ved bruk av en digital signatur i forbindelse med innsynsbegjæring, og ved at dokumenter sendes ut i kryptert form eller gjøres tilgjengelige på dedikert informasjonssystem på samme måte som ved underretning om vedtak, jf. punkt 11.2.3.6.

Begjæring om innsyn i dokumenter eller opplysninger i en sak kan sendes forvaltningsorganet i elektronisk form.
Forvaltningsorganet kan i det enkelte tilfelle be om opplysninger som bekrefter avsenders identitet eller fullmakter, dersom dette er av betydning for håndtering av henvendelsen. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Dersom forvaltningsorganet fører elektronisk arkiv, kan innsyn gis i elektronisk form.
Med mindre innsyn kan kreves etter offentlighetsloven, gis innsyn i elektronisk form bare under forutsetning av at det kan gjennomføres tilfredsstillende bekreftelse av vedkommendes tilknytning til saken, og sikkerhet for at dokumentene kun gjøres tilgjengelige for denne.

11.2.3.9 Høring og kommentar til høring av forskrifter o.l.

Det vil utvilsomt være hensiktsmessig for forvaltningsorganet om materiale som skal på høring, kan legges ut på dertil egnet tjenermaskin i stedet for å bli massedistribuert i form av brevpost.

Det er imidlertid av betydning at berørte personer og instanser får oppfordring til å sette seg inn i det materiale høringen gjelder. Dette kan skje enten ved at vedkommende gjøres aktivt oppmerksom på høringen, slik høringsbrevet fungerer i dag, eller at det på annen måte gjøres alminnelig kjent hvor høringsmateriale til enhver tid gjøres tilgjengelig, slik ordningen er for enkelte typer av kunngjøringer.

Aktiv varsling kan skje ved hjelp av elektronisk post. For at dette skal ha samme effekt som dagens høringsbrev, er det en forutsetning at mottaker har tilfredsstillende rutiner for håndtering av e-post. Dette er særlig viktig i forhold til høringer som direkte berører borgernes rettigheter eller plikter.

Man kunne kanskje tenke seg løsninger av liknende type som for underretning om enkeltvedtak (jf. ovenfor), altså at det blir sendt ut et tradisjonelt høringsbrev dersom høringsinstansen ikke skaffer seg tilgang til det aktuelle materialet innen en viss tid. Dette kan imidlertid være mer problematisk enn i underretningstilfellene fordi høringen ikke er basert på direkte forhåndskontakt mellom forvaltningsorganet og parten med innhenting av samtykke til elektronisk kommunikasjon, men er en «én til mange»-kommunikasjon initiert av forvaltningen selv.

For høring av forskrifter etter forvaltningsloven er det forvaltningsorganet selv som bestemmer på hvilken måte varsling skal foregå, jf. forvaltningsloven § 37. Kravet til sakens opplysning og at de berørte skal gis (reell) anledning til å uttale seg, innebærer imidlertid visse minstekrav til den framgangsmåten forvaltningsorganet velger.

Dersom det skal gjennomføres endringer i dagens rutiner for høringer, f.eks. i forhold til når det skal varsles individuelt, bør det først foretas en grundigere utredning av konsekvensene.

Kommentarer til høringsdokument bør kunne formidles i elektronisk form. Skriftlighetskravet i forvaltningsloven § 37 (vedr. forskrifter) er neppe til hinder for dette. Fordi det kan være av betydning hvem som har avgitt høringsuttalelsen, og for å utelukke muligheten for at det uriktig avgis uttalelse i andres navn, må forvaltningsorganet kunne innhente nødvendige opplysninger for verifisering av avgivers identitet eller fullmakter eller stille krav til sikkerhetsløsninger. Hvor sterkt behovet er, vil være avhengig av hva høringen gjelder.

Høringsbrev til adressater med eget/sentralt e-postmottak kan sendes i elektronisk form. I stedet for fullstendig høringsbrev kan det sendes melding om hvor høringsbrevet er gjort tilgjengelig, med oppfordring om å skaffe seg tilgang innen et nærmere angitt tidspunkt. Dersom vedkommende ikke har skaffet seg tilgang til høringsbrevet innen angitt frist, bør høringsbrevet sendes i papirbasert form med mindre forvaltningsorganet har bestemt noe annet for den aktuelle høringen.
Uttalelser til høringen kan avgis i elektronisk form. Slik uttalelse avgis til den e-postadressen forvaltningsorganet har angitt for den aktuelle høringen eller på annen måte som forvaltningsorganet har gitt anvisning på.
Forvaltningsorganet kan be om opplysninger som bekrefter avsenders identitet eller fullmakter dersom dette er av betydning for håndtering av uttalelsen. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Forvaltningsorganet skal tilby, eller gi anvisning på, tjenester som gjør det mulig å oppfylle kravet til bekreftelse av identitet eller fullmakter eller de øvrige kravene forvaltningsorganet har stilt.

11.2.4 Arkiv og langtidslagring

Etter arkivforskriftens § 5-2 kan arkivmateriale avleveres til Det statlige arkivverk (Riksarkivet og statsarkivene) etter 25–30 år. Ved avlevering overtar mottakende institusjon ansvaret for å opprettholde tilgjengeligheten for dokumentene. I henhold til § 5-8 «fastset Riksarkivaren spesifiserte krav til materiale som skal avleverast til Arkivverket». Kravene omfatter bl.a. ordning, dokumentasjon, merking, type og format.

Spørsmål knyttet til arkivformat for elektroniske meldinger utstyrt med elektronisk signatur er, til en viss grad, beskrevet i Noark-4 [ 57] (godkjent standard for elektronisk arkivsystem etter arkivloven og forskriftene). Hensynet til lagring over lengre tid av signerte elektroniske meldinger er også grunnlaget for en del av kravene i foreliggende europeisk standard for (utvidede) signaturformater (ETSI ES 201 733). Det foreligger også forslag til standard uten krav til tidsstempling (ETSI TS 101 733), som ble forventet vedtatt i løpet av år 2000.

De nevnte standardene representerer mulige alternativer for lagring av signerte dokumenter, ikke bindende krav. Man bør derfor vurdere om det bør stilles noen overordnede funksjonelle krav til lagring som blant annet de nevnte standardene vil oppfylle.

Lagring av elektroniske dokumenter over lengre tid 12 innebærer problemer og utfordringer vi ikke kjenner, eller som i alle fall er mindre påtrengende enn ved bruk av papir som lagringsmedium. I framtiden trenger man å kunne arkivere f.eks. bilder, tegninger og lyd sammen med de øvrige dokumentene. Vår definisjon av «dokument» som en avgrenset informasjonsmengde, kan bli utfordret av elektroniske dokumenter med hyperlenker til andre elektroniske dokumenter. En annen utfordring er at et dokument kan se annerledes ut når det presenteres via en nyere versjon av tekstbehandlingssystemet enn den det ble skrevet i. Dette kan medføre endringer i (sentral)arkivets funksjon, og arkivfunksjonen vil trolig bli enda viktigere enn før. For det første kan det være behov for særskilt utstyr og kompetanse for å bevare elektroniske meldingers integritet over tid. For det andre kan det tenkes at forvaltningens arkiv også må betjene enkeltpersoner i noe større grad enn tilfellet er i dag, jf. punkt 11.2.7.7.

Det vil antakelig finnes en del tilfeller eller typer anvendelse av elektronisk kommunikasjon der det bare vil være aktuelt å verifisere meldinger i forholdsvis kort tid etter at den aktuelle transaksjonen eller informasjonsutvekslingen fant sted. I så fall er det antakelig tilstrekkelig å kreve at man har tilgjengelig de verifiseringsdataene som er nødvendige for å verifisere meldingen så lenge den er lagret. Dette bør være et minimumskrav for meldinger som etter arkivloven eller annet regelverk skal arkiveres, og kan hensiktsmessig framstå som hovedregelen.

Det er imidlertid flere særskilte problemer knyttet til arkivering og oppbevaring av meldinger med digitale signaturer. For det første har sertifikatene en begrenset gyldighetsperiode (gjerne to til tre år fra det tidspunkt de er utstedt). Etter at sertifikatet er løpt ut, kan man ikke lenger basere seg på sertifikatet alene ved verifisering av signaturen. For det andre kan sertifikatet være trukket tilbake etter at signaturen ble verifisert. Dersom det ikke er truffet tiltak som gjør det mulig å tidfeste når signaturen ble påført og når den ble verifisert, kan man ikke uten videre bygge på signaturen etter at sertifikatet er trukket tilbake. I tillegg svekkes sikkerheten med tiden. Ved arkivering bør det derfor oppbevares tilstrekkelige opplysninger til at man i ettertid kan sannsynliggjøre at signaturen ble tilfredsstillende verifisert på relevant tidspunkt.

Dette kan f.eks. skje ved at meldingen arkiveres sammen med ulike «tidsstempel» og øvrige relevante opplysninger som definert i ETSI ES 201 733 Electronic Signature Formats (f.eks. komplett kjede av sertifikater og tilbaketrekkingsdata eller referanse til disse). For langtidslagring kan i tillegg et såkalt «arkiv-tidsstempel» påføres.

Alternativt kan arkivfunksjonen innhente nødvendige opplysninger og gjennomføre nødvendige verifiseringer. Deretter arkiveres meldingen sammen med arkivets bekreftelse på at korrekt verifisering fant sted på et bestemt tidspunkt. Tilliten er i dette tilfellet ikke basert på muligheten for å gjenta verifiseringsprosessen med sikkert resultat. Idéen er derimot at tilliten til arkivfunksjonen og arkivets rutiner skal etablere den nødvendige bekreftelse på at knyttingen mellom meldingen og sertifikatet var i orden ved mottak, eller at det på annen måte ble gjennomført tilfredsstillende autentisering, og at arkivet deretter har sikret meldingens integritet 13. Denne framgangsmåten kan være aktuell blant annet dersom den signerte meldingen blir konvertert til nytt format. Den opprinnelige signaturen kan bare verifiseres i forhold til formatet meldingen hadde da signaturen ble generert.

Melding som er signert med en digital signatur, og som blir arkivert, 14 skal arkiveres sammen med sertifikat som bekrefter signaturen og øvrige opplysninger som er nødvendige for å verifisere signaturen, herunder bekreftelse på at sertifikatet ikke var trukket tilbake da verifisering fant sted 15.
For meldinger der sertifikatets gyldighetsperiode er kortere enn tiden det kan ta å bekrefte meldingens innhold, og for meldinger som ved arkivering eller i løpet av oppbevaringstiden skal konverteres til annet format, skal arkivet ved mottak verifisere signaturen og deretter på hensiktsmessig måte bekrefte knyttingen mellom meldingen, meldingens signatur og aktuelt sertifikat sammen med opplysning om tidspunktet for bekreftelsen. Arkivet skal sikre integriteten til meldingene og bekreftelsen av de nevnte forholdene i oppbevaringsperioden. 16 Arkivet kan beslutte at denne framgangsmåten skal benyttes også for andre meldinger (enn de som er nevnt i første setning).
Dersom arkivet ikke lykkes i å verifisere signaturen, skal det lagres opplysning om det, om mulig sammen med opplysning om årsaken til at verifisering ikke lyktes. 17
Melding eller resultatet av en automatisert databehandling (f.eks. fra automatisert tjeneste med web-grensesnitt) som er bekreftet med annen autentiseringsteknikk enn digital signatur, skal lagres sammen med opplysninger om at korrekt autentisering har funnet sted, og om mulig hvilken teknikk som ble benyttet. 18

11.2.5 Signering og verifisering av signatur – bruk av helt eller delvis automatiserte systemer

11.2.5.1 Signering av meldinger som behandles manuelt

Signering av meddelelser med digital signatur bør antakelig følge de samme reglene som til enhver tid gjelder for tilsvarende meddelelse sendt på papir – i hvert fall når det gjelder det innholdsmessige.

Man kunne imidlertid tenke seg en ordning med bruk av digitale signaturer for «forsegling» av meldinger der «seglet» identifiserer etaten som utsteder (kildeautentisering ). Et slikt «segl» kan være bærer av funksjoner som likner den tillitbyggende effekten man oppnår ved bruk av forvaltningsorganets trykte brevark og konvolutter. Forsegling ved hjelp av en digital signatur gir også dataintegritet.

Dersom etaten eller virksomheten kan identifiseres gjennom et slikt «segl», «digitalt stempel», eller hva man nå vil kalle det, er det antakelig ikke nødvendig at mottaker kan identifisere saksbehandler gjennom signaturen. Hvis det er av betydning at mottaker av meldingen kjenner saksbehandlers identitet, kan den framgå av selve meldingen. Slik er situasjonen i dag. De færreste av oss er i stand til å identifisere avsender basert på signaturen. De nødvendige opplysningene finner vi i klartekst andre steder i dokumentet.

Signering som gjøres av saksbehandler, og evt. overordnede, blir en intern prosess som sikrer innholdet, og at etaten innestår eller hefter for dette. Saksbehandlingssystemet bør sikre at meldinger ikke formidles til «forsegling» og utsending før kravene til den interne saksbehandling er ivaretatt. F.eks. kan det sikre at riktig antall personer eller person på rette nivå i organet har godkjent meldingen for utsending, eller at de relevante operasjonene, for den aktuelle sakstypen er registrert gjennomført mv.

«Seglet» som blir påført ved utsending, eller når meddelelsen gjøres tilgjengelig på annen måte, bør være en bekreftelse på at de interne prosessene er ivaretatt – og derved det eneste mottaker behøver å forholde seg til.

Framgangsmåten vil innebære en kanalisering av all etatsrelatert informasjonsutveksling via en eller flere «meldingssentraler». Dette vil antakelig legge til rette for effektiv journalføring, gjennomføring av innsynsrett mv.

Den sentraliserte oppgaven med forsegling mv. bør være en automatisert funksjon slik at meldingen kan sendes ut eller gjøres tilgjengelig på aktuelt informasjonssystem uavhengig av om arkiv/postmottak er bemannet.

Det må være mulighet for kommunikasjon direkte mellom saksbehandlere i ulike forvaltningsorganer. Dette kan være aktuelt bl.a. i forbindelse med forvaltningsinternt arbeid med budsjetter e.l. som både skal holdes konfidensielt, og som må kunne kommuniseres mellom saksbehandlere uavhengig av om arkiv eller postmottak er bemannet.

11.2.5.2 Verifisering av signaturer ved mottak

En sentralisert funksjon kan også være aktuelt når etaten er mottaker. Det vil si at ikke bare mottak, og evt. dekryptering, men også verifisering av signaturer og sertifikater foregår sentralt – slik at saksbehandler kan forholde seg til meldingens innhold slik det framstår for ham.

Dette kan lette både teknologiinnføring, opplæring og informasjon i etatene ved at en del oppgaver ivaretas uten at den enkelte saksbehandler behøver å involvere seg.

Foreliggende ETSI-standard for signaturformat (ES 201 733) forutsetter at nødvendige opplysninger og behandlingsregler på sikt kan representeres og distribueres i maskinlesbar form, som en del av signaturen i form av referanse til en signaturpolicy, slik at mottakende system kan behandle henvendelsen automatisk 19. En signaturpolicy er primært tenkt knyttet til spesifiserte typer.

Inntil videre må imidlertid en del av disse spørsmålene løses enten lokalt i det enkelte informasjonssystemet, gjennom kryssertifisering og liknende tiltak, eller vurderes av den enkelte saksbehandler. Så langt det er mulig, bør man unngå å basere seg på manuell behandling hos den enkelte saksbehandler når det gjelder elektroniske signaturer. Med mulig unntak av det å vurdere koplingen mellom sertifikateier og den aktuelle saken, som etter omstendighetene kan forutsette konkret kunnskap om saken eller parten, bør tiltak knyttet til verifisering av signaturen skje enten automatisk eller sentralt i organet. Det kan ikke og bør ikke kreves eller forventes at den enkelte saksbehandler skal kunne vurdere f.eks. om en gitt sertifikatpolicy eller signaturpolicy er tilfredsstillende for formålet 20.

11.2.5.3 Henvendelser som behandles automatisk

I en del tilfeller vil henvendelser til forvaltningen bli behandlet automatisk. Dette spenner over et bredt register, fra å gjøre opplysninger og søknadsskjemaer eller liknende tilgjengelig til behandling av standardiserte meldinger og til den automatiserte avgjørelsesprosessen.

I slike sammenhenger blir personrelaterte sertifikater i det mottakende systemet uten reell betydning. Det gir ikke mening å utstyre et informasjonssystem med sertifikater som peker til en person som har de nødvendige fullmakter til å gjennomføre den aktuelle transaksjonen, når behandlingen i sin helhet gjennomføres av informasjonssystemet.

