Bilaga 1. Kartläggning av olika myndigheters planer när det gäller kommunikation med medborgare och företag över Internet.
Regeringen har uppdragit åt RSV att i samverkan med RFV, PRV samt Statskontoret utreda och lämna förslag om hur ansvaret för utfärdande och administration av certifikat och elektroniska signaturer bör organiseras inom statsförvaltningen. I uppdraget ingår bl.a. att utifrån de behov och planer som nu föreligger vid myndigheterna identifiera vilka olika säkerhetsnivåer som inledningsvis behöver tillgodoses och att testa och ta i bruk möjliga lösningar redan under utredningstiden för att ge erfarenheter för myndigheternas fortsatta arbete med att utveckla sina elektroniska tjänster. Mot bakgrund av detta initierade RSV en kartläggning av planerna hos ett antal myndigheter när det gäller kommunikation med medborgare och företag över Internet.
Kartläggningen skall för respektive myndighet bl.a. belysa följande frågor:
Kartläggningen, baserad på de direktiv som sammanfattats ovan, har genomförts av Lars Olsson, Lars Olsson Information Management AB, och för vissa av myndigheterna, Gunnar Hansson, Statskontoret. Denna rapport, som redovisar resultatet av kartläggningen, har sammanställts av Lars Olsson.
De flesta större myndigheter har nu planer i olika avancerade skeden att kommunicera över Internet direkt med medborgare och företag i anslutning till de ärenden som berör dem. De planerade tillämpningar som har störst volym finns inom de myndigheter som handlägger transfereringar av olika slag (RFV, CSN, AMS, PPM) samt inom beskattningsverksamheten (RSV). Där finns också mycket närliggande planer. PPM driftsätter t.ex. i september rutiner där pensionsspararna kan bestämma fonder för pensionssparandet över Internet. Tidigt 2001 planerar RSV driftsätta rutiner för företagen att lämna de periodiska skattedeklarationerna över Internet.
En avgörande svårighet för nästan samtliga myndigheter i samband med dessa planer är säkerheten i kommunikationen över Internet. Det är två frågor som dominerar. Den ena gäller vilken säkerhetsnivå som kan vara lämplig för en viss planerad rutin. Den andra gäller, i de fall man funnit att säkerhetskraven motiverar lösningar med PKI teknik, försörjningen med nycklar, certifikat etc. till de individer och företag som man kommunicerar med. Frågorna vad gäller försörjningen gäller hur man skall åstadkomma den, vilken kostnaden blir för denna försörjning för olika säkerhetslösningar samt hur kostnaderna skall finansieras. I en stor mängd av de planerade tillämpningarna används för närvarande blanketter som skrivs under i kommunikationen med allmänheten. De säkerhetsnivåer som främst diskuteras för dessa tillämpningar motsvarar kvalificerade certifikat, dock finns en osäkerhet i vilken utsträckning man behöver ha hårda (kortbaserade) respektive mjuka (programvarubaserade) certifikat. Sannolikt kommer det att finnas tillämpningar som kräver både hårda och mjuka certifikat.
Grundat på erfarenheterna under kartläggningen är bedömningen att de främsta samordningsbehoven gäller lösningarna med PKI-teknik, samt att samordnade lösningar kommer att krävas både vad gäller hårda och mjuka certifikat. Samordning kan också behövas för andra säkerhetslösningar, men den samordningen har lägre prioritet för tillfället.
Den preliminära bedömningen är att det är personcertifikat som behövs, och att företag och andra organisationer som myndigheterna kommunicerar med får ange vilka personer som är behöriga att elektroniskt signera kommunikationen från företaget eller organisationen. Flera av myndigheterna har planer på att byta eller anskaffa nya tjänstekort. De flesta av dessa är positiva till att då inkludera personcertifikat i tjänstekorten, både för att nå en bättre spridning av personcertifikaten och för att få en bättre samlad volym i en eventuellt kombinerad upphandling av tjänstekort och mjuka och hårda certifikat att användas i den externa kommunikationen.