Det hensiktsmessige må være at systemet «signerer» direkte på vegne av etaten for de transaksjonene systemet er «autorisert» for å behandle. Med andre ord, når forvaltningsorganet har innrettet seg slik at behandlingen i systemet er avgjørende for resultatet, og resultatet formidles i elektronisk form direkte til den det gjelder, bør det framgå at meldingen er avgitt av organet som sådant, og mottakeren bør kunne innrette seg i forhold til dette. Man bør ikke opprettholde noen fiksjon om at en person med fullmakt står bak avgjørelsen.

Det må finnes rutiner for kvalitetssikring av slike systemer og for godkjenning av dem. Rutinene må blant annet sikre at relevant regelverk er representert i systemet på korrekt måte, og at behandlingen kan gjennomføres lovlig uten manuell behandling. Gjennomføring av slik kvalitetssikring og godkjenning må være et absolutt og ufravikelig krav og kan ikke være forhandlingstema ved inngåelse av avtale om utvikling eller levering av slikt informasjonssystem.

Når man mister siste rest av manuell saksbehandling på et område, glipper også taket i forestillingen om saksbehandleren som fatter en veloverveid beslutning. Vår forvaltningslov bygger nok på denne forutsetningen.

Det skjer utvilsomt en betydelig grad av automatisering på enkelte forvaltningsområder allerede i dag. Inntil nå har imidlertid dette til en viss grad vært «skjult» bak de rutinene for formidling av informasjon på papir som har funnet sted uavhengig av behandlingsform. Når vi nå er på vei over i stadig mer omfattende elektronisk saksbehandling og elektronisk kommunikasjon, blir også dette kjennetegnet ved tradisjonell saksbehandling borte. Det kan derfor være på tide å vurdere om forvaltningsloven uttrykkelig bør åpne for helt automatiserte beslutningsprosesser og samtidig synliggjøre kravene til slike systemer ved å stille opp eller gi hjemmel for utarbeiding av krav til kvalitetssikring og godkjenning.

11.2.5.4 Utstedelse og bruk av sertifikater for informasjonssystemer

Avsnittene over gir bakgrunnen for følgende forslag:

Informasjonssystemer som benyttes i forbindelse med helt eller delvis automatiserte behandlinger, og som i sitt resultat er eller framstår som avgjørelser i forvaltningslovens forstand, skal utstyres med sertifikat som identifiserer den etaten som informasjonssystemet behandler meldinger for.
Sertifikatet skal inneholde opplysninger som overfor mottakeren av sertifikatet bekrefter knyttingen mellom en behandling utført av informasjonssystemet og den aktuelle etat. 21
Mottaker av meldinger knyttet til slike sertifikater kan forholde seg til meldingen som om den var signert av en person i forvaltningen med fullmakt til å avgi eller signere nevnte melding eller avgjørelse med mindre vedkommende visste eller måtte vite at meldingen eller avgjørelsen var blitt til ved en feil. 22
Søknad om utstedelse av sertifikat som knytter signaturverifiseringsdata (offentlig nøkkel) til et informasjonssystem og en offentlig etat, og som skal brukes ved behandlinger som kan resultere i avgjørelser etter forvaltningsloven, skal godkjennes av den som er bemyndiget til å tildele fullmakter på etatens vegne.

11.2.5.5 Sårbarhetsbetraktninger – sikring av nøkler for informasjonssystemer

De av forvaltningens systemer som måtte bli utstyrt med egne sertifikater for signering/forsegling, må stort sett antas å være virksomhetskritiske systemer. Stans i, eller et «angrep» på, et slikt system vil kunne lamme virksomheten i en periode.

Hvis nøkkelsertifikatet til et slikt system trekkes tilbake, vil systemet i praksis bli satt ut av drift fordi det ikke lenger er mulig å verifisere meldinger fra systemet. For enkeltpersoner vil det neppe være et uoverstigelig problem å vente en dag eller to på nye nøkler og sertifikat dersom signeringsnøkkelen skulle bli kompromittert. For en større virksomhet, som et forvaltningsorgan, kan selv noen timers stans være kritisk. Med mindre generering av nye nøkler og utstedelse av nytt sertifikat kan skje meget raskt, bør det derfor etableres rutiner for at slike informasjonssystemer utstyres med minst ett ekstra sett med signeringsnøkler som raskt kan tas i bruk dersom et sertifikat blir trukket tilbake eller en signeringsnøkkel går tapt, f.eks. som følge av teknisk svikt.

Konsekvensene av stans i systemet utgjør også en særlig utfordring i forhold til sårbarheten som ligger i muligheten for kompromittering av den nøkkelen sertifikatutsteder benytter for signering av sertifikater. Dersom denne nøkkelen kompromitteres, rykkes grunnlaget for tilliten bort for alle sertifikater utstedt av denne sertifikatutstederen med den aktuelle nøkkelen.

I sistnevnte tilfelle vil det ikke hjelpe å ha flere nøkler fra samme utsteder ettersom alle vil være utsatt for samme tillitssvikt. Det bør derfor vurderes om ikke informasjonssystemer for forvaltningsorganet skal utstyres med nøkler (signaturgenereringsdata) fra minst to uavhengige sertifikatutstedere.

Signeringsnøkler som benyttes i automatiserte systemer, må være installert slik at de kan benyttes direkte av systemet uten noen menneskelig mellomkomst. Dette stiller krav til sikring av informasjonssystemet for å unngå misbruk av, og angrep på, de aktuelle nøklene. Ettersom sikringstiltakene ikke kan bygges rundt enkeltpersoners godkjenning av hver enkelt «signeringshandling», jf. det som er sagt om forvaltningsansattes bruk i note 27 nedenfor, må tiltakene i stedet være knyttet til fysisk og logisk sikring av informasjonssystemet og det miljøet det opererer i.

For et informasjonssystem som er utstyrt med sertifikat for forvaltningsorganet, skal det være lagt opp rutiner som sikrer at systemet raskt kan settes i drift med nye signaturgenereringsdata og nytt sertifikat dersom det sertifikatet som er i bruk, blir trukket tilbake eller signaturgenereringsdata går tapt.
Det bør vurderes om informasjonssystemet skal være utstyrt med signaturgenereringsdata og sertifikat fra mer enn én sertifikatutsteder.
Signaturgenereringsdata skal være sikret mot misbruk etter anerkjente prinsipper for informasjonssystemers sikkerhet.

11.2.6 Forvaltningsansattes bruk av elektronisk signatur

11.2.6.1 Anskaffelse av nøkler, koder og sertifikat

For å kunne iverksette elektronisk saksbehandling i større skala må arbeidsgiver kunne pålegge den forvaltningsansatte å ta i bruk de sikkerhetstjenester som forvaltningsorganet har valgt å benytte i sin saksbehandling. På hvilken måte tildeling av nøkler, koder og sertifikater skal skje, og hvor den enkelte må henvende seg for registrering e.l., vil være avhengig av hvilke(n) tjeneste(r) som er valgt. Arbeidsgiver må derfor gi den forvaltningsansatte anvisning om hvorledes vedkommende skal forholde seg.

Av koordineringshensyn, og for å sikre best mulig effektivitet i de interne kommunikasjonsprosessene i forvaltningen, bør sertifikater som skal benyttes av forvaltningsansatte under tjeneste for arbeidsgiver, kun utstedes av sertifikatutstedere som forvaltningsorganet, eller koordinerende organ for forvaltningen, har utpekt/godkjent og eventuelt inngått rammeavtale med 23. Dette gjør det mulig bl.a. å sikre interoperabilitet og tilgang til nødvendige sertifikatkataloger, at alle forvaltningsansatte har tilgang til de sertifikatene 24 som er nødvendige for å verifisere andre tjenestemenns sertifikater, og kontroll med at tjenestene holder et tilfredsstillende sikkerhetsnivå. Dersom det er nødvendig av koordineringshensyn, eller fordi det enkelte forvaltningsorgan mangler kompetanse på området, kan det være hensiktsmessig å begrense valgmulighetene til sertifikatutstedere man har inngått rammeavtale med. Det forutsettes at ordningen med rammeavtaler innrettes i henhold til reglene for offentlige anskaffelser.

Et forvaltningsorgan kan gi sine ansatte anvisning om hvilke sikkerhetstjenester de skal benytte under tjeneste for organet, og hvor de skal henvende seg eller gå fram for å anskaffe nødvendige nøkler, koder, sertifikater mv.
Forvaltningsansatte skal under tjeneste for arbeidsgiver kun benytte sertifikater utstedt av sertifikatutsteder som er godkjent av arbeidsgiver eller av et forvaltningsorgan som har koordineringsansvar for forvaltningens virksomhet.
Koordinerende forvaltningsorganer kan bestemme at det under tjeneste for forvaltningsorganer kun skal benyttes sertifikater fra sertifikatutsteder som har inngått rammeavtale om levering av slike tjenester til forvaltningen.
Dersom rammeavtalen løper ut og ikke blir fornyet i løpet av sertifikatets gyldighetsperiode, skal sertifikatet likevel kunne benyttes i resten av gyldighetsperioden, med mindre sertifikatutsteders sertifikat blir trukket tilbake, eller nødvendige katalogtjenester mv. ikke lenger er tilgjengelige.
Koordinerende forvaltningsorganer kan bestemme at slikt sertifikat likevel ikke skal benyttes etter at rammeavtalen er løpt ut. 25

11.2.6.2 Hva må dokumenteres ved anskaffelse av sertifikat?

Hvilke forhold som skal dokumenteres ved anskaffelse av nøkler, koder eller sertifikat mv., vil avhenge av hvilken sikkerhetsløsning som er valgt. For et ansattsertifikat vil det normalt være tilstrekkelig å få dokumentert brukers identitet og ansettelsesforhold. For andre typer av sertifikater kan det i tillegg være nødvendig med opplysning om vedkommendes fullmakter, profesjonstilknytting e.l.

Prosedyrer og krav til dokumentasjon i forbindelse med anskaffelse av sertifikat vil framgå av den sertifikat- eller signaturpolicy forvaltningsorganet har valgt, og som det skal utstedes sertifikat i henhold til.

11.2.6.3 Innsamling av opplysninger og samtykke til utlevering av sertifikat mv.

I henhold til forslaget til lov om elektronisk signatur [ 52] kan opplysninger som skal benyttes i sertifikater, bare innhentes direkte fra den opplysningen gjelder, eller med dennes uttrykkelige samtykke, jf. § 7.

Videre kan sertifikatutsteder ikke utlevere sertifikat til andre uten sertifikateiers samtykke, jf. (forutsetningsvis) lov om elektronisk signatur § 14 annet ledd, bokstav b). Dersom det skal være åpning for at forvaltningsansatte selv signerer utgående meddelelser, må det innhentes samtykke til utlevering av sertifikat.

Det er neppe praktisk eller holdbart at mottaker av en melding, signert av en forvaltningsansatt i tjeneste, ikke skal få tilgang til det aktuelle sertifikatet. Dersom slikt samtykke ikke blir gitt, bør konsekvensen være at den ansatte ikke kan drive utadrettet saksbehandling i elektronisk form.

I normaltilfellene vil relevant sertifikat være vedlagt meldingen slik at utlevering fra sertifikatutsteder ikke er nødvendig. Man bør imidlertid ikke utelukke muligheten for å hente sertifikat direkte fra utsteder (eller eventuelt forvaltningsorganets hjemmeside), og følgelig bør samtykke innhentes rutinemessig. Sertifikat som skal benyttes i forbindelse med kryptering (ved hjelp av mottakers offentlige nøkkel) må hentes hos sertifikatutsteder hvis ikke avsender er kjent med sertifikatet fra før. Slikt sertifikat omfattes imidlertid ikke av lov om elektronisk signatur.

Innsamling av opplysninger som skal benyttes i sertifikat, skal skje direkte fra den opplysningen gjelder eller med dennes uttrykkelige samtykke, jf. lov om elektronisk signatur § 7 [ 52].
I forbindelse med søknad fra forvaltningsansatt om sertifikat til bruk i tjenesten, skal sertifikatutsteder be om den ansattes samtykke til utlevering av sertifikatet til andre, jf. (forutsetningsvis) lov om elektronisk signatur § 14, annet ledd, bokstav b).
Man bør samtidig søke samtykke til utlevering av opplysninger om den ansattes arbeidsområde eller fullmakter i tjenesten når disse opplysningene er lagret i tilknyttet katalog og ikke direkte i det aktuelle sertifikatet, forutsatt at opplysningene kan forventes å ha betydning for anvendelsen av sertifikatet. Slike opplysninger skal kun utleveres i forbindelse med verifisering av det aktuelle sertifikatet. 26

11.2.6.4 Veiledning av den ansatte

Fordi bruken av elektroniske signaturer mv. er lite kjent, er det viktig at det gis tilstrekkelig og hensiktsmessig informasjon til brukeren før teknikkene tas i bruk.

Ved anskaffelse av nøkler, koder og sertifikat skal den ansatte få opplysning/veiledning om:

Ansvar og plikter i forbindelse med oppbevaring og bruk av nøkler, koder og sertifikat mv.,
Aktuell sertifikatpolicy og -praksis (i form av en tilpasset brukerversjon), 27
Egen og andres mulighet til å sperre eller suspendere sertifikatet,
Utløp av sertifikatet,
Sertifikatutsteders oppbevaring av personopplysninger, oppbevaringsperioden og hvem sertifikatet kan utleveres til mv., jf. personopplysningsloven § 19,
Sertifikatutsteders ansvar og plikter,
Registreringsenhetens ansvar og plikter,
Restriksjoner på bruk av sertifikatet.

11.2.6.5 Påbud om bruk av nøkler, koder og sertifikat

Det bør vurderes om forvaltningsorganet og forvaltningsansatte skal ha plikt til å benytte digitale signaturer eller liknende i enkelte sammenhenger.

Når forvaltningsorganet skal utarbeide kriterier for når saksbehandler skal benytte digitale signaturer e.l., bør kriteriene, så langt som mulig, knyttes til vurderinger som saksbehandler skal gjøre uansett, f.eks. vurdering av om den aktuelle meldingen skal arkiveres etter arkivloven, er omfattet av økonomireglementet, eller om det dreier seg om et vedtak i forvaltningslovens forstand. Dette kan gjelde både vedtak om materielle spørsmål og prosessuelle avgjørelser, f.eks. om å avvise en klage eller avvisning av en henvendelse som ellers vil innebære at en sak blir initiert. Man bør så langt det er mulig unngå å innføre nye vurderingstemaer for den enkelte saksbehandler.

Dersom man velger å benytte løsning med sentral «forsegling» av meldinger og underretning om vedtak over dedikert informasjonssystem, vil behovet for å pålegge den enkelte saksbehandler plikter med hensyn til signering bli vesentlig mindre.

11.2.6.6 Annen bruk av nøkler, koder og sertifikat

Utenom de tilfellene der det er plikt til å benytte digitale signaturer eller sende meldingen via meldingssentral, bør saksbehandler selv kunne velge å benytte digitale signaturer under utøving av tjenesten der vedkommende finner det hensiktsmessig, eller hvis mottaker krever det.

11.2.6.7 Restriksjoner på bruk av nøkler, koder og sertifikat

For å unngå sammenblanding av roller har utvalget funnet det mest hensiktsmessig at personlig sertifikat (ansattsertifikat) som inneholder peker til et forvaltningsorgan som arbeidsgiver, ikke skal benyttes for andre formål enn i tjeneste for arbeidsgiver. For private formål må den enkelte anskaffe personsertifikat.

Autentiseringsdata eller sertifikat (f.eks. ansattsertifikat) som inneholder peker til et forvaltningsorgan som arbeidsgiver, skal kun benyttes i tjeneste for arbeidsgiver.
Personlige (private) sertifikater skal ikke benyttes i tjeneste for arbeidsgiver.

11.2.6.8 Krav til forsvarlig bruk og oppbevaring av nøkler/nøkkelbærende medium

Dette innebærer for det første å sikre at andre ikke får tilgang til koder og nøkler, for det andre at koder og nøkler bare benyttes til det formålet de er utstedt for. For det tredje må eier aldri forlate datamaskinen usikret i en slik status at andre kan fortsette en aktiv sesjon eller sende meldinger på andres vegne.