Det har under kartläggningen blivit uppenbart att det är svårt för den enskilda myndigheten att kunna välja en lämplig säkerhetsnivå. Stöd krävs när det gäller att bedöma kostnaden för olika lösningar och också i bedömningen av lämplig nivå och lösning. De flesta myndigheter inser att det krävs samordning så att likartade tillämpningar från olika myndigheter inte bedöms helt olika när det gäller säkerhetsnivå.
Flera exempel som redovisas från myndigheterna visar att kommunikationen mellan myndigheter ofta är väl så viktig både för att nå effektivitet i den egna verksamheten och för att ge god service till omvärlden. Kraven ökar på snabb interaktiv kommunikation mellan myndigheterna , och för att kunna tillgodose det till rimliga kostnader krävs standardiserade lösningar för myndighetskommunikationen.
Under kartläggningen har konstaterats att kommunikationen mellan myndigheter är mycket omfattande och kan te sig oöverblickbar. Mönster går dock att identifiera, där de i varje mönster primärt inblandade myndigheterna kan vidareutveckla kommunikationen mellan sig. Sådana mönster finns när det gäller:
Ytterligare samordnande insatser kan krävas för att stimulera ett vidare samarbete mellan myndigheterna som är berörda av dessa olika dataflödenNär det gäller grunddata ökar kraven på enkla elektroniska tjänster från grunddatamyndigheterna till övriga myndigheter när det gäller bl.a. namn, adress för individer, företag och fastigheter, ägare för fastigheter, firmatecknare för företag. Andra liknande tjänster kan också effektivisera verksamhet med tillståndsgivning, upphandlingsärenden etc..
När de elektroniska tjänsterna från staten och övrig offentlig sektor ökar i omfattning kommer insatser att krävas för att få dem enkelt överblickbara. Ännu finns inga explicita krav från myndigheterna när det gäller detta. Däremot har man från t.ex. vissa kommuner sett det som naturligt att de elektroniska tjänsterna ses som en elektronisk presentation av motsvarande tjänster som t.ex. ett medborgarkontor kan ge samlat för offentlig sektor. Tjänsteutbudet kan då presenteras på olika sätt för individer med olika förutsättningar att t.ex. utnyttja teknik, men grundas ändå på samma tjänster och likartade sätt att beskriva dem.
AMS
Sedan ganska lång tid har stora delar av Arbetsmarknadsverkets platsförmedling skett över Internet. Fram till nu har de "traditionella" tillämpningarna i stor utsträckning levt separat både från hemsidan på Internet och från de Internet baserade externa tjänsterna. Nu kommer de att integreras närmare genom en ingång (portal) till AMS, Kontorswebben, vars första version driftsatts under våren 2000. I den första versionen finns inga större säkerhetsproblem. Version 2 som planeras driftsättas under hösten kommer att ge kunderna - i första hand arbetssökande men även arbetsgivare - möjlighet att lägga upp sidor med arbetsmarknadsinformation med kundens egen profil. Kunden kan kommunicera med handläggaren på Arbetsförmedlingen och handläggaren med kunden.. Det kommer att ställa krav på säker identifiering av kunderna (liksom förvanskningsskydd). Senare planeras också möjlighet att skicka e-post liksom att registrera sig för förmedlingen ("stämpla"). I de senare fallen höjs säkerhetskraven, dels för att få en helt säker identifiering och signering, dels för att kunna spara informationen. De nuvarande säkerhetskraven vid registrering av motsvarande uppgifter (för att registreras i den interna sökande basen (AIS) ) är små, normalt sker ingen kontroll vare sig av ID-handlingar eller av de yrkes- eller utbildnings- kvalifikationer man anger. Volymen i den interna sökandebasen är nu ½ till 1 miljon. Ambitionen är att få förmedlingsarbetet automatiserat och genom självservice till 70-80 %, antingen genom att de sökande fyller i hemifrån via egen PC, på kundarbetsplatser, på arbetet eller via medborgarterminaler. En rimlig ambition borde vara att några 100 000 en tid efter lanseringen utnyttjar Internet tjänsterna via självservice.