I tillegg er det behov for å sikre at signaturframstillingsdata, og de dataene som skal signeres, ikke «angripes» eller «misbrukes» av det informasjonssystemet de benyttes i, f.eks. som følge av virus e.l. Dette stiller krav til signaturframstillingssystemet , brukerens øvrige systemkonfigurasjon, det omkringliggende miljøet («brannmurer» o.l.) og PC-er som sådanne. Slike krav må i første omgang ivaretas av den enhet som står for anskaffelse og drift av informasjonssystemene i virksomheten, jf. punkt 11.4. I neste omgang må det stilles krav til brukeren om ikke å foreta handlinger som kan true sikkerheten i systemet, som ukritisk nedlasting eller installering av ikke godkjent programvare e.l. I praksis må dette antakelig løses ved at arbeidsgiver gir instrukser om bruk av virksomhetens informasjonssystem.

Eieren av signaturframstillingsdata skal oppbevare og benytte disse på en slik måte at de ikke gjøres tilgjengelige for andre.
Signaturframstillingsdata skal kun benyttes til de formålene de er utstedt for.
Eieren skal aldri forlate arbeidsstasjon, terminal eller annen enhet som benyttes for autentisering eller signaturgenerering uten å sikre at signaturframstillingsdata ikke lenger er tilgjengelige på/i enheten, at den aktuelle sesjon er avsluttet, eller at enheten på annen måte er sikret mot uvedkommendes misbruk. 28
Eieren av signaturframstillingsdata skal ikke overlate disse til andre eller gi andre tilgang til dem, heller ikke når andre skal handle på hans vegne. Dersom noen skal handle på vegne av en annen (etter fullmakt) skal dette skje med fullmektigens egne signaturframstillingsdata under henvisning til at meldingen er avgitt på vegne av en annen. (Den man opptrer på vegne av, kan utstede rollesertifikat til sin fullmektig (når dette blir tilgjengelig).)
Bestemmelsene om signaturframstillingsdata gjelder tilsvarende for bruk av autentiseringsdata (passord/PIN-koder).
Den ansatte skal ellers følge instruksene arbeidsgiver har fastsatt om bruk og sikring av virksomhetens informasjonssystem, herunder om kontroll med materiale som skal lastes ned eller installeres i informasjonssystemet.

11.2.6.9 Varslingsplikter ved tap av nøkler, mistanke om misbruk mv.

Et ledd i forsvarlig bruk av koder, passord, nøkler og nøkkelbærende medier er omgående varsling dersom det oppstår mistanke om at nøkler er tapt, kommet på avveie eller på annen måte blir eller kan bli misbrukt.

Eieren av signaturframstillingsdata eller autentiseringsdata skal straks varsle sertifikatutsteder eller den som ellers er utpekt til å motta varsel dersom det oppstår mistanke om at signaturframstillingsdata eller autentiseringsdata er tapt, kommet på avveie eller på annen måte blir eller kan bli misbrukt.

11.2.6.10 Krav til kontroll av sertifikater og tilbaketrekkingslister

Ved mottak av melding utstyrt med signatur må det blant annet kontrolleres om signaturen kan verifiseres, om de relevante sertifikater fortsatt er gyldige og tilfredsstillende for den aktuelle anvendelsen, om sertifikatet tilhører rett person mv. Hvilke kontroller som skal gjennomføres og hvilken tilleggsinformasjon som skal innhentes, vil avhenge av hvilken tjeneste som benyttes, og hvor kritisk den enkelte anvendelse er. Kravene kan defineres gjennom en signaturpolicy 29.

Spørsmålet om i hvilken grad saksbehandler skal gjennomføre de aktuelle kontrollene, er avhengig av hvilke tjenester som finnes sentralt i organet og hvilke funksjoner som løses automatisk i den enkeltes lokale arbeidsstasjon, jf. om verifisering av signaturer ved mottak under punkt 11.2.5. Dette er imidlertid oppgaver som i størst mulig grad bør løses automatisk. Hvis verifisering derimot ikke lykkes, og dette innebærer at videre behandling av meldingen ikke kan skje, må saksbehandler initiere melding til avsender i henhold til reglene om meldinger som ikke tilfredsstiller kravene under punkt 11.3.5. 30

Dersom melding som er utstyrt med elektronisk signatur, ikke kan verifiseres i henhold til reglene som gjelder for den aktuelle meldingstypen, og dette har betydning for behandling av meldingen i forvaltningsorganet, skal det sendes melding til avsender i henhold til reglene under punkt 11.2.3.

11.2.6.11 Krav til/anbefaling om lokal oppbevaring av sertifikater mv.

Opplysninger som er nødvendige for å verifisere en signatur, bør oppbevares sammen med meldingen eller gjennom vedlikehold av lokal sertifikatdatabase og sperreliste mv. og med referanse til den enkelte melding. Slike opplysninger kan i tillegg til de relevante sertifikatene f.eks. være bekreftelse på kontroll av tilbaketrekkingsliste e.l. Slike opplysninger bør i størst mulig grad oppbevares av arkivet, eventuelt erstattes med arkivets bekreftelse på de forhold som er verifisert, jf. det som er sagt om arkiv og langtidslagring i punkt 11.2.4. Dersom meldingen i en periode oppbevares annet sted enn i sentralt arkiv, må organet eller saksbehandlers lokale system ivareta denne oppgaven.

Kopi av relevant(e) sertifikat(er) og øvrige opplysninger som er nødvendig for verifisering av signaturer over tid, bør oppbevares av arkivet.
Dersom meldingen i en periode lagres lokalt hos brukeren, uten å være oversendt arkivet, bør opplysningene lagres lokalt sammen med meldingen.

11.2.7 Privatpersoners bruk av elektronisk signatur

Forvaltningen har en åpenbar interesse i, og behov for, å ha klare regler for håndtering av elektroniske meldinger som mottas av, behandles i og sendes fra forvaltningsorganer. Derimot bør det antakelig vises tilbakeholdenhet med å pålegge borgerne plikter med hensyn til hvorledes de skal håndtere meldinger i sitt eget informasjonssystem. Med unntak av de tiltak som har betydning for forvaltningens kommunikasjon med den enkelte, bør nok retningslinjene som er rettet mot borgerne, snarere ha form av veiledende retningslinjer enn av bindende regler.

Meldingsbehandlingen hos forvaltning og borger vil ha en del fellestrekk, og det vil langt på vei være de samme spørsmålene som skal behandles. Løsningene kan imidlertid variere blant annet fordi den enkelte normalt ikke har tilgang til noen meldingssentral som verifiserer signaturer eller arkivfunksjon som kan vareta langtidslagring av elektroniske meldinger på en tilfredsstillende måte. Det er mulig at enkeltpersoner bør kunne basere seg på forvaltningens arkiv for langtidslagring av meldinger som er utvekslet med et forvaltningsorgan.

11.2.7.1 Valg av sikkerhetstjeneste

Det bør i utgangspunktet ikke være begrensninger i borgernes adgang til fritt å velge hvilken sertifikattjenestetilbyder de vil benytte så lenge tjenesten tilfredsstiller de krav forvaltningsorganet stiller. Det kan imidlertid være hensiktsmessig, for den som ikke allerede har anskaffet nøkler og sertifikat mv., å benytte en sertifikatutsteder som er utpekt eller drives av det aktuelle forvaltningsorgan eller koordinerende organ for forvaltningen. Brukeren behøver da ikke gjøre noen selvstendig vurdering av om tjenesten holder tilfredsstillende nivå, men kan basere seg på de vurderinger som allerede er gjort av forvaltningen.

Frihet med hensyn til valg av sertifikatutsteder gjør det problematisk å angi hvor/til hvem den enkelte, i egenskap av privatperson, skal henvende seg for å søke om sertifikat. Dersom forvaltningsorganet har gitt anvisning på tilfredsstillende tjenester, jf. ovenfor, vil det normalt opplyses der hvor og hvorledes man skal gå fram hvis man velger blant de anviste tjenestene.

For elektronisk kommunikasjon med forvaltningen må den enkelte benytte tjenester som oppfyller de kravene som stilles.
Dersom det benyttes kvalifiserte signaturer, kan den enkelte selv velge hvilken leverandør av kvalifiserte sertifikater vedkommende vil benytte.
Forvaltningen kan stille tilleggskrav innenfor rammen av lov om elektronisk signatur § 5.

11.2.7.2 Veiledning av bruker

Fordi bruk av elektroniske signaturer mv. er ukjent for de fleste brukere i dag, er det viktig at det gis tilstrekkelig og hensiktsmessig informasjon til brukeren før teknikkene tas i bruk.

Ved anskaffelse av nøkler, koder og sertifikat skal brukeren få opplysning/veiledning om:

Ansvar og plikter i forbindelse med oppbevaring og bruk av nøkler, koder og sertifikat mv.,
Aktuell sertifikatpolicy og -praksis (i form av en tilpasset brukerversjon), 31
Egen og andres mulighet for å sperre eller suspendere sertifikat,
Utløp av sertifikatet,
Sertifikatutsteders oppbevaring av personopplysninger, oppbevaringsperioden og hvem sertifikatet kan utleveres til mv., jf. personopplysningsloven § 19,
Sertifikatutsteders ansvar og plikter,
Registreringsenhetens ansvar og plikter,
Restriksjoner på bruk av sertifikatet.

11.2.7.3 Restriksjoner på bruk av nøkler, koder og sertifikat

Det er grunn til å anta at forvaltningen vil akseptere og benytte en del av de sertifikattjenestene som tilbys i markedet ellers. Disse tjenestene kan ha generell anvendelse eller være anbefalt brukt for et eller flere angitte områder av sertifikatutsteder. Det er neppe grunn til å gripe inn i dette.

Hvis det derimot skulle være aktuelt å utstede sertifikater eller andre autentiseringsdata utelukkende for bruk ved kommunikasjon med forvaltningen, bør det finnes hjemmel til å pålegge brukeren å respektere dette. For å unngå tvil bør slike begrensninger framgå av sertifikatet, og brukeren må gjøres særlig oppmerksom på begrensningene.

Signaturframstillingsdata eller autentiseringsdata som er tildelt den enkelte spesielt for kommunikasjon med forvaltningen, skal ikke benyttes til andre formål.
Slike begrensninger skal framgå av sertifikatet, og brukeren skal opplyses om begrensningene, jf. om veiledning ovenfor.

11.2.7.4 Krav til forsvarlig bruk og oppbevaring av nøkler/nøkkelbærende medium

Uansett hvilken løsning som velges for den enkelte anvendelse, må det stilles krav til den enkeltes omgang med og bruk av signaturframstillingsdata (signeringsnøkler) eller autentiseringsdata (passord/PIN-koder). Dette er en forutsetning for å kunne ha tillit til løsningen. Dette innebærer for det første å sikre at andre ikke får tilgang til koder og nøkler, for det andre at koder og nøkler bare benyttes til det formålet de er utstedt for. Dette bør gjelde generelt for all bruk av sikkerhetstjenester.

For forvaltningsansatte er det i tillegg et krav at eier aldri forlater datamaskinen usikret i en slik status at andre kan fortsette en aktiv sesjon eller sende meldinger på andres vegne. Det er tvilsomt om man kan eller bør pålegge privatpersoner den siste typen restriksjoner med mindre nøkler, koder eller sertifikat er utstedt særskilt for bruk mot forvaltningen. Det bør derimot gis en klar oppfordring om å følge samme regel.

Også for enkeltpersoner vil det være behov for å sikre at signaturframstillingsdata, og data som skal signeres, ikke «angripes» eller «misbrukes» av det informasjonssystemet de benyttes i, f.eks. som følge av virus e.l. Dette stiller krav til signaturframstillingssystemet, brukerens øvrige systemkonfigurasjon og det omkringliggende miljøet («brannmurer» o.l.). Privatpersoner vil normalt måtte støtte seg på sin systemleverandør når det gjelder disse forholdene. I neste omgang blir det opp til brukeren ikke å foreta handlinger som kan true sikkerheten i systemet, som ukritisk nedlasting eller installering av ikke godkjent programvare. Selv om manglende oppfølging fra brukernes side kan føre med seg feil og misbruk, og i neste omgang et generelt press mot tilliten til signatursystemet, bør man nok være forsiktig med å legge restriksjoner på den enkeltes adgang til å anskaffe og å gjøre endringer i eget system. Derimot bør det gis anbefalinger, gjerne fra sertifikatutsteder, om hvorledes den enkelte bør forholde seg. For anvendelser der behovet for sikkerhet er høyt, får man heller gå veien om å kreve bruk av såkalte «sikre signaturgenereringssystemer», jf. lov om elektronisk signatur, kap. II, eller stille andre særskilte krav til brukerens informasjonssystem.

Eieren av signaturframstillingsdata skal oppbevare og benytte disse på en slik måte at de ikke gjøres tilgjengelige for andre.
Signaturframstillingsdata skal kun benyttes til de formålene de er utstedt for.
Eieren av signaturframstillingsdata bør aldri forlate arbeidsstasjon, terminal eller annen enhet som benyttes for autentisering eller signaturgenerering uten å sikre at signaturframstillingsdata ikke lenger er tilgjengelige på/i enheten, at den aktuelle sesjon er avsluttet, eller enheten på annen måte er sikret mot misbruk 32.
Eieren av signaturframstillingsdata skal ikke overlate disse til andre eller gi andre tilgang til dem, heller ikke når andre skal handle på hans vegne. Dersom noen skal handle på vegne av en annen (etter fullmakt), skal dette skje med fullmektigens egne signaturframstillingsdata under henvisning til at meldingen er avgitt på vegne av en annen. (Den man opptrer på vegne av, kan utstede rollesertifikat til sin fullmektig (når dette blir tilgjengelig).)
Bestemmelsene om signaturframstillingsdata gjelder tilsvarende for bruk av autentiseringsdata (passord/PIN-koder).
Eieren av signaturframstillingsdata bør kun benytte disse i informasjonssystemer som vedkommende har tillit til, og følge de anbefalinger som gis av sertifikatutsteder om innretting og bruk av systemet. Man bør vise varsomhet ved endringer i systemet, og man bør kontrollere materiale som skal lastes ned eller installeres i informasjonssystemet.

11.2.7.5 Varslingsplikter ved tap av nøkler, mistanke om misbruk mv.

Eieren av signaturframstillingsdata eller autentiseringsdata skal straks varsle sertifikatutsteder eller den som ellers er utpekt til å motta varsel dersom det oppstår mistanke om at signaturframstillingsdata eller autentiseringsdata er tapt, kommet på avveie eller på annen måte blir eller kan bli misbrukt.

11.2.7.6 Krav til kontroll av sertifikater og tilbaketrekkingslister

Ved mottak av melding utstyrt med signatur må det blant annet kontrolleres om signaturen kan verifiseres, om de relevante sertifikatene fortsatt er gyldige og tilfredsstillende for den aktuelle anvendelse, om sertifikatet tilhører rett person mv. Hvilke kontroller som skal gjennomføres og hvilken tilleggsinformasjon som skal innhentes, vil avhenge av hvilken tjeneste som benyttes, og hvor viktig den enkelte anvendelse er. Kravene kan defineres gjennom en signaturpolicy 33.

I motsetning til saksbehandler i forvaltningen, som kan ha funksjonen dekket gjennom en sentralisert tjeneste, må enkeltpersoner besørge nødvendig verifisering selv. Dette er oppgaver som i størst mulig grad bør løses automatisk. De vesentligste av disse funksjonene vil formodentlig være tilgjengelige og automatisert i den enkeltes lokale informasjonssystem og gjennom tjenesteleverandøren. Det kan neppe kreves at den enkelte skal kunne utføre dette manuelt. Eventuelle retningslinjer må derfor ha karakter av anbefalinger som er rettet vel så mye mot leverandører av produkter og tjenester, som mot brukeren selv.

Hvis verifisering derimot ikke lykkes, og dette har slik betydning at videre behandling av meldingen ikke kan skje, bør brukeren, på samme måte som en saksbehandler i et forvaltningsorgan, initiere melding til avsender.

Dersom melding som er utstyrt med elektronisk signatur, ikke kan verifiseres i henhold til reglene som gjelder for den aktuelle meldingstypen, og dette har betydning for behandling av meldingen, bør det sendes melding til avsender.

11.2.7.7 Krav til/anbefaling om lokal oppbevaring av sertifikater mv.

Opplysninger som er nødvendige for å verifisere en signatur, bør oppbevares sammen med meldingen eller gjennom vedlikehold av lokal, historisk, sertifikatdatabase og sperreliste mv. og med referanse til den enkelte melding. Slike opplysninger kan i tillegg til de relevante sertifikatene f.eks. være bekreftelse på kontroll av tilbaketrekkingsliste e.l.