CSN
För närvarande har CSN på sin webbplats förutom allmän information, möjlighet att ladda ned blanketter m.m. och också vissa tjänster mot de enskilda kunderna. Man kan , när man identifierat sig med PNR och lösenord, se uppgifter rörande egen ansökan, skuldsituation, registrerad information om studieresultat etc.
Som bakgrund för de planer rörande bl.a. Internet kommunikation som nu utvecklas finns en utredning om CSNs kundservice. Man har där velat föra över så mycket som möjligt av interaktionen med kunderna till självservice, dels för att öka tillgängligheten till tjänsterna dels för att möta uttalade krav från kunderna. Dessa tankar planeras nu realiseras i samband med att hela studiestödet reformeras. De flesta stödformerna (undantag UBS - särskilt utbildningsbidrag samt studiehjälpen som utgår till ungdomar över 16 år i gymnasieskolan) förs nu samman i ett enda studiestöd. Lagstiftningen är klar, dock ej tillämpningsanvisningarna. Det nya studiestödet skall träda i kraft 1 juli 2001, vilket innebär att de som inleder stödberättigade studier därefter kommer att helt falla under det nya systemet, medan det blir övergångsregler för de som befinner sig inom nuvarande system och fortsätter studera.
I samband med det nya studiestödet görs IT-systemen om radikalt. Det är ett stort projekt (budget 190 Mkr) där först beviljningsdelarna skall gå i drift, därefter återbetalningsdelarna.
De delar som man nu planerar webbtjänster för är
Förutom detta planeras för olika simuleringsprogram för beviljning och återbetalning av studiestöd och lån.
Ekonomistyrningsverket
De system som ESV använder för redovisningen av de statliga inkomsterna och utgifterna kallas RIKS, system för budgetprognoser samt de som nu utvecklas för den ekonomiska styrningen kallas VESTA. I bägge fallen riktar sig systemen mot de statliga myndigheterna. Volymerna är måttliga och redovisningen månatlig. Användarna finns inom ESV samt regeringskansliet, speciellt finansdepartementet.
För RIKS planeras en förändring med Webb-gränssnitt mot myndigheterna (W-RIKS), där myndigheterna då via webb fyller i information från den egna redovisningen. Man bedömer inte att det finns några större säkerhetsproblem. Det har förts diskussioner om olika lösningar så att t.ex. Agresso (som är dominerande när det gäller ekonomisystem på myndigheterna, det finns andra främst Palasso inom förvaret och polisen) skulle förses med interface för direkt överföring till RIKS. En lösning vore interface mot SHS i Agresso, men hittills har man inte varit så entusiastisk för det. För Agresso finns planer på version med kommunikationsmöjligheter med XML baserade Business talk (från Microsoft).
Kommunikationsbehov mot de statliga myndigheterna finns således när det gäller RIKS och prognossystemen, samt senare även för ekonomistyrningen och budgetinformationen. Det finns även när det gäller information från systemleverantörerna till t.ex. Agresso användare. Likaså finns motsvarande behov när det gäller PIR. Där har man även (tillsammans med WM Data) fört diskussioner om säkerhetslösningar för PIR med hårda/mjuka certifikat.
Lantmäteriverket
Lantmäteriet, LMV, hanterar stora datavolymer. Störst datautbyte sker med bankerna och mäklarna. LMV kommunicerar också med kommunerna och ett flertal myndigheter, t.ex. RSV, SCB, PRV, VV, Domstolsverket och länsstyrelserna. Däremot sker inget datautbyte direkt mot allmänheten.
Inom LMV finns följande planer:
LMV är ansvarig för registret medan Domstolsverket svarar för registreringen. LMV planerar att utveckla systemet så att uppgifter kan lämnas in på elektronisk väg. I dag krävs underskrivna handlingar som underlag. Bankerna och mäklare ger oftast (till 90 %) in handlingarna för kundernas räkning. Även Kronofogden har tillgång till registret. Aviseringar ur registret går till Lokala skattemyndigheten, SCB m.fl.
Utvecklingen avses starta hösten 2000 och pågå i 30 månader till en kostnad av omkring 30 miljoner kronor. Meningen är att SHS ska användas både vid in- och utmatning.