I motsetning til hva som gjelder for forvaltningen, vil enkeltpersoner normalt ikke ha tilgang til arkivtjeneste som kan ivareta denne funksjonen. Det er også vanskelig å se hvorledes den enkelte skal kunne klare dette på egen hånd. Det kan derfor være nødvendig å la den enkelte få basere sin langtidslagring av meldinger utvekslet med forvaltningen i forvaltningens arkiv. Dette vil i så fall ytterligere forsterke behovene for oppfyllelse av plikten til journalføring og arkivering på forvaltningens hånd. Den tiden den aktuelle transaksjonen eller informasjonsutvekslingen pågår, bør den enkelte i tillegg oppbevare de nødvendige opplysningene selv. Det er også mulig at det vil vokse fram særskilte tjenester som tilbyr oppbevaring av elektronisk lagret materiale over tid. 34

Lagring av relevant(e) sertifikat(er) og øvrige opplysninger som er nødvendige for verifisering av signaturer som er benyttet ved kommunikasjon med forvaltningsorgan, kan den enkelte overlate til forvaltningens arkiv.
Hvorledes langtidslagring, og eventuelt utlevering til enkeltpersoner, skal skje, følger de til enhver tid gjeldende regler for arkivet.
Den tiden den aktuelle transaksjonen eller informasjonsutvekslingen pågår, bør den enkelte i tillegg oppbevare nødvendige opplysninger selv.

11.2.8 Inngrep ved misbruk av sertifikat ved kommunikasjon med forvaltningen

Elektronisk saksbehandling må bygge på tillit til de valgte sikkerhetsløsningene. Men sikkerheten avhenger av at brukerne opptrer aktsomt og lojalt. Dersom et antall brukere misbruker en sikkerhetsløsning, vil dette svekke tilliten til løsningen som helhet. Det bør derfor være mulig å sperre for brukere som misbruker løsningen. Sperring kan f.eks. skje ved at brukernavn sperres, eller at sertifikater trekkes tilbake.

Dette kan være et anliggende for den enkelte sertifikatutsteder, men kan også gjelde forvaltningsorganet direkte, enten fordi forvaltningsorganet selv administrerer koder eller passord, eller fordi forvaltningsorganet ikke lenger har grunn til å ha tillit til bruken av et bestemt sertifikat. I så fall kan sperring skje enten av sertifikatutsteder, hvis den aktuelle policyen åpner for sperring etter initiativ fra utenforstående eller sertifikatutsteder selv, eller i lokal sperreliste hos forvaltningsorganet hvis en slik finnes. Det bør vurderes å operere med slike «interne lister» som del av den lokale nøkkeladministrasjonen hvis borgerne står fritt til å velge sertifikattjenester fra andre enn de forvaltningen har avtale med.

Dersom borgeren benytter et sertifikat fra en frittstående sertifikatutsteder, og dette sertifikatet kan benyttes også til andre formål enn kommunikasjon med forvaltningen, er det ikke sikkert at et eventuelt misbruk i forbindelse med f.eks. rapportering til forvaltningen gir grunnlag for å trekke tilbake sertifikatet som sådant, i og med at slik tilbaketrekking også vil sperre for andre anvendelser. Det kan likevel være grunn for forvaltningsorganet til å sperre sertifikatet for bruk mot forvaltningen. Det kan i så fall skje ved hjelp av lokale sperrelister, eventuelt ved samkjøring med satsvis nedlastede sperrelister fra sertifikatutsteder. En slik løsning vil være mindre inngripende overfor sertifikateier enn sperring av sertifikatet i sertifikatutsteders sperreliste.

Samtidig må man ta høyde for at sperring av koder eller sertifikater kan ha inngripende virkning overfor den enkelte. Derfor må det etableres rutiner for kvalitetssikring av opplysninger som ligger til grunn for en slik avgjørelse, adgang til overprøving, håndtering av sertifikater mens klagen er under behandling, og prosedyrer som sikrer at slik behandling skjer raskt.

Før sperring skjer, må sertifikateier få anledning til å uttale seg. Ettersom sperring av sertifikat forutsetningsvis er en reaksjon på et grovt tillitsbrudd fra sertifikateier overfor forvaltningsorganet, og fortsatt misbruk vil kunne påføre forvaltningen eller andre tap eller merarbeid, bør ikke fristen være lenger enn det som er nødvendig for sertifikateier for å rette innvendinger mot sperring av sertifikatet.

Ved begrunnet mistanke om misbruk av sertifikat ved kommunikasjon med forvaltningsorgan kan forvaltningsorganet sperre brukeridentiteten eller sertifikatet for videre bruk mot organet. Det samme gjelder dersom sertifikateier misbruker tillatelse eller adgang til å kommunisere elektronisk med organet. 35
Før sertifikatet sperres, skal forvaltningsorganet sende sertifikateier melding om at de vurderer å sperre sertifikatet, og begrunnelsen for dette. Sertifikateier skal oppfordres til å uttale seg om grunnlaget for sperring. Forvaltningsorganet skal sette en frist for en slik uttalelse (som ikke skal være kortere enn (antall) dager).
Dersom forvaltningsorganet, etter å ha vurdert sertifikateiers uttalelse, velger å sperre sertifikatet, skal forvaltningsorganet straks sende sertifikateier melding om dette.
Sertifikateier kan påklage vedtak om sperring.
Klage over sperring av sertifikat skal behandles så raskt som mulig, og klageorganet kan bestemme at klagen skal gis oppsettende virkning.
Klageorgan for sperring av sertifikat i forvaltningen utpekes av Kongen/koordinerende departement. Det kan gis særskilte regler om behandling av klage over sperring av sertifikater.
Bestemmelsene gjelder tilsvarende for sperring av autentiseringsdata (brukernavn med tilhørende passord/PIN-kode) i informasjonssystemer tilrettelagt av forvaltningsorganet så langt de passer.

11.2.9 Kopi av signeringsnøkler

Kopiering av signeringsnøkler for privatpersoner og ansatte bør normalt ikke forekomme. Dersom en signeringsnøkkel kommer på avveie, vil det være mulig for andre å opptre som eierens «elektroniske dobbeltgjenger» inntil det tilhørende sertifikatet er sperret.

Det er heller ikke noe stort behov for kopiering av signeringsnøkler. Dersom nøkkelen går tapt eller kommer på avveie, kan det genereres en ny, og utstedes et nytt sertifikat. For enkeltpersoner vil det neppe være noe uoverstigelig problem å være uten nøkkel og sertifikat den tiden det tar å utstede et nytt.

Data vil ikke gå tapt selv om signeringsnøkkel tapes eller et sertifikat trekkes tilbake. De problemer som er knyttet til verifisering av signaturer med tilbaketrukne sertifikater, er berørt under avsnitt 11.2.4 om arkivering.

Om reserveløsninger for automatiserte systemer, se punkt 11.2.5.

Det skal ikke forekomme kopier av signeringsnøkler utstedt til enkeltpersoner.

11.3 Innholdskryptering og nøkkelhåndtering

11.3.1 Innledning

Krav til innholdskryptering 36 (sikring av konfidensialitet) utløses til dels av andre regler og bygger på andre hensyn enn krav til sikring av integritet, autentisering og ikke-benekting . Det stilles også andre krav til brukere i forbindelse med innholdskryptering. Det ansees derfor hensiktsmessig å behandle disse spørsmålene separat – bl.a. for å unngå sammenblanding.

Når endelige regler skal utarbeides, kan man vurdere en samordning med reglene for elektronisk kommunikasjon og signaturtjenester. En slik samordning forutsetter imidlertid at det 1) innebærer en forenkling eller annen effektivisering av regelverket, og 2) ikke innebærer risiko for misforståelser. I motsatt fall vil det antakelig være mer hensiktsmessig å holde reglene atskilt, i alle fall i ulike kapitler i samme forskrift/instruks. Forenklinger kan f.eks. være knyttet til felles prosedyrer for søknad og behandling av søknader om tildeling av nøkler, kort, koder og sertifikater. Misforståelser kan oppstå f.eks. som følge av begrepsforvirring.

Bruk av innholdskryptering stiller krav både til forvaltningens ansatte og til den enkelte som kommuniserer med forvaltningen. Dette gjelder forsvarlig omgang med nøkler, valg av korrekt nøkkel for kryptering (evt. av sesjonsnøkkel), prosedyrer ved mottak av kryptert materiale og sikkerhetskopiering og oppbevaring eller deponering av krypteringsnøkler. Kravet til tilgjengelighet forutsetter løsninger som sikrer at materialet ikke går tapt, som følge av at nøkler mistes eller ødelegges.

De anbefalte reglene griper ikke inn i de reglene som utløser krav til bruk av innholdskryptering eller annen sikring av opplysninger, men er ment som et supplement som kommer til anvendelse når kryptering eller sikringstiltak skal benyttes.

11.3.2 Samordning av krav til innholdskryptering

Krav til eller behov for innholdskryptering kan utløses fra flere hold: For det første gjennom alminnelige regler om taushetsplikt, jf. forvaltningsloven § 13 flg. og tilsvarende bestemmelser i forvaltningens særlover. For det andre gjennom krav til behandling av personopplysninger, jf. personopplysningsloven § 2 nr. 8 og utkast til forskrifter om sikring av personopplysninger (nå kap. 4 i utkastet til personopplysningsforskrift). For det tredje dokumenter gradert etter beskyttelsesinstruksen (eller sikkerhetsloven med forskrifter). Og avslutningsvis gjennom forvaltningens behov for å sikre opplysninger unntatt offentlighet av andre hensyn enn de som gjelder reglene ovenfor – f.eks. behandling av budsjetter e.l.

Det ville åpenbart være en fordel med størst mulig grad av samordning når det gjelder krav til innholdskryptering utløst av regler om henholdsvis taushetsplikt, behandling av personopplysninger og andre forvaltningsinterne behov.

Taushetsplikt vil i mange tilfeller være knyttet til behandling av personopplysninger – og behandling av personopplysninger er formodentlig en normal del av forvaltningens kommunikasjon med borgerne, i alle fall så langt det dreier seg om saksrelaterte opplysninger.

Med mindre det kan påvises særlige sikkerhetskrav på det aktuelle forvaltningsorganets område, f.eks. helsevesenet, trygdevesenet og sosialvesenet, som kan innebære skjerpede krav, bør man tilstrebe å operere med et felles sikkerhetsnivå som er tilstrekkelig i alle de tre nevnte tilfellene. Dette kan innebære en «overoppfyllelse» av kravene, men vil likevel være å foretrekke fordi man regelmessig vil være underlagt krav om sikring etter mer enn ett regelverk, og det vil være problematisk for den enkelte saksbehandler (eller meldingssentral) å vurdere sikkerhetsbehovet i det enkelte tilfelle.

Det er ellers nærliggende å tenke seg at vern om sensitive personopplysninger vil representere en yttergrense for hva som kreves, også i forhold til alminnelig taushetsplikt.

11.3.3 Informasjon til borgerne ved formidling av personopplysninger og taushetsbelagt informasjon til forvaltningen

Forvaltningens plikt til å sikre informasjon etter reglene om taushetsplikt og behandling av personopplysninger bør, om ikke annet som et utslag av veiledningsplikten, utløse plikt til å informere borgerne om de risikoer som hefter ved elektronisk formidling av (person)opplysninger, og til å legge til rette for at borgerne enkelt kan få tilgang til hensiktsmessige sikkerhetstjenester.

Taushetsplikten og behandlingsreglene gjelder normalt forvaltningsorganet som sådant. Den enkelte borger kan utvilsomt beslutte at vedkommende selv vil sende opplysninger ubeskyttet til forvaltningen. Men en slik beslutning bør være basert på relevant og tilstrekkelig informasjon slik at vedkommende fatter en «opplyst beslutning». Dersom forvaltningsorganet aktivt gjør tilgjengelig en kommunikasjonskanal som innebærer en risiko for brukerne, vil det formodentlig føre til skjerping av veiledningsplikten, slik at den enkelte bedre kan ivareta sine interesser.

Plikten må være begrenset til de tilfellene der forvaltningen faktisk har kontakt med vedkommende før opplysninger overføres, f.eks. ved at vedkommende slår opp på relevant web-side, laster ned et passende skjema eller på annen måte får tilgang til informasjon som opplyser om eller gir inntrykk av at opplysninger kan sendes elektronisk. Den helt egeninitierte sendingen av førstehenvendelse pr. e-post med personopplysninger eller annen informasjon som vil være taushetsbelagt på forvaltningens hånd, kan man vanskelig gjøre noe med.

Et forvaltningsorgan som legger til rette for å motta, fra enkeltpersoner eller virksomheter, opplysninger som på forvaltningens hånd kan være underlagt taushetsplikt eller krav til sikring etter reglene om behandling av personopplysninger, skal på hensiktsmessig måte informere den enkelte om eventuelle risikoer ved elektronisk overføring av aktuelle opplysninger.
Forvaltningsorganet skal gjøre nødvendige sikkerhetstjenester lett tilgjengelige for den enkelte eller gi opplysninger som gjør at den enkelte lett kan få tilgang til slike tjenester.
Forvaltningsorganet skal også (på forespørsel) opplyse om hvorledes personopplysninger eller taushetsbelagt informasjon sikres under behandling i forvaltningsorganet.
Dersom risiko for uberettiget innsyn i taushetsbelagt informasjon eller personopplysninger, ikke kan forebygges på en enkel måte av den enkelte, skal forvaltningsorganet ikke legge til rette for slik kommunikasjon.

11.3.4 Anskaffelse og bruk av nøkler, kort, koder og sertifikater mv.

Reglene for den enkeltes anskaffelse av nøkler, kort, koder og sertifikater bør i det vesentlige følge samme regler som for elektroniske signaturer. Det samme gjelder kravene til forsvarlig omgang med nøkler og koder, samt krav til varsling ved tap eller mistanke om tap eller misbruk.

11.3.5 Kryptering av melding til forvaltningen

I de fleste tilfeller vil meldinger fra enkeltpersoner til et forvaltningsorgan angå organet som sådan og ikke bare en enkelt saksbehandler. Den enkelte vil ofte heller ikke vite hvilken saksbehandler meldingen skal rettes til. I normaltilfellene bør en melding til et forvaltningsorgan derfor benytte en felles krypteringsnøkkel for forvaltningsorganet. Den videre beskyttelsen av meldingen må ivaretas i forvaltningens system i henhold til behandlingsreglene for den aktuelle meldingen.

Det er likevel mulig at man for visse typer materiale vil ha behov for å sikre konfidensialitet helt fram til saksbehandler. Dette kan gjelde f.eks. opplysninger om forhold i barnevernet eller sosialomsorgen som kun én eller noen få saksbehandler(e) skal ha tilgang til. Det bør derfor være adgang til å gjøre unntak fra regelen om å benytte nøkkel knyttet til organet, selv om en slik regel også kan nyanseres, f.eks. mot avdeling e.l.

Melding adressert direkte til saksbehandler, kryptert ved hjelp av saksbehandlers offentlige nøkkel, forutsetter særlige rutiner internt i organet, blant annet når det gjelder håndtering av nøkler i vedkommendes fravær, spørsmålet om deponering av kopi av den ansattes krypteringsnøkler mv. Det må derfor være opp til det enkelte organ å legge til rette for dette, jf. det som er sagt om direkte adressering og deponering under punkt 11.2.3 og 11.3.8.

Ved kryptering av melding til forvaltningen skal det benyttes krypteringsnøkkel knyttet til forvaltningsorganet.
Kryptering med krypteringsnøkkel knyttet til en saksbehandler kan bare benyttes dersom organet har lagt til rette for dette.

11.3.6 Restriksjoner på bruk

Det bør ikke legges restriksjoner på bruk av privatpersoners krypteringsnøkler med mindre det kan påvises særlige behov.

11.3.7 Mottak av kryptert materiale

Mottatt materiale bør dekrypteres ved mottak. Dette skal blant annet sikre at materialet faktisk er tilgjengelig for organet. Det er også vanskelig å kontrollere om en melding er fri for virus mv. så lenge den er kryptert. Meldingen bør kontrolleres før den spres videre i organisasjonens informasjonssystem. Dersom dekryptering ikke lykkes, må det sendes melding til avsender om at forvaltningsorganet ikke får tilgang til meldingen, og om hvilke tiltak avsender må sette i verk. Vanligvis vil det dreie seg om å sende meldingen på nytt.

Beskyttelse av data internt i etatens eget system kan skje med andre midler enn kryptering overfor omverdenen fordi det er kjente deltakere og forvaltningsorganet definerer selv «reglene» for tilgang til og bruk av systemet.

Melding som mottas av forvaltningsorganet i kryptert form, skal straks dekrypteres.
Hvis meldingen ikke lar seg dekryptere ved mottak, skal meldingen straks returneres til avsender med beskjed om at meldingen ikke lot seg dekryptere (ikke tilgjengelig for forvaltningsorganet eller annen mottaker), og at det må sendes ny melding.
Retur av melding på slikt grunnlag skal registreres/loggføres/journalføres hos forvaltningsorganet med opplysning om hvem avsenderen var, tidspunkt for mottak og retur av meldingen, og angivelse av hva meldingen gjaldt, hvis dette er kjent (f.eks. gjennom en eventuell åpen tittel e.l.).
For melding som returneres fordi den ikke er tilgjengelig for forvaltningsorganet fordi det er benyttet annen krypteringsnøkkel enn angitt for organet (eller meldingens innhold av andre grunner ikke er tilgjengelig for forvaltningsorganet), gjelder forvaltningslovens regler om avvisning og oppreisning.
Beskyttelse av data internt i etatens eget system skjer med de midler etaten eller koordinerende organ fastsetter som nødvendige og hensiktsmessige.

11.3.8 Deponering eller annen sikkerhetskopiering av krypteringsnøkler

Det er naturligvis viktig at materiale ikke blir utilgjengelig for forvaltningsorganet som følge av at krypteringsnøkler går tapt. Det kan derfor være aktuelt å stille krav om sikkerhetskopiering og/eller deponering av krypteringsnøkler .

Det finnes motforestillinger av personvernmessig art når det gjelder krav om sikkerhetskopiering og deponering av krypteringsnøkler. Men dersom det etableres krav om at man skal benytte krypteringsnøkkel knyttet til forvaltningsorganet (og ikke til saksbehandler) ved kryptering av materiale til organet, og kravet til kopiering/oppbevaring eller deponering knyttes til slike nøkler, burde betenkelighetene bli mindre.

Hvis man legger restriksjoner på bruk av forvaltningsansattes krypteringsnøkler til kun å gjelde kommunikasjon i forvaltningens tjeneste, bør det heller ikke være store betenkeligheter knyttet til krav om sikkerhetskopiering og eventuell deponering av slike nøkler.

Det kan imidlertid tenkes tilfeller der rutiner for bruk av den forvaltningsansattes egen nøkkel er begrunnet i at organet ikke uten videre skal ha tilgang til den informasjon den enkelte saksbehandler mottar. I så fall må man vurdere strammere rutiner for deponering enn hva som ellers benyttes for organets nøkler. Det må likevel bare være i unntakstilfellene at det overhodet ikke skal være adgang til sikkerhetskopiering eller deponering av krypteringsnøkler som benyttes for materiale som gjelder forvaltningsorganets virksomhet.

Sikkerhetskopiering og/eller deponering av krypteringsnøkler forutsetter gode prosedyrer for sikring av kopiene slik at materiale ikke blir gjort tilgjengelig for uvedkommende. Tilgang til slikt materiale bør kunne gjøres tilgjengelig uten tidkrevende prosedyrer når behovet først oppstår. En begjæring fra lederen av den delen av forvaltningsorganet som det krypterte materialet sorterer under, eventuelt vedkommendes overordnede, bør antakelig være tilstrekkelig. Ettersom det krypterte materialet, etter den avgrensningen som er brukt her, gjelder forvaltningsorganets forhold, burde ytterligere begrensninger normalt ikke være nødvendig.

Hvis det skal være alminnelig adgang for den enkelte til også å benytte sin krypteringsnøkkel for private formål, bør man antakelig vurdere spørsmålet om sikkerhetskopiering/deponering om igjen. Det anbefales imidlertid at man reserverer bruken av forvaltningsorganets og saksbehandlers krypteringsnøkkel for materiale som angår forvaltningsorganet.

Krypteringsnøkler som benyttes for dekryptering av meldinger til eller internt i forvaltningsorganet, kan sikkerhetskopieres og oppbevares i flere kopier for sikkerhetsformål.
Slik sikkerhetskopiering og oppbevaring skal følge anerkjente prosedyrer for sikkerhetskopiering og oppbevaring av krypteringsnøkler.
Det skal alltid finnes mer enn én kopi av nøkkel for dekryptering av materiale til eller i forvaltningsorganet.
Arkivansvarlig for organet skal alltid disponere en ekstra nøkkel for dekryptering av materiale til organet.
Arkivansvarlig kan beslutte at kopi av krypteringsnøkkel for dekryptering av materiale til forvaltningsorganet skal deponeres hos annet organ.
Kopi av nøkkel for dekryptering skal utleveres på begjæring fra lederen av det forvaltningsorganet, eller den delen av forvaltningsorganet, som materialet som er kryptert med den aktuelle krypteringsnøkkelen, sorterer under.
Begjæring om utlevering fremmes skriftlig. Hvis begjæringen fremmes i elektronisk form, skal den være signert med avsenders digitale signatur eller annen tilfredsstillende teknikk for autentisering av meldingens opphav.
Det kan gjøres unntak fra reglene om sikkerhetskopiering eller deponering av krypteringsnøkler for særlige typer av materiale. Slikt unntak kan besluttes av rette myndighet eller med hjemmel i annet regelverk (f.eks. beskyttelsesinstruksen).

11.4 Fastlegging av krav og utpeking av tilfredsstillende produkter og tjenester

Det er ikke definert krav til sikkerhetsprodukter og -tjenester som forvaltningen kan ønske å bruke. Der forvaltningen går sammen om felles standarder, vil det være tjenlig med et felles organ som utarbeider krav og evaluerer slike produkter og tjenester.

Man bør utpeke et organ som utarbeider krav til sikkerhetsprodukter og -tjenester som skal benyttes i forvaltningen. (I alle fall hvis det pågående standardiseringsarbeidet knyttet til direktivet om elektroniske signaturer ikke ansees tilfredsstillende, eller man ønsker å benytte alternative sikkerhetsnivåer eller -tjenester.)
For «kvalifiserte sertifikater» må det vurderes om det skal stilles tilleggskrav. Eventuelle tilleggskrav må ligge innenfor rammen av direktiv 1999/93/EF om elektroniske signaturer, artikkel 3(7), jf. forslaget til lov om elektronisk signatur § 5.
Man bør utpeke et organ som på forvaltningens vegne vurderer om et gitt produkt/tjeneste tilfredsstiller kravene.
Man bør utarbeide krav til dokumentasjon og eventuell sikkerhetsrevisjon av leverandører av sikkerhetstjenester til forvaltningsorganer.
Man bør utarbeide krav til samvirke med andre leverandører av sikkerhetstjenester og -produkter til forvaltningen.
Et forvaltningsorgan som legger til rette for elektronisk kommunikasjon, skal påse at det er produkter og tjenester tilgjengelig som tilfredsstiller relevante krav.
Forvaltningsorganet bør selv tilby, eller opplyse om tilbydere av, produkter og tjenester som tilfredsstiller relevante krav.
Produkter/tjenester som tilbys via forvaltningsorganet det kommuniseres med, skal i forhold til den enkelte alltid ansees å tilfredsstille relevante krav.

11.5 Rettslige virkemidler – veiledende retningslinjer, avtale, instruks eller lovforankrede regler?

11.5.1 Veiledende retningslinjer

Man kunne tenke seg at nødvendige retningslinjer for bruk av digitale signaturer og kryptering, ved kommunikasjon med og i offentlig forvaltning, ble gitt i form av en veiledning til brukerne – en slags «god skikk»-regler som kunne videreutvikles av det såkalte «markedet» gjennom bruk.

Slike «myke regler» kan nok være både hensiktsmessige og velfungerende i mange sammenhenger. Særlig kan de være hensiktsmessige på områder der bransje- eller interesseorganisasjoner er i posisjon til å nedfelle retningslinjer som det kan forventes rimelig oppslutning om, eller på områder der man har tradisjon og erfaring å bygge på. Dessuten vil slike «myke regler» oftest være et tilbygg til mer generelt formulerte lovfestede rettigheter eller plikter. De vil nok sjeldnere representere de grunnleggende prinsippene på området.

De reglene som dette mandatpunktet ønsker utredet, og det området de skal regulere, har andre kjennetegn. For det første mangler vi tradisjon og erfaring for elektronisk kommunikasjon med forvaltningen i større skala. For det andre mangler vi praktisk erfaring med aktuelle sikkerhetstjenester blant «alminnelige brukere». Videre er ikke forvaltningen, formodentlig ved et koordinerende organ, uten videre noen sterk påvirkningskraft i forhold til mangfoldigheten av brukere som reglene skal rette seg mot.

Formålet med reglene er dessuten å nedfelle hovedreglene for hvorledes elektronisk kommunikasjon med forvaltningen kan og skal skje, med mulighet for å tilpasse løsningene til det enkelte forvaltningsorgans behov. De konkrete løsningene, f.eks. utforming og drift av sertifikattjenester, tilsyns- og godkjenningsordninger mv., kan nok i større grad utvikles «i markedet». Men ettersom retningslinjene her skal utgjøre de handlingsregler som forvaltningen kan støtte seg på når virksomheten skal åpnes for elektronisk kommunikasjon, kan man ikke risikere at reglene smuldrer bort som følge av svikt ved eventuelle selvreguleringsmekanismer. Det kreves mer stabilitet og forutsigbarhet i rammebetingelsene hvis de skal kunne danne basis for mer omfattende bruk av elektronisk kommunikasjon.

11.5.2 Avtaleregulering eller lovforankring

Et alternativ til rene anbefalinger og selvregulering kan være at elektronisk kommunikasjon mellom borger og forvaltning blir gjort avhengig av personlig forhåndskontakt med, og registrering hos, det aktuelle forvaltningsorganet. I så fall kan man tenke seg at nødvendige regler for bruk av elektronisk kommunikasjon med forvaltningen blir nedfelt i en avtale mellom forvaltningsorganet og borgerne.

Det kan være spørsmål om man har hjemmel til å la borgerne binde seg ved avtale med hensyn til hvorledes de skal kommunisere med forvaltningen. Man kan åpenbart ikke frata borgerne deres rett til å kommunisere muntlig eller på papir etter forvaltningsloven eller særlovgivningen. Men det er mulig at man avtaleveien kan legge føringer for deres opptreden når de velger å utnytte adgangen til en alternativ kommunikasjonsmåte, som elektronisk kommunikasjon, som forvaltningen tilbyr av eget tiltak.

En modell basert på avtaleregulering vil imidlertid lett bli uoversiktlig fordi det kan utvikle seg ulik avtalepraksis, og fordi det vil være vanskelig å holde oppsyn sentralt med den praksis som følges med sikte på koordinerende tiltak. Problemet forsterkes av at det ikke bare dreier seg om sentralforvaltningen. Også den lokale statlige forvaltningen og kommunalforvaltningen bør, i alle fall til en viss grad, operere etter de samme reglene.

Avtaleregulering i denne sammenheng kan dessuten være problematisk fordi det forutsetter kontakt mellom forvaltningsorganet og den enkelte før sikkerhetstjenestene kan tas bruk. Det er antakelig greit når det gjelder forvaltningsansattes bruk i tjenesten, eller for borgernes bruk av tjenester som det offentlige selv administrerer gjennom f.eks. tildeling av brukernavn og passord/PIN-kode for å få tilgang til en informasjonstjeneste. Her må det uansett være forhåndskontakt mellom partene. Men for borgerne vil det i mange tilfeller innebære et unødig merarbeid å måtte inngå avtale med forvaltningsorganet dersom kommunikasjonen skal baseres på bruk av f.eks. kvalifiserte sertifikater utstedt av frittstående leverandører. Publikum vil da normalt inngå avtale med sertifikatutsteder. Det ville antakelig heller ikke være noen løsning å overlate til sertifikatutstederne å ivareta det offentliges interesser i så måte. Slike sertifikattjenester vil vanligvis kunne benyttes for flere formål, og det ville være uhensiktsmessig, antakelig umulig, å basere forvaltningens virksomhet på at sertifikatutstederne sørger for å inngå avtaler med sertifikateierne med et innhold som spesielt tilgodeser forvaltningens behov.

Et annet problem med avtaleformen som virkemiddel, sett fra forvaltningens ståsted, er at man ikke uten videre kan gjennomføre endringer i de avtalene som er inngått. For den enkelte er det naturligvis av betydning å ha mest mulig stabile betingelser for bruk. På den andre siden har man forvaltningens behov for enhetlige prosedyrer som kan ajourføres når utviklingen gjør det nødvendig. De reglene som har vært drøftet i avsnittene 11.2 og 11.3 om henholdsvis signering og kryptering, legger føringer også for forvaltningens mulighet for å organisere sin virksomhet. Det vil ikke være holdbart om muligheten til reorganisering skal være blokkert fordi forvaltningen har inngått avtaler om en bestemt framgangsmåte for elektronisk kommunikasjon. Reglene skal være et instrument for styring i retning av effektiv elektronisk kommunikasjon, ikke en tvangstrøye som hindrer en fornuftig utvikling.

Forutsatt at det etableres hensiktsmessige rutiner for varsling av brukerne når bruksbetingelsene oppdateres, vil en forankring av reglene i regelverk som kan ajourføres, f.eks. etter reglene om forskrifter i forvaltningsloven, være et mer hensiktsmessig virkemiddel enn bruk av avtaler.

Dette utelukker naturligvis ikke bruken av avtaler som virkemiddel for å gjøre brukeren særlig oppmerksom på de reglene som gjelder, og for å understreke overfor brukeren f.eks. kravene til korrekt og forsvarlig bruk av signerings- og krypteringsnøkler, nøkkelbærende kort og koder. Men problemene knyttet til gjennomføring av selve avtaleinngåelsen tilsier at man bør basere seg på regler forankret i lov.

11.5.3 Bør forvaltningsinterne forhold reguleres gjennom instruks?

Utvalget antar at reglene bør finnes i en form som er mer bindende og mer forutsigbar for adressatene enn rene anbefalinger og «god skikk»-regler. Det er også lagt til grunn at avtaleregulering neppe er veien å gå, men at reglene kan nedfelles i en forskrift. En slik forskrift kan være naturlig forankret i forvaltningsloven og eventuelt i lov om elektronisk signatur.

Spørsmålet er om retningslinjene berører forvaltningsinterne forhold som det kunne være mer hensiktsmessig å regulere gjennom instruks. Det kan gi mer fleksibilitet i utvikling og tilpasning av regelverket. Dessuten unngår man at forskrifter rettet mot allmennheten blir mer omfattende enn nødvendig.

På den andre siden skaper det ekstra utfordringer med hensyn til regelverksadministrasjon og -vedlikehold fordi det er en tett indre sammenheng mellom reglene som retter seg innad mot forvaltningen, og reguleringen av borgernes rettigheter og plikter når det gjelder kommunikasjon med forvaltningen. Man har også det problemet at i og med at også kommunalforvaltningen skal omfattes, vil instruksjonsmyndigheten for et sentralt statlig organ ikke uten videre strekke til. Og det synes unaturlig å innføre en særskilt instruksjonsmyndighet på dette området. Det virker mer ryddig å operere med forskrifter forankret i lov for de reglene som skal være felles for alle forvaltningsorganer for stat og kommune.

Det er likevel noen forhold som kan eller bør løses gjennom instruks. Dette gjelder f.eks. bestemmelsene om hvem som signerer hva, hvem som er berettiget til å godkjenne utstedelse av sertifikatene til ansatte i forvaltningen mv. Borgernes rettigheter i henhold til slike sertifikater kan knyttes til objektive kjennetegn ved de utstedte sertifikatene uten at borgerne behøver å bekymre seg om hvorvidt de bakenforliggende rutinene er fulgt, jf. det som er foreslått for bruk av «segl» i punkt 11.2.5.

Tilsvarende vurderinger kan antakelig gjøres når det gjelder systemer og sikkerhetstjenester tilrettelagt eller utpekt av forvaltningen. Det bør ikke være borgernes problem om det foreligger brudd på interne instrukser så lenge systemene utad framstår som «godkjent».

Utpeking eller organisering av et organ som skal utarbeide krav til sikkerhetstjenester for forvaltningen og for evaluering, eller godkjenning basert på ekstern evalueringsrapport, av slike tjenester og produkter, kan skje gjennom instruks. Det samme gjelder retningslinjene for det enkelte forvaltningsorgans anskaffelse av slike tjenester. Dette gjelder naturligvis innenfor rammen av reglene om offentlige anskaffelser og de hensyn som gjelder på det aktuelle forvaltningsområdet ved overgang til elektronisk kommunikasjon, som hensynene bak formkrav i lovgivningen, jf. f.eks. Kartleggingsprosjektets rapport [ 47].