Driftstart väntas ske tidigast i slutet av 2001. Uppgifter om byggnader fångas när bygglov begärs från kommunerna.
Lägenhetsregistret är nytt och är avhängigt av att beslut fattas om att ett sådant ska införas. Avsikten är att fastighetsägarna ska sköta registreringen via Internet. Första insamling väntas ske under år 2003.
Marknadsplatsen ska lanseras för att tillhandahålla LMV:s kommersiella produkter. Det är aktuellt att utveckla ett system för att presentera och visualisera kartinformation direkt via bildskärm.
Länsstyrelsen i Stockholms län
Vid yrkestrafikenheten har en förstudie genomförts kring rutinerna vid ansökan om tillstånd för yrkestrafik. För närvarande måste den sökande skaffa intyg från en rad olika myndigheter (RSV-KFM, RSV-folkbokföring, PRV, Överförmyndaren) för att bifoga ansökan där man redovisar ekonomiska förhållanden. Flera av intygen är tidsbegränsade, vilket innebär att den sökande kan behöva börja få dem förnyade om vederbörande inte är tillräckligt snabb i att skaffa intyg och fullborda ansökan. Därutöver kontrollerar länsstyrelsen vid handläggningen mot ett antal register hos olika myndigheter (MR/BR hos RPS, LINK hos Vägverket, Bolagsregistret hos PRV). I förstudien har man utvecklat ett scenario där man automatiserar sökandet av intyg och även länsstyrelsens registerslagningar genom att utnyttja SHS mot de inblandade myndigheterna (vilket förutsätter att de använder SHS också). Processen och handläggningstiden för ärendet skulle då väsentligt kunna förkortas och den ekonomiska risken för den sökande skulle kunna minskas. Det förutsätter då att det finns elektroniska tjänster hos de inblandade myndigheterna som kan svara på de (ganska enkla) frågorna som intygen nu ger svar på liksom länsstyrelsens registerslagningar.
Man studerar nu hur mycket det skulle kosta att införa de nya rutinerna inklusive kostnaderna för SHS Lite.
En av vinsterna med att förenkla rutinerna vore att få mer resurser för tillsynen över transportföretagen. Även där skulle man kunna vinna fördelar genom att med automatik få uppgifter om t.ex. nya styrelseledamöter i företagen från PRV.
Blanketterna för ansökan om tillstånd för yrkestrafik finns nu på länsstyrelsens webb för nedladdning. Man skulle även gärna se att ansökningarna kunde komma direkt över webben.
Det finns en rad tillämpningar inom andra delar av länsstyrelsen som till sin karaktär liknar tillstånd för yrkestrafik. Verksamheter med liknande kontrollverksamhet finns när det gäller:
Sannolikt finns inom dessa områden liknande krav på ungefär motsvarande intyg från olika myndigheter.
Den tillämpning mot allmänheten som har störst volym gäller körkortstillstånd samt tillstånd för handledarskap. Tillsammans med Vägverket ser man på möjligheter att automatisera detta via ansökningar över webben samt att skicka besluten över e-mail.
PPM
Driftstart när det gäller allmänhetens fondval sker i september. Man kommer då att under några veckors tid sända ut till allmänheten en presentation av de ca 450 fonderna från ett 50-tal fondhandlare som pensionsspararna har att välja mellan. I utsändningen ingår också en valblankett där man väljer en procentuell fördelning av sitt pensionssparande på max 5 fonder. Efter det initiala valet skall man sedan ha möjlighet att placera om sitt sparande
I samtliga de senare fallen sker identifikationen genom en 5-ställig PIN kod som kommer att sändas ut per brev (och som kan ändras direkt genom Internet applikationen eller beställning). Den valda säkerhetsnivån har varit föremål för diskussion, men med den tidplan och de resurser som nu finns går det inte att initialt ha någon annan lösning.
Den enskilde skall i princip kunna ändra sina fondval så ofta vederbörande vill, men effektueringen av valen sker bara en gång per dygn. PPM nettar allmänhetens köp-säljorder gentemot de olika fonderna (och har också själv ett mindre handelslager av de olika fonderna) och uppträder som en samlad kund mot de olika fondhandlarna.