Reglene bør være enhetlige. Dersom man splitter reglene, og ansvaret for dem, mellom forskrift og instruks og mellom ulike forvaltningsnivåer, oppstår det problemer som må løses f.eks. ved gode rutiner for administrasjon og vedlikehold av regelverket som sikrer at sammenhengen mellom internt og eksternt regelverk, også mellom ulike regelverksforvaltere, ivaretas.

11.5.4 Oppsummering av virkemidlene

Anbefalingen er altså at man i størst mulig utstrekning nedfeller nødvendige regler i forskrift forankret i forvaltningsloven og eventuelt lov om elektronisk signatur.

Forvaltningsinterne forhold knyttet til det å utarbeide krav til, godkjenne og anskaffe sikkerhetstjenester og -produkter for forvaltningen, samt reglene om intern saksbehandling, kan løses f.eks. gjennom instruks.

De rettslige virkningene av at man har benyttet systemer valgt eller godkjent av forvaltningen, eller sertifikater tilhørende forvaltningen, må framgå av forskriftene eller loven som hjemler dem.

11.6 Skisse til forskrift om elektronisk kommunikasjon med og i forvaltningen

11.6.1 Signering og autentisering

Adressat for henvendelser til forvaltningen

Henvendelser i elektronisk form til et forvaltningsorgan skal rettes til den adressen forvaltningsorganet har oppgitt for slike henvendelser.
Hvis forvaltningsorganet har tilrettelagt for henvendelse, eller visse typer av henvendelser, via eget nettsted/hjemmeside, skal henvendelser i elektronisk form skje på den måten det er tilrettelagt for.
Henvendelse i elektronisk form direkte til saksbehandler, av meldinger som angår forvaltningsorganet, skal kun skje hvis forvaltningsorganet har lagt til rette for det og uttrykkelig tillatt slik direkte kommunikasjon generelt eller i det enkelte tilfelle.
Forvaltningsorganet kan avvise henvendelser som har en annen form eller er avgitt til annen adresse eller på en annen måte enn foreskrevet eller tilrettelagt for. Forvaltningsorganet skal samtidig opplyse om hva som er korrekt adresse, form eller framgangsmåte. Slike opplysninger kan gis i form av henvisning til eller utsending av veiledning om forholdet.
Forvaltningsorganet kan bestemme at adressering direkte til saksbehandler av meldinger som angår forvaltningsorganet, bare kan skje når meldingen sendes fra annet forvaltningsorgan.

Henvendelser som utløser veiledningsplikt – formfrie henvendelser

Henvendelser til forvaltningen som ikke er underlagt særskilte formkrav, og som ikke utløser saksbehandling, kan skje i elektronisk form uten bruk av sikkerhetstjenester.
Forvaltningsorganet kan i det enkelte tilfelle be om opplysninger som bekrefter avsenders identitet eller fullmakter dersom dette er av betydning for håndtering av henvendelsen.

Søknader og andre henvendelser som utløser saksbehandling (knyttet til en konkret sak)

Henvendelser som utløser saksbehandling, men som ikke er underlagt særskilte formkrav, kan skje uten bruk av sikkerhetstjenester.
Forvaltningsorganet kan i det enkelte tilfelle be om opplysninger som bekrefter avsenders identitet eller fullmakter dersom dette er av betydning for håndtering av henvendelsen. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Forvaltningsorganet kan fastsette at slike krav skal gjelde generelt for nærmere angitte typer av henvendelser.
Forvaltningsorganet skal tilby, eller gi anvisning på, tjenester som gjør det mulig å oppfylle kravet til bekreftelse av identitet eller fullmakter eller de øvrige krav forvaltningsorganet har stilt.

Henvendelser som er underlagt formkrav

For henvendelser som er underlagt særskilte formkrav, kan forvaltningsorganet gi anvisning på hvilke virkemidler som må benyttes for at henvendelse kan skje i elektronisk form, herunder krav til virkemidler for sikker bekreftelse av avsenders identitet eller fullmakter. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Forvaltningsorganet skal tilby, eller gi anvisning på, tjenester som gjør det mulig å oppfylle kravet til bekreftelse av identitet eller fullmakter eller øvrige krav forvaltningsorganet har stilt.

Henvendelser som ikke tilfredsstiller aktuelle krav

Et forvaltningsorgan som mottar henvendelse i elektronisk form som ikke tilfredsstiller de aktuelle kravene til slik henvendelse, skal uten ugrunnet opphold gi avsender melding om dette, samt gi veiledning om hvilke tiltak som må iverksettes for at henvendelsen skal kunne tas under behandling.
Slik veiledning kan gis ved henvisning til forvaltningsorganets offentliggjorte regler for håndtering av den aktuelle typen henvendelse.
Forvaltningsorganet skal registrere tidspunkt for når slik melding er sendt, og til hvem.
Dersom feilen er av en slik art at det ikke er mulig å identifisere avsender, og varsel ikke kan sendes, skal det registreres opplysning om dette.
Forvaltningslovens alminnelige regler om avvisning og oppreisning kommer til anvendelse på de nevnte forholdene.

Underretning om vedtak

Underretning om enkeltvedtak kan skje i elektronisk form dersom den vedtaket gjelder/den som har krav på underretning, har samtykket i dette.
Underretning om vedtak skal gjøres tilgjengelig fra dertil egnet informasjonssystem.
Den vedtaket gjelder, skal få melding om at vedtak er fattet, og om hvor og hvordan vedkommende kan skaffe seg kunnskap om innholdet, samt en frist for når dette senest må skje.
Vedtakets innhold skal gjøres tilgjengelig for parten når vedkommende bekrefter sin tilknytning til saken overfor informasjonssystemet der vedtaket er lagt ut (autentisering).
Informasjonssystemet registrerer tidspunktet for når parten har skaffet seg tilgang til vedtaket, samt data som bekrefter vedkommendes tilknytning til saken.
Underretning ansees å ha skjedd på det tidspunktet parten skaffet seg tilgang til vedtaket.
Dersom parten ikke har skaffet seg tilgang til vedtaket innen 7 dager fra det tidspunkt det ble sendt melding om vedtaket, eller vedtaket ble gjort tilgjengelig, skal underretning skje i henhold til de reglene som gjelder for underretning om enkeltvedtak på det aktuelle området når det ikke er gitt samtykke til elektronisk kommunikasjon.

Klage

Klage over enkeltvedtak kan sendes i elektronisk form dersom forvaltningsorganet har tilrettelagt for det, eller underretning om vedtaket er skjedd i elektronisk form.
Forvaltningsorganet kan be om opplysninger som bekrefter avsenders identitet eller fullmakter dersom dette er nødvendig for håndtering av klagen. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Forvaltningsorganet skal tilby, eller gi anvisning på, tjenester som gjør det mulig å oppfylle kravet til bekreftelse av identitet eller fullmakter eller de øvrige kravene forvaltningsorganet har stilt.
Hvis det skal framsettes klage i elektronisk form, og forvaltningsorganet har lagt til rette for klage ved bruk av sitt informasjonssystem, skal denne framgangsmåten benyttes.
Et forvaltningsorgan som mottar klage i elektronisk form, skal straks sende kvittering til avsender for mottatt klage.
Klager har plikt til å kontrollere at han mottar kvittering for innsendt klage. Dersom slik kvittering ikke er mottatt innen 24 timer, skal klager sende klagen på nytt med angivelse av når den ble sendt første gang.

Innsyn i opplysninger og dokumenter i elektronisk form

Begjæring om innsyn i dokumenter eller opplysninger i en sak kan sendes forvaltningsorganet i elektronisk form.
Forvaltningsorganet kan i det enkelte tilfelle be om opplysninger som bekrefter avsenders identitet eller fullmakter, dersom dette er av betydning for håndtering av henvendelsen. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Dersom forvaltningsorganet fører elektronisk arkiv, kan innsyn gis i elektronisk form.
Med mindre innsyn kan kreves etter offentlighetsloven, gis innsyn i elektronisk form bare under forutsetning av at det kan gjennomføres tilfredsstillende bekreftelse av vedkommendes tilknytning til saken, og sikkerhet for at dokumentene kun gjøres tilgjengelige for denne.

Høring og kommentar til høring av forskrifter og liknende

Høringsbrev til adressater med eget/sentralt e-postmottak kan sendes i elektronisk form. I stedet for fullstendig høringsbrev kan det sendes melding om hvor høringsbrevet er gjort tilgjengelig med oppfordring om å skaffe seg tilgang innen et nærmere angitt tidspunkt. Dersom vedkommende ikke har skaffet seg tilgang til høringsbrevet innen angitt frist, bør høringsbrevet sendes i papirbasert form med mindre forvaltningsorganet har bestemt noe annet for den aktuelle høringen.
Uttalelser til høringen kan avgis i elektronisk form. Slik uttalelse avgis til den e-postadressen forvaltningsorganet har angitt for den aktuelle høringen eller på annen måte som forvaltningsorganet har gitt anvisning på.
Forvaltningsorganet kan be om opplysninger som bekrefter avsenders identitet eller fullmakter dersom dette er av betydning for håndtering av uttalelsen. Forvaltningsorganet kan også stille krav om at særlige sikkerhetstjenester skal tas i bruk.
Forvaltningsorganet skal tilby, eller gi anvisning på, tjenester som gjør det mulig å oppfylle kravet til bekreftelse av identitet eller fullmakter eller øvrige krav forvaltningsorganet har stilt.

Arkiv og langtidslagring

Melding som er signert med en digital signatur, og som blir arkivert, skal arkiveres sammen med sertifikat som bekrefter signaturen og øvrige opplysninger som er nødvendige for å verifisere signaturen, herunder bekreftelse på at sertifikatet ikke var trukket tilbake på det tidspunkt verifisering fant sted.
For meldinger der sertifikatets gyldighetsperiode er kortere enn tiden det kan ta å bekrefte meldingens innhold, og for meldinger som ved arkivering eller i løpet av oppbevaringstiden skal konverteres til annet format, skal arkivet ved mottak verifisere signaturen, og deretter på hensiktsmessig måte bekrefte knyttingen mellom meldingen, meldingens signatur og aktuelt sertifikat sammen med opplysning om tidspunktet for bekreftelsen. Arkivet skal sikre integriteten til meldingene og bekreftelsen av de nevnte forholdene i oppbevaringsperioden. Arkivet kan beslutte at denne framgangsmåten skal benyttes også for andre meldinger (enn de som er nevnt i første setning).
Dersom arkivet ikke lykkes i å verifisere signaturen, skal det lagres opplysning om det, om mulig sammen med opplysning om årsaken til at verifisering ikke lyktes.
Melding eller resultatet av en automatisert databehandling (f.eks. fra automatisert tjeneste med web-grensesnitt) som er bekreftet med annen autentiseringsteknikk enn digital signatur, skal lagres sammen med opplysninger om at korrekt autentisering har funnet sted, og om mulig hvilken teknikk som er blitt benyttet.

11.6.2 Innholdskryptering og nøkkelhåndtering

Utstedelse og bruk av sertifikater for informasjonssystemer

Informasjonssystemer som benyttes i forbindelse med helt eller delvis automatiserte behandlinger, og som i sitt resultat er eller framstår som avgjørelser i forvaltningslovens forstand, skal utstyres med sertifikat som identifiserer den etaten som informasjonssystemet behandler meldinger for.
Sertifikatet skal inneholde opplysninger som overfor mottaker av sertifikatet bekrefter knyttingen mellom en behandling utført av informasjonssystemet og den aktuelle etat.
Mottaker av meldinger knyttet til slike sertifikater kan forholde seg til meldingen som om den var signert av en person i forvaltningen med fullmakt til å avgi eller signere nevnte melding eller avgjørelse med mindre vedkommende visste eller måtte vite at meldingen eller avgjørelsen var blitt til ved en feil.
Søknad om utstedelse av sertifikat som knytter signaturverifiseringsdata (offentlig nøkkel) til et informasjonssystem og en offentlig etat, og som skal brukes ved behandlinger som kan resultere i avgjørelser etter forvaltningsloven, skal godkjennes av den som er bemyndiget til å tildele fullmakter på etatens vegne.

Sårbarhetsbetraktninger – sikring av nøkler for informasjonssystemer

For et informasjonssystem som er utstyrt med sertifikat for forvaltningsorganet, skal det være lagt opp rutiner som sikrer at systemet raskt kan settes i drift med nye signaturgenereringsdata og nytt sertifikat dersom det sertifikatet som er i bruk, blir trukket tilbake eller signaturgenereringsdata går tapt.
Det bør vurderes om informasjonssystemet skal være utstyrt med signaturgenereringsdata og sertifikat fra mer enn én sertifikatutsteder.
Signaturgenereringsdata skal være sikret mot misbruk etter anerkjente prinsipper for informasjonssystemers sikkerhet.

Anskaffelse av nøkler, koder og sertifikat

Et forvaltningsorgan kan gi sine ansatte anvisning om hvilke sikkerhetstjenester de skal benytte under tjeneste for organet, og hvor de skal henvende seg eller gå fram for å anskaffe nødvendige nøkler, koder, sertifikater mv.
Forvaltningsansatte skal under tjeneste for arbeidsgiver kun benytte sertifikater utstedt av sertifikatutsteder som er godkjent av arbeidsgiver eller av et forvaltningsorgan som har koordineringsansvar for forvaltningens virksomhet.
Koordinerende forvaltningsorganer kan bestemme at det under tjeneste for forvaltningsorganer kun skal benyttes sertifikater fra sertifikatutsteder som har inngått rammeavtale om levering av slike tjenester til forvaltningen.
Dersom rammeavtalen løper ut og ikke blir fornyet i løpet av sertifikatets gyldighetsperiode, skal sertifikatet likevel kunne benyttes i resten av gyldighetsperioden, med mindre sertifikatutsteders sertifikat blir trukket tilbake, eller nødvendige katalogtjenester mv. ikke lenger er tilgjengelige.
Koordinerende forvaltningsorganer kan bestemme at slikt sertifikat likevel ikke skal benyttes etter at rammeavtalen er løpt ut.

Innsamling av opplysninger og samtykke til utlevering av sertifikat mv.

Innsamling av opplysninger som skal benyttes i sertifikat, skal skje direkte fra den opplysningen gjelder, eller med dennes uttrykkelige samtykke, jf. lov om elektronisk signatur § 7 [ 52].
I forbindelse med søknad fra forvaltningsansatt om sertifikat til bruk i tjenesten, skal sertifikatutsteder be om den ansattes samtykke til utlevering av sertifikatet til andre, jf. (forutsetningsvis) lov om elektronisk signatur § 14, annet ledd, bokstav b).
Man bør søke samtykke til utlevering av opplysninger om den ansattes arbeidsområde eller fullmakter i tjenesten når disse opplysningene er lagret i tilknyttet katalog og ikke direkte i det aktuelle sertifikatet, forutsatt at opplysningene kan forventes å ha betydning for anvendelsen av sertifikatet. Slike opplysninger skal kun utleveres i forbindelse med verifisering av det aktuelle sertifikatet.

Veiledning av den ansatte

Ved anskaffelse av nøkler, koder og sertifikat skal den ansatte få opplysning/veiledning om:

Ansvar og plikter i forbindelse med oppbevaring og bruk av nøkler, koder og sertifikat mv.,
Aktuell sertifikatpolicy og -praksis (i form av en tilpasset brukerversjon),
Egen og andres mulighet for å sperre eller suspendere sertifikatet,
Utløp av sertifikatet,
Sertifikatutsteders oppbevaring av personopplysninger, oppbevaringsperioden, og hvem sertifikatet kan utleveres til mv., jf. personopplysningsloven § 19,
Sertifikatutsteders ansvar og plikter,
Registreringsenhetens ansvar og plikter,
Restriksjoner på bruk av sertifikatet.

Restriksjoner på bruk av nøkler, koder og sertifikat

Autentiseringsdata eller sertifikat (f.eks. ansattsertifikat) som inneholder peker til et forvaltningsorgan som arbeidsgiver, skal kun benyttes i tjeneste for arbeidsgiver.
Personlige (private) sertifikater skal ikke benyttes i tjeneste for arbeidsgiver.