PRV
Inom PRV finns ett antal från varandra skilda verksamhetsområden (Patent, Bolag Varumärken - innefattande även mönster- och namnfrågor samt periodisk skrift) - och Uppdragsområdet, vilka - även om det finns vissa beröringspunkter dem emellan - till innehåll väsentligen är olika och typiskt sett vänder sig till olika kundgrupper.
Patentområdet kännetecknas av en långtgående internationalisering. Ofta kommer patentansökningar etc. via företag som är specialiserade på att bistå den som söker ett patent. Inom området planeras följande tillämpningar:
Inom varumärkesområdet är en första etapp av elektronisk registreringsanmälan genomförd genom utläggning av blanketter i PDF format. Ytterligare etapper planeras syftande till elektronisk ingivning med komplett ansökan. Säkerhetskraven är höga för de planerade etapperna. Vidare planeras möjligheter till sökning i Varumärkesregistren, låga säkerhetskrav.
Inom bolagsområdet planeras följande tillämpningar:
Med höga säkerhetskrav menas krav på säker identifiering, insynsskydd, autenticering och oavvislighet. Det innebär krav på kvalificerad signatur. Med låga säkerhetskrav menas krav på säker identifiering.
RFV
Från 15 maj har självbetjäningstjänster som hittills funnits som telefonservice erbjudits som interaktiva Internettjänster. De anmälningar som nu kan göras via Internet gäller föräldrapenning, tillfällig föräldrapenning, pappadagar och sjukdom. Beställning som kan göras är utlandsintyg och intyg om antal utbetalda dagar.
Försöksverksamhet kommer att initieras inom olika län. Inom Jönköpings län startas ett försöksprojekt tillsammans med landstinget där för att mellan landstinget och försäkringskassa via SHS sända information rörande läkarintyg m.m. och också att kommunicera med de större företagen via SHS. Ett projekt startar i juni med inriktning Internet och interaktiva tjänster. Bl.a. ingår att forma Internetstrategi, ta fram vilka tjänster/verksamheter som ska erbjudas på Internet samt pröva säkerhetsnivåer, ta fram ekonomiska underlag och lägga fast arkitektur för webb.
Exempel på tjänster och säkerhetsnivåer är:
RPS
RPS eget nät är slutet och har ingen koppling till Internet. Kommunikation över Internet sker med datorer som inte är anslutna till RPS nät. En försökstillämpning med rutiner för anmälan av brott finns i Uppsala. Den körs på UDAC och informationen förs sedan över till de egna systemen. Ett liknande försök görs i Lindesberg. Rutinen för anmälan är en stark kandidat till tillämpning att lägga på Internet. Det finns inga speciella säkerhetskrav på denna rutin eftersom anmälan i princip kan göras anonymt och man ändå måste utreda omständigheterna kring anmälan och eventuellt brott. För närvarande är rutinerna kring anmälan ansträngda och det är ofta en flaskhals för polismyndigheterna. Flera polismyndigheter (bl.a. Stockholm och Skåne) har inrättat call centers för anmälan för att förbättra servicen och för att lätta på trycket på den övriga organisationen. Andra tillämpningar som diskuteras är olika tillstånd (vapen, sprängning m.m.). Här skulle dock säker identifiering krävas. Man har inte gjort någon analys av vilken kommunikation med allmänheten som kräver signatur. Ofta krävs nog ingen signatur från allmänheten, däremot måste man i kommunikationen utåt ofta säkerställa för mottagaren att det verkligen är Polisen som är avsändaren.
Polisen har en omfattande kommunikation med andra myndigheter. Ett generellt önskemål skulle vara att skapa möjlighet för säker e-post mellan myndigheter, dvs e-post som uppfyllde krav på säker identifiering, insynsskydd, oavvislighet och förvanskningsskydd.