Krav til forsvarlig bruk og oppbevaring av den ansattes nøkler/nøkkelbærende medium

Eieren av signaturframstillingsdata skal oppbevare og benytte disse på en slik måte at de ikke gjøres tilgjengelige for andre.
Signaturframstillingsdata skal kun benyttes til de formålene de er utstedt for.
Eieren skal aldri forlate arbeidsstasjon, terminal eller annen enhet som benyttes for autentisering eller signaturgenerering uten å sikre at signaturframstillingsdata ikke lenger er tilgjengelig på/i enheten, at den aktuelle sesjonen er avsluttet, eller enheten på annen måte er sikret mot misbruk.
Eieren av signaturframstillingsdata skal ikke overlate disse til andre eller gi andre tilgang til dem, heller ikke når andre skal handle på hans vegne. Dersom noen skal handle på vegne av en annen (etter fullmakt), skal dette skje med fullmektigens egne signaturframstillingsdata under henvisning til at meldingen er avgitt på vegne av en annen. (Den man opptrer på vegne av, kan utstede rollesertifikat til sin fullmektig (når dette blir tilgjengelig).)
Bestemmelsene om signaturframstillingsdata gjelder tilsvarende for bruk av autentiseringsdata (passord/PIN-koder).
Den ansatte skal ellers følge instruksene arbeidsgiver har fastsatt om bruk og sikring av virksomhetens informasjonssystem, herunder om kontroll med materiale som skal lastes ned eller installeres i informasjonssystemet.

Varslingsplikter ved tap av nøkler, mistanke om misbruk mv.

Eieren av signaturframstillingsdata eller autentiseringsdata skal straks varsle sertifikatutsteder eller den som ellers er utpekt til å motta varsel, dersom det oppstår mistanke om at signaturframstillingsdata eller autentiseringsdata er tapt, kommet på avveie eller på annen måte blir eller kan bli misbrukt.

Krav til kontroll av sertifikater og tilbaketrekkingslister

Dersom melding som er utstyrt med elektronisk signatur, ikke kan verifiseres i henhold til reglene som gjelder for den aktuelle meldingstypen, og dette har betydning for behandling av meldingen i forvaltningsorganet, skal det sendes melding til avsender i henhold til reglene under punkt 11.2.3.

Krav til/anbefaling om lokal oppbevaring av sertifikater mv.

Kopi av relevant(e) sertifikat(er) og øvrige opplysninger som er nødvendige for verifisering av signaturer over tid, bør oppbevares i arkivet.
Dersom meldingen i en periode lagres lokalt hos brukeren, uten å være oversendt arkivet, bør opplysningene lagres lokalt sammen med meldingen.

Valg av sikkerhetstjeneste

For elektronisk kommunikasjon med forvaltningen må den enkelte benytte tjenester som oppfyller kravene, som stilles for den aktuelle anvendelse.
Dersom det benyttes kvalifiserte signaturer, kan den enkelte selv velge hvilken leverandør av kvalifiserte sertifikater vedkommende vil benytte.
Forvaltningen kan stille tilleggskrav innenfor rammen av lov om elektronisk signatur § 5.

Veiledning av bruker

Ved anskaffelse av nøkler, koder og sertifikat skal brukeren få opplysning/veiledning om:

Ansvar og plikter i forbindelse med oppbevaring og bruk av nøkler, koder og sertifikat mv.,
Aktuell sertifikatpolicy og -praksis (i form av en tilpasset brukerversjon),
Egen og andres mulighet for å sperre eller suspendere sertifikatet,
Utløp av sertifikatet,
Sertifikatutsteders oppbevaring av personopplysninger, oppbevaringsperioden, og hvem sertifikatet kan utleveres til mv., jf. personopplysningsloven § 19,
Sertifikatutsteders ansvar og plikter,
Registreringsenhetens ansvar og plikter,
Restriksjoner på bruk av sertifikatet.

Restriksjoner på bruk av nøkler, koder og sertifikat

Signaturframstillingsdata eller autentiseringsdata som er tildelt den enkelte spesielt for kommunikasjon med forvaltningen, skal ikke benyttes for andre formål.
Slike begrensninger skal framgå av sertifikatetet og brukeren skal opplyses om begrensningene, jf. om veiledning ovenfor.

Krav til forsvarlig bruk og oppbevaring av nøkler/nøkkelbærende medium

Eieren av signaturframstillingsdata skal oppbevare og benytte disse på en slik måte at de ikke gjøres tilgjengelige for andre.
Signaturframstillingsdata skal kun benyttes til de formålene de er utstedt for.
Eieren av signaturframstillingsdata bør aldri forlate arbeidsstasjon, terminal eller annen enhet som benyttes for autentisering eller signaturgenerering uten å sikre at signaturframstillingsdata ikke lenger er tilgjengelig på/i enheten, at den aktuelle sesjonen er avsluttet, eller enheten på annen måte er sikret mot misbruk.
Eieren av signaturframstillingsdata skal ikke overlate disse til andre eller gi andre tilgang til dem, heller ikke når andre skal handle på hans vegne. Dersom noen skal handle på vegne av en annen (etter fullmakt), skal dette skje med fullmektigens egne signaturframstillingsdata under henvisning til at meldingen er avgitt på vegne av en annen. (Den man opptrer på vegne av, kan utstede rollesertifikat til sin fullmektig (når dette blir tilgjengelig).)
Bestemmelsene om signaturframstillingsdata gjelder tilsvarende for bruk av autentiseringsdata (passord/PIN-koder).
Eieren av signaturframstillingsdata bør kun benytte disse i informasjonssystemer som vedkommende har tillit til, og følge de anbefalinger som gis av sertifikatutsteder om innretting og bruk av systemet. Man bør vise varsomhet ved endringer i systemet, og man bør kontrollere materiale som skal lastes ned eller installeres i informasjonssystemet.

Varslingsplikter ved tap av nøkler, mistanke om misbruk mv.

Eieren av signaturframstillingsdata eller autentiseringsdata skal straks varsle sertifikatutsteder eller den som ellers er utpekt til å motta varsel, dersom det oppstår mistanke om at signaturframstillingsdata eller autentiseringsdata er tapt, kommet på avveie eller på annen måte blir eller kan bli misbrukt.

Krav til kontroll av sertifikater og tilbaketrekkingslister

Dersom melding som er utstyrt med elektronisk signatur, ikke kan verifiseres i henhold til reglene som gjelder for den aktuelle meldingstypen, og dette har betydning for behandling av meldingen, bør det sendes melding til avsender.

Krav til/anbefaling om lokal oppbevaring av sertifikater mv.

Lagring av relevant(e) sertifikat(er) og øvrige opplysninger som er nødvendige for verifisering av signaturer som er benyttet ved kommunikasjon med et forvaltningsorgan, kan den enkelte overlate til forvaltningens arkiv.
Hvorledes langtidslagring, og eventuelt utlevering til enkeltpersoner, skal skje, følger de til enhver tid gjeldende regler for arkivet.
Den tiden den aktuelle transaksjonen eller informasjonsutvekslingen pågår, bør den enkelte i tillegg oppbevare nødvendige opplysninger selv.

Inngrep ved misbruk av sertifikat ved kommunikasjon med forvaltningen

Ved begrunnet mistanke om misbruk av sertifikat ved kommunikasjon med forvaltningsorgan kan forvaltningsorganet sperre brukeridentiteten eller sertifikatet for videre bruk mot organet. Det samme gjelder dersom sertifikateier misbruker tillatelse eller adgang til å kommunisere elektronisk med organet.
Før sertifikatet sperres, skal forvaltningsorganet sende sertifikateier melding om at de vurderer å sperre sertifikatet, og begrunnelsen for dette. Sertifikateier skal oppfordres til å uttale seg om grunnlaget for sperringen. Forvaltningsorganet skal sette en frist for slik uttalelse (som ikke skal være kortere enn (antall) dager).
Dersom forvaltningsorganet, etter å ha vurdert sertifikateiers uttalelse, velger å sperre sertifikatet, skal forvaltningsorganet straks sende sertifikateier melding om dette.
Sertifikateier kan påklage vedtak om sperring.
Klage over sperring av sertifikat skal behandles så raskt som mulig, og klageorganet kan bestemme at klagen skal gis oppsettende virkning.
Klageorgan for sperring av sertifikat i forvaltningen utpekes av Kongen/koordinerende departement. Det kan gis særskilte regler om behandling av klage over sperring av sertifikater.
Bestemmelsene gjelder tilsvarende for sperring av autentiseringsdata (brukernavn med tilhørende passord/PIN-kode) i informasjonssystemer tilrettelagt av forvaltningsorganet så langt de passer.

Kopi av signeringsnøkler

Det skal ikke forekomme kopier av signeringsnøkler utstedt til enkeltpersoner.

Informasjon til borgerne ved formidling av personopplysninger og taushetsbelagt informasjon til forvaltningen

Et forvaltningsorgan som legger til rette for å motta, fra enkeltpersoner eller virksomheter, opplysninger som på forvaltningens hånd kan være underlagt taushetsplikt eller krav til sikring etter reglene om behandling av personopplysninger, skal på hensiktsmessig måte informere den enkelte om eventuelle risikoer ved elektronisk overføring av aktuelle opplysninger.
Forvaltningsorganet skal gjøre nødvendige sikkerhetstjenester lett tilgjengelige for den enkelte eller gi opplysninger som gjør at den enkelte lett kan få tilgang til slike tjenester.
Forvaltningsorganet skal også (på forespørsel) opplyse om hvorledes personopplysninger eller taushetsbelagt informasjon sikres under behandling i forvaltningsorganet.
Dersom risiko for uberettiget innsyn i taushetsbelagt informasjon eller personopplysninger ikke kan forebygges på en enkel måte av den enkelte, skal forvaltningsorganet ikke legge til rette for slik kommunikasjon.

Kryptering av melding til forvaltningen

Ved kryptering av melding til forvaltningen skal det benyttes krypteringsnøkkel knyttet til forvaltningsorganet.
Kryptering med krypteringsnøkkel knyttet til en saksbehandler kan bare benyttes dersom organet har lagt til rette for dette.

Mottak av kryptert materiale

Melding som mottas av forvaltningsorganet i kryptert form, skal straks dekrypteres.
Hvis meldingen ikke lar seg dekryptere ved mottak, skal meldingen straks returneres til avsender med beskjed om at meldingen ikke lot seg dekryptere (ikke tilgjengelig for forvaltningsorganet eller annen mottaker), og at det må sendes ny melding.
Retur av melding på slikt grunnlag skal registreres/loggføres/journalføres hos forvaltningsorganet med opplysninger om hvem avsenderen var, tidspunkt for mottak og retur av meldingen, og angivelse av hva meldingen gjaldt, hvis dette er kjent (f.eks. gjennom en eventuell åpen tittel e.l.).
For melding som returneres fordi den ikke er tilgjengelig for forvaltningsorganet fordi det er benyttet annen krypteringsnøkkel enn angitt for organet (eller meldingens innhold av andre grunner ikke er tilgjengelig for forvaltningsorganet), gjelder forvaltningslovens regler om avvisning og oppreisning.
Beskyttelse av data internt i etatens eget system skjer med de midlene etaten eller det koordinerende organet fastsetter som nødvendige og hensiktsmessige.

Deponering eller annen sikkerhetskopiering av krypteringsnøkler

Krypteringsnøkler som benyttes for dekryptering av meldinger til eller internt i forvaltningsorganet, kan sikkerhetskopieres og oppbevares i flere kopier for sikkerhetsformål.
Slik sikkerhetskopiering og oppbevaring skal følge anerkjente prosedyrer for sikkerhetskopiering og oppbevaring av krypteringsnøkler.
Det skal alltid finnes mer enn én kopi av nøkkel for dekryptering av materiale til eller i forvaltningsorganet.
Arkivansvarlig for organet skal alltid disponere en ekstra nøkkel for dekryptering av materiale til organet.
Arkivansvarlig kan beslutte at kopi av krypteringsnøkkel for dekryptering av materiale til forvaltningsorganet skal deponeres hos annet organ.
Kopi av nøkkel for dekryptering skal utleveres på begjæring fra lederen av det forvaltningsorganet, eller den delen av forvaltningsorganet, som materialet som er kryptert med den aktuelle krypteringsnøkkelen, sorterer under.
Begjæring om utlevering fremmes skriftlig. Hvis begjæringen fremmes i elektronisk form, skal den være signert med avsenders digitale signatur eller annen tilfredsstillende teknikk for autentisering av meldingens opphav.
Det kan gjøres unntak fra reglene om sikkerhetskopiering eller deponering av krypteringsnøkler for særlige typer av materiale. Slikt unntak kan besluttes av rette myndighet eller med hjemmel i annet regelverk (f.eks. beskyttelsesinstruksen).

11.6.3 Fastlegging av krav og utpeking av tilfredsstillende løsninger

Fastlegging av krav og utpeking av tilfredsstillende produkter og tjenester

Man bør utpeke et organ som utarbeider krav til sikkerhetsprodukter og -tjenester som skal benyttes i forvaltningen. (I alle fall hvis det pågående standardiseringsarbeidet knyttet til direktivet om elektroniske signaturer ikke ansees tilfredsstillende, eller man ønsker å benytte alternative sikkerhetsnivåer eller -tjenester.)
For «kvalifiserte sertifikater» må det vurderes om det skal stilles tilleggskrav. Eventuelle tilleggskrav må ligge innenfor rammen av direktiv 1999/93/EF om elektroniske signaturer, artikkel 3(7), jf. forslaget til lov om elektronisk signatur § 5.
Man bør utpeke et organ som på forvaltningens vegne vurderer om et gitt produkt/tjeneste tilfredsstiller kravene.
Man bør utarbeide krav til dokumentasjon og eventuell sikkerhetsrevisjon av leverandører av sikkerhetstjenester til forvaltningsorganer.
Man bør utarbeide krav til samvirke med andre leverandører av sikkerhetstjenester og -produkter til forvaltningen.
Et forvaltningsorgan som legger til rette for elektronisk kommunikasjon, skal påse at det er produkter og tjenester tilgjengelig som tilfredsstiller relevante krav.
Forvaltningsorganet bør selv tilby, eller opplyse om tilbydere av, produkter og tjenester som tilfredsstiller relevante krav.
Produkter/tjenester som tilbys via forvaltningsorganet det kommuniseres med, skal i forhold til den enkelte alltid ansees å tilfredsstille relevante krav.

11.7 Forslag til videre tiltak

Utvalget anbefaler at man utreder hvilke interne rutiner og programmer for kopling mot postmottak og arkiv som må være på plass før man starter med digitale signaturer og innholdskryptering.

Man bør utrede om forvaltningsloven bør åpne for helt automatiserte beslutningsprosesser, og hvilke typer sårbarhet det åpner for.
Utvalget anbefaler at man vurderer andre måter å regulere kravene i beskyttelsesinstruksen på, enn slik dagens instruks legger opp til. En løsning kan være å vurdere om disse reglene, helt eller delvis, kan inngå i en eventuell ny forskrift under forvaltningsloven, bl.a. som utfyllende regler i forhold til lovens pålegg om å behandle taushetsbelagte opplysninger på en betryggende måte. Det bør bl.a. vurderes om det er mulig å samordne kravene for graden «Fortrolig» i beskyttelsesinstruksen med krav som følger f.eks. av taushetsplikt og sikring av sensitive personopplysninger. Utvalget mener derfor at beskyttelsesinstruksen bør oppheves, forutsatt at man finner hensiktsmessige alternativer som forvaltningen er bedre tjent med.
Dersom beskyttelsesinstruksen beholdes i sin nåværende form, mener utvalget det er viktig å ta opp til ny vurdering hvilke regler som skal gjelde for opplysninger gradert etter beskyttelsesinstruksen ved elektronisk kommunikasjon. Utvalget mener at elektronisk behandling av opplysninger gradert «Fortrolig» bør kunne behandles etter reglene foreslått i denne utredningen, med nødvendig presisering av standarder og anbefalte sikkerhetsnivåer. Utvalget mener følgelig at regler for elektronisk behandling av opplysninger gradert «Fortrolig» kan bygge på eller samordnes med utvalgets skisse til regelverk.
Man bør vurdere om det skal utvikles spesialregler for fristavbrudd ved elektronisk formidling av klage, f.eks. når klage leveres over dedikert informasjonstjeneste tilrettelagt av forvaltningsorganet.
Man bør vurdere løsning basert på at forvaltningsorganet alltid skal kvittere for mottatt klage.
Man bør også vurdere om meldinger som verken er saksdokument (kan evt. knyttes til om det skal journalføres og/eller arkiveres etter arkivloven) eller relevant som dokumentasjon etter økonomireglementet, skal være helt unntatt fra reglene om bruk av autentiseringstjenester eller signeringsteknologi.
Man bør utrede behov for og eventuelt krav til bruk av tidsstempling og lagring av informasjon hos en tiltrodd tredjepart, om forvaltningen og befolkningen har slike behov.
Man bør vurdere om det bør stilles overordnede funksjonelle krav til lagring som vil oppfylles av blant annet standarder som Noark-4 [ 57] (godkjent standard for elektronisk arkivsystem etter arkivloven og forskriftene), europeisk standard for (utvidede) signaturformater (ETSI ES 201 733).