Ett speciellt omfattande informationsutbyte förekommer mellan de olika myndigheterna inom rättsområdet. RIF-gruppen finns som forum för att diskutera olika gemensamma initiativ inom detta område. RI systemet har hittills varit det gemensamma systemet, som nu delvis ersatts med MR och BR som gemensamma databaser för rättsväsendet. Mer omfattande utbyte har diskuterats vid flera tillfällen, t.ex. att mer systematiskt kunna överföra informationen som skapas kring ärenden mellan myndigheterna
RSV
Planer finns för följande tillämpningar:
SCB
SCB har som policy att officiell statistik, som SCB ansvarar för, skall offentliggöras i Sveriges statistiska databaser. De statistiska databaserna är nu fritt tillgängliga över Internet. Officiell statistik skall även redovisas i Statistiska meddelanden (SM) på SCB:s webbplats liksom samtliga pressmeddelanden. Även i övrigt är Internet relaterade frågor mycket aktuella vid SCB, bl.a. i samband med uppdragsverksamheten.
När Internet används för publicering är säkerhetsfrågorna inte så svåra. Däremot undersöks nu möjligheterna till uppgiftsinsamling över Internet. Indataprojektet ser på flera frågor av intresse, både SHS som verktyg liksom möjligheterna att använda Internet för uppgiftsinsamling från företag. Man skall då i vissa fall förtrycka företagsuppgifter som är hemliga och endast skall ses av företaget. För tillämpningar av denna karaktär krävs säker identifiering av mottagaren, insynsskyddad överföring av informationen, och även skydd mot förvanskning. Det som är aktuellt närmast är försöksverksamhet inom några statistikprodukter.
SCB spelar en av nyckelrollerna när det gäller eventuell standardisering av kommunikationslösningarna inom staten eftersom nästan alla större myndigheter lämnar uppgifter till SCB.
Tullverket
Tulldatasystemet är ett decentraliserat import- och exportsystem som började användas 1992. Till systemet är anslutet ca 2000 Allterminaler. Nätet var ursprungligen baserat på X.25 men numera sker överföringen med Frame Relay.
Nästan alla storföretagen är anslutna till nätet. För övrigt sker tulldeklarationer via ombud. I dag är omkring 700 företag på 1200 orter användare. Drygt 80 procent av deklarationerna behandlas automatiskt. Målet är att siffran ska öka till 95 procent. Trafiken på nätet är stor både till och från företagen.
I systemet används elektronisk signatur. Dokumenten följer EDI-standarden. Något krav på krypterade förbindelser finns inte från näringslivet.
I dag sker identifieringen i terminalerna med hjälp av individbaserade kort. Över 7000 kort är i omlopp. Tullen skulle gärna se att ett medborgarkort införs. Systemet förutsätter att hårda certifikat används. Eventuellt behövs en ändring i lagstiftningen om mjuka certifikat ska kunna användas.
Ett projekt, Servicetrappan, drivs som ett partnerskap mellan Tullverket och näringslivet. Det syftar till att certifiera företagen för en förenklad och automatiserad tullhantering och införande av ett webbgränssnitt mot Internet under år 2001.
Vägverket, Trafikregistren
Redan i dag finns omfattande kommunikation från Trafikregistren med enskilda och företag. De flesta bilhandlare har i dag möjlighet att direkt mot trafikregistren göra transaktioner, främst registrering av ägarbyten. För identifieringen mot systemet utnyttjas kort. Bilhandlarna har också tecknat kontrakt med Vägverket om utnyttjandet. Korten liksom kortläsare och programvara levereras av Telia(Total kostnad ca 1000:-). Det har funnits inkörnings problem med leveransen av kortläsare och även att få systemen att fungera, men nu utnyttjas möjligheten i stor skala (t.ex. av samtliga återförsäljare av Volvo).
Andra självservicetjänster planeras. Redan nu finns möjlighet till ett antal tjänster via talsvarssystem. Dessa skall nu göras tillgängliga över Internet också. Om man kan lösa problem med säker identifiering skulle tjänsterna kunna utvecklas ytterligare. Ägarbyten skulle kunna registreras om man kan finna en lösning på att det krävs två signaturer för detta. Bokning av förarprov och betalning av det över Internet är andra tjänster som skulle kunna finnas. Det finns ett antal betaltjänster där man bedömer att det är via bankernas Internet betalningar man kan lösa det. För flera av tjänsterna bedömer man att säkerhetskraven inte är högre än att PIN koder skulle vara tillräckligt. Eventuellt skulle man då kunna acceptera t.ex. PPMs PIN koder.