Fotnoter

Lov om forebyggende sikkerhetstjeneste av 20. mars 1998, nr. 10 med tilhørende forskrifter (ikke i kraft).

Med «digital signatur» menes her anvendelse av systemer for offentlignøkkel-kryptering og sertifikater utstedt og administrert innenfor en offentlignøkkel-infrastruktur (PKI). Med «offentlignøkkel» siktes det til at nøkkelen er offentlig tilgjengelig – ikke at den nødvendigvis har noen tilknytning til det offentlige. Med «elektronisk signatur» menes den videre anvendelse av autentiseringsteknikker som definert i lov om elektronisk signatur, jf. § 3, nr. 1.

Det skilles ikke her mellom privat nøkkel benyttet for signering (ikke-benekting i tekniske termer) og autentisering (som kalles «digital signatur» i sertifikatsammenheng når det «signeres» over en hash-verdi for autentiseringsformål uten at man mener å «binde seg» til innholdet i det datagrunnlag hash-verdien er utledet av). Dersom det benyttes ulike nøkler for disse formålene, og det er å foretrekke, vil det fremgå av nøkkelsertifikatene hvilken funksjon den enkelte nøkkel har.

Kryptering av en visuell underskrift på et dokument. htttp://www.penop.com

Jf. Statskontoret, Elektroniska signaturer och elektronisk identifiering för myndigheters e-tjänster, 25. august 2000.

Dette innebærer ingen restriksjoner på forvaltningsorganets adgang til å åpne for elektronisk kommunikasjon direkte til saksbehandler, men medfører blant annet at organet først bør ta uttrykkelig stilling til om de interne rutiner er tilfredsstillende, jf. drøftelsen ovenfor. En klar angivelse av hvilke kommunikasjonskanaler organet støtter, vil også bidra til å øke forutberegneligheten for brukerne ved innføring av elektronisk kommunikasjon og saksbehandling.

Dette er tenkt å omfatte både tilfeller der nødvendig sikkerhetstjeneste ikke er brukt, og tilfeller der aktuelt sertifikat e.l. er trukket tilbake eller signaturen av annen grunn ikke kan verifiseres.

Se ev. rapport fra Kartleggingsprosjektet om dette. Formålet med retningslinjene her er å gi anvisning på framgangsmåte som kan/skal benyttes dersom loven ellers åpner for elektronisk kommunikasjon. Det forutsettes at de nødvendige lovendringer vurderes i den nåværende fase av Kartleggingsprosjektet/eRegel-prosjektet.

I et dedikert system vil kvittering bli sendt umiddelbart slik at ingen ekstra kontroll er nødvendig. Regelen om særskilt kontroll vil først og fremst gjelde alminnelig e-post. Bruk av e-post for klage bør begrenses.

10.

Se nærmere om dette f.eks. i Statskonsults rapport 1998:13: Juridiske problemstillinger ved elektronisk saksbehandling og dokumenthåndtering.

11.

Jf. personopplysningsloven § 24, jf. § 18. I § 24 heter det at den behandlingsansvarlige kan kreve en skriftlig og undertegnet begjæring for å sikre at det er den registrerte og ingen annen som får tilgang til opplysningene. I spesialmotivene til bestemmelsen, Ot.prp. nr. 92 (1998-1999) s. 122, framgår det imidlertid at begjæring kan skje i elektronisk form forutsatt at den registrerte identifiserer seg på sikker måte, f.eks. ved hjelp av digital signatur.

12.

Med oppbevaring over lengre tid menes her oppbevaring utover den tid saken er til behandling, ikke nødvendigvis «langtidslagring» i arkivets forstand.

13.

ETSI TS 101 733 Electronic Signature Formats (v 1.2.2 (2000-10)) , åpner for en slik modell, jf. pkt. 4.2 siste avsnitt, siste setning.

14.

Presiseringen er gjort for å vise at det ikke er meningen å pålegge arkiveringsplikt for meldinger alene av den grunn at de er signert med digitale signaturer.

15.

Bekreftelse på at sertifikatet ikke var trukket tilbake på det tidspunkt verifisering fant sted, kan være i form av tidsstemplet bekreftelse fra tilbaketrekkingsliste, tidsstemplet bekreftelse fra sertifikat-statustjeneste (OCSP) eller liknende.

16.

Dette kan, som nevnt ovenfor, skje enten ved påføring av et «arkiv-tidsstempel» som definert i f.eks. ES 201 733 Electronic Signature Formats, eller ved at arkivet på annen måte sikrer meldingens integritet og på tilfredsstillende måte dokumenterer knyttingen mellom meldingen og de forholdene sertifikatet representerer.

17.

Selv om det ikke er mulig å verifisere signaturen ved arkivering, kan det ikke utelukkes at meldingen er relevant. For det første kan det tenkes at signatur strengt tatt ikke er påkrevet i det aktuelle tilfellet, jf. det som er sagt i «Krav til kontroll av sertifikater og tilbaketrekkingslister» under punkt <"fldrslt>11.2.6.10 om hvilken betydning manglende verifisering har for den videre behandlingen av meldingen. For det andre kan man tenke seg at de forholdene meldingen omhandler, støttes av andre opplysninger i saken som derved bidrar til å sannsynliggjøre at meldingens integritet er i behold.

18.

Dette innebærer antakelig krav til arkivering av aktivitetslogger e.l. Det bør ikke stilles krav om lagring av autentiseringsdata som sådanne. I kode/passord-systemer kan dette innebære en sikkerhetsrisiko. Eventuelle alternativer er lagring av autentiseringsdata i kryptert form eller lagring av engangspassord. Det siste stiller krav til bevaring av samtlige benyttede engangspassord hos forvaltningsorganet og register over når de ble benyttet, og er neppe særlig praktisk.

19.

Jf. f.eks. ETSI ES 201 733 Electronic Signature Formats og GlobalSign/ICRI, Signature Policies, 28 August 2000.

20.

Derimot kan man tenke seg at brukerens lokale system i forbindelse med verifisering av signaturen sjekker den anvendte policyen, f.eks. ved å gjøre oppslag mot liste over aksepterte policyer.

21.

Dette kan f.eks. skje ved at sertifikatet inneholder opplysninger som ved visning på skjerm hos mottaker, ved bruk av vanlig programvare, framstår som etatens alminnelig kjente navn. Dersom etaten benytter flere informasjonssystemer, bør hvert enkelt system utstyres med egne sett med nøkler og sertifikat.

22.

Det er ikke meningen at dette skal gripe inn i den adgang som ellers finnes til å sette til side eller omgjøre vedtak som er beheftet med feil – kun det forhold at vedtaket ikke er fattet av rette person innenfor det aktuelle organ. I prinsippet kan man også tenke seg sertifikater til forvaltningsansatte som ikke inneholder den ansattes navn, men derimot navnet på forvaltningsorganet sammen med et ansattnummer eller annen identifikator som gjør det mulig for organet å identifisere saksbehandleren. Med mindre saksbehandlers navn framgår av meldingen ellers, vil saksbehandler være anonym i forhold til mottakeren. Man kan da tenke seg at den samme rettslige virkning inntrådte som ved meldinger «forseglet» av organets informasjonssystem. Det er imidlertid ikke her noen automatisert behandling eller andre forhold som begrunner en særlig flytting av risiko for feil over på forvaltningsorganet. Det synes derfor ikke å være grunn til å behandle bruken av eventuelle «anonyme ansattsertifikater» på annen måte enn der saksbehandler underskriver med fullt navn.

23.

Det bør søkes en løsning som gjør det mulig å koordinere både statlig og kommunal forvaltning.

24.

De aktuelle sertifikatutstederes sertifikater.

25.

Dersom det ikke er sikret mulighet for full støtte til sertifikater fram til de løper ut, må det være adgang til å pålegge å avbryte bruken i gyldighetsperioden.

26.

Ideen er at det ikke skal være mulig å «surfe» på katalogen for å kartlegge de enkeltes fullmakter, men kun å få verifisert om vedkommende har de nødvendige rettigheter eller er tilknyttet relevant område for anvendelsen av sertifikatet.

27.

Det er viktig at denne informasjonen gis i en form som brukeren kan forstå. Det kan ikke forventes at den enkelte skal kunne forholde seg direkte til den aktuelle sertifikatpolicy og sertifiseringspraksis. Se f.eks. Model PKI Disclosure Statement(PDS) i ETSI TS 101 456, Policy Requirements for Certification Authorities Issuing Qualified Certificates, Annex B.

28.

En del problemer løses dersom passord for tilgang til signeringsnøkler må oppgis hver gang signeringsnøkkelen skal benyttes, slik det er foreslått i Sverige. Men med mindre signering foregår i aktive kort e.l. vil dette antakelig være avhengig av den enkeltes lokale konfigurasjon.

29.

Jf. f.eks. ETSI ES 201 733 Electronic Signature Formats og GlobalSign/ICRI, Signature Policies, 28 August 2000.

30.

Det er ikke sikkert at manglende verifisering bestandig vil ha betydning for behandling av meldingen. Det kan f.eks. tenkes at meldingen gjelder begjæring om innsyn i dokument som kan utleveres etter offentlighetsloven, eller anmodning om å få tilsendt søknadsskjema eller andre forhold der vedkommendes identitet mv. er uten betydning.

31.

Det er viktig at denne informasjonen gis i en form som brukeren kan forstå. Det kan ikke forventes at den enkelte skal kunne forholde seg direkte til den aktuelle sertifikatpolicyen og sertifiseringspraksisen. Se f.eks. Model PKI Disclosure Statement (PDS) i ETSI TS 101 456, Policy Requirements for Certification Authorities Issuing Qualified Certificates, Annex B.

32.

En del problemer løses dersom passord for tilgang til signeringsnøkler må oppgis hver gang signeringsnøkkelen skal benyttes, slik det er foreslått i Sverige. Men med mindre signering foregår i aktive kort e.l., vil dette antakelig være avhengig av den enkeltes lokale konfigurasjon.

33.

Jf. f.eks. ETSI ES 201 733 Electronic Signature Formats og GlobalSign/ICRI, Signature Policies, 28 August 2000.

34.

Se f.eks. SINTEFs forprosjekt om en «Nasjonal BitBank» i rapporten Langtidslagring av informasjon. Underlag for etablering av en BitBank, SINTEF Rapport STF40 A99082, 28. desember 1999.

35.

F.eks. ved systematisk feilrapportering mot et automatisert innrapporteringssystem.

36.

Med innholdskryptering menes her tiltak for sikring av konfidensialitet mv., ikke kryptering av innhold i forbindelse med systemer for betal-TV, rettighetsadministrasjon o.l.

Neste kapittel

Forrige kapittel

Neste kapittel

Forrige kapittel

Til forsiden

Dokumentet i PDF format

Til toppen

NOU 2001: 10

Uten penn og blekk— Bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen

Del 4 Forslag til regulering av elektronisk kommunikasjon med og i forvaltningen

11 Forslag til regulering av bruk av digitale signaturer og dokumentkryptering i forvaltningen

11.1 Bakgrunn

11.1.1 Aktuelle problemstillinger

11.1.2 Forholdet til lov om elektronisk signatur

11.1.3 Forholdet til eRegel-prosjektet

11.1.4 Språk og begreper i dette kapitlet

11.2 Signering og autentisering

11.2.1 Behovet for koordinering og ønsket om fleksibilitet

11.2.2 Forholdet til elektronisk saksbehandling

11.2.3 Rutiner for og krav til elektronisk kommunikasjon med forvaltningen

11.2.3.1 Adressat for henvendelser til forvaltningen

11.2.3.2 Henvendelser som utløser veiledningsplikt – formfrie henvendelser

11.2.3.3 Søknader og andre henvendelser som utløser saksbehandling

11.2.3.4 Henvendelser som er underlagt formkrav

11.2.3.5 Henvendelser som ikke tilfredsstiller aktuelle krav

11.2.3.6 Underretning om vedtak

11.2.3.7 Klage

11.2.3.8 Innsyn i opplysninger og dokumenter i elektronisk form

11.2.3.9 Høring og kommentar til høring av forskrifter o.l.

11.2.4 Arkiv og langtidslagring

11.2.5 Signering og verifisering av signatur – bruk av helt eller delvis automatiserte systemer

11.2.5.1 Signering av meldinger som behandles manuelt

11.2.5.2 Verifisering av signaturer ved mottak

11.2.5.3 Henvendelser som behandles automatisk

11.2.5.4 Utstedelse og bruk av sertifikater for informasjonssystemer

11.2.5.5 Sårbarhetsbetraktninger – sikring av nøkler for informasjonssystemer

11.2.6 Forvaltningsansattes bruk av elektronisk signatur

11.2.6.1 Anskaffelse av nøkler, koder og sertifikat

11.2.6.2 Hva må dokumenteres ved anskaffelse av sertifikat?

11.2.6.3 Innsamling av opplysninger og samtykke til utlevering av sertifikat mv.

11.2.6.4 Veiledning av den ansatte

11.2.6.5 Påbud om bruk av nøkler, koder og sertifikat

11.2.6.6 Annen bruk av nøkler, koder og sertifikat

11.2.6.7 Restriksjoner på bruk av nøkler, koder og sertifikat

11.2.6.8 Krav til forsvarlig bruk og oppbevaring av nøkler/nøkkelbærende medium

11.2.6.9 Varslingsplikter ved tap av nøkler, mistanke om misbruk mv.

11.2.6.10 Krav til kontroll av sertifikater og tilbaketrekkingslister

11.2.6.11 Krav til/anbefaling om lokal oppbevaring av sertifikater mv.

11.2.7 Privatpersoners bruk av elektronisk signatur

11.2.7.1 Valg av sikkerhetstjeneste

11.2.7.2 Veiledning av bruker

11.2.7.3 Restriksjoner på bruk av nøkler, koder og sertifikat

11.2.7.4 Krav til forsvarlig bruk og oppbevaring av nøkler/nøkkelbærende medium

11.2.7.5 Varslingsplikter ved tap av nøkler, mistanke om misbruk mv.

11.2.7.6 Krav til kontroll av sertifikater og tilbaketrekkingslister

11.2.7.7 Krav til/anbefaling om lokal oppbevaring av sertifikater mv.

11.2.8 Inngrep ved misbruk av sertifikat ved kommunikasjon med forvaltningen

11.2.9 Kopi av signeringsnøkler

11.3 Innholdskryptering og nøkkelhåndtering

11.3.1 Innledning

11.3.2 Samordning av krav til innholdskryptering

11.3.3 Informasjon til borgerne ved formidling av personopplysninger og taushetsbelagt informasjon til forvaltningen

11.3.4 Anskaffelse og bruk av nøkler, kort, koder og sertifikater mv.

11.3.5 Kryptering av melding til forvaltningen

11.3.6 Restriksjoner på bruk

11.3.7 Mottak av kryptert materiale

11.3.8 Deponering eller annen sikkerhetskopiering av krypteringsnøkler

11.4 Fastlegging av krav og utpeking av tilfredsstillende produkter og tjenester

11.5 Rettslige virkemidler – veiledende retningslinjer, avtale, instruks eller lovforankrede regler?

11.5.1 Veiledende retningslinjer

11.5.2 Avtaleregulering eller lovforankring

11.5.3 Bør forvaltningsinterne forhold reguleres gjennom instruks?

11.5.4 Oppsummering av virkemidlene

11.6 Skisse til forskrift om elektronisk kommunikasjon med og i forvaltningen

11.6.1 Signering og autentisering

Adressat for henvendelser til forvaltningen

Henvendelser som utløser veiledningsplikt – formfrie henvendelser

Søknader og andre henvendelser som utløser saksbehandling (knyttet til en konkret sak)

Henvendelser som er underlagt formkrav

Henvendelser som ikke tilfredsstiller aktuelle krav

Underretning om vedtak

Klage

Innsyn i opplysninger og dokumenter i elektronisk form

Høring og kommentar til høring av forskrifter og liknende

Arkiv og langtidslagring

11.6.2 Innholdskryptering og nøkkelhåndtering

Utstedelse og bruk av sertifikater for informasjonssystemer

Del 4
Forslag til regulering av elektronisk kommunikasjon med og i forvaltningen