Borlänge Kommun
Inom Borlänge kommun drivs projektet Infocity. Det är ett ramprojekt med syfte att belysa möjligheterna till samverkan över olika samhällssektorer med hjälp av informationsteknik. Målen för projektet är bl.a. att
Inom ramen för Infocity Borlänge drivs ett antal projekt både i egen regi och i samverkan med andra intressenter. Exempel på externa intressenter som nämns är Cap Gemini, Tieto-Enator, Stiftelsen Teknikdalen, Nutek, Justitiedepartementet och Statskontoret.
Ett stadsnät håller på att byggas upp. Grundtekniken i nätet är ATM. Målet är att 60 procent av Borlänges invånare ska vara uppkopplade i slutet av år 2000. Hushållen får tillgång till 512 kbit/s till en månadskostnad av 200 kr (plus engångsavgift 975 kr). Det långsiktiga målet är att alla ska ha tillgång till minst 5 Mbit/s.
Ett tänkbart tjänsteutbud är
Medborgarperspektivet och demokratifrågorna är viktiga ingredienser.
Norrbottens Läns Landsting
Landstinget är unikt genom att inom vården ha ett enhetligt vårdadministrativt system. Man kommunicerar med ett stort antal externa organisationer. Från RSV tas befolkningsregisterdata in, bearbetas av Enator innan de går in i landstingets system. Statistik och avvikelserapporter skickas till socialstyrelsen. Canceruppgifter går till Umeå Universitet. Kommunikation sker med apotekets läkemedelsregister. Till apoteket skickas recept elektroniskt, ca 10 000 st. per dygn. Till laboratorier skickas remisser elektroniskt med svar därifrån också elektroniskt. Telemedicin används i stor skala. Såväl stillbilder som rörliga bilder sänds.
Det vore en stor fördel om sjukintyg kunde skickas via Internet. Intygen skrivs i dag på papper. Utskriften av läkarintyg tar lång tid.
Patienter kan kommunicera med läkarna via e-post. Det skulle vara bra om detta förfarande kunde utvecklas och användas mer.
I framställningen nedan har olika myndigheters tillämpningar respektive planer ordnats efter vilka kategorier man kommunicerar med och efter planerad tid för driftssättning (där naturligtvis ofta en betydande osäkerhet kan finnas). Endast tillämpningar som ställer speciella krav på säkerhet har tagits med.
Kommunikation som kan rikta sig till hela gruppen företag
Kommunikation med speciella grupper företag eller institutioner
Vid besöken hos myndigheterna har det varit uppenbart att valet av säkerhetsnivå är svårt. Skälen är flera. Tekniken för kommunikation är annorlunda och innehåller andra typer av risker än dem man är bekant med från kommunikationen över dokument. Blanketter som skrivs på med namnteckning (eventuellt bevittnad, ibland på heder och samvete) är en teknik som man använt under mycket lång tid, och där erfarenheter av förfalskningar etc. har lett till en hög medvetenhet om vilka riskerna är. Det finns också väsentliga svårigheter i bedömningen av kostnaden för olika lösningar, vilket genomslag man kan nå i termer av att med olika tekniska lösningar nå fram till de grupper man kommunicerar med, vad andra aktörer, t.ex. bankerna har för planer o.s.v. Den lagstiftning som nu föreslås när det gäller elektroniska signaturer kommer att ge väsentligt stöd, men fortfarande finns där en osäkerhet i uttolkningen av vilka krav som ställs på kvalificerade certifikat. Osäkerheten hos myndigheterna gäller i första hand om man behöver ställa krav på förvaringen av den privata nyckeln (i en PKI lösning) på kort eller inte. Hårda (kortbaserade) certifikat bedöms bli avsevärt dyrare än mjuka (programvarubaserade) certifikat.
Man kan ändå konstatera att det finns en stor spännvid när det gäller säkerhetsbehoven, men att det går att urskilja säkerhetskrav av likartad karaktär. Det finns en stor volym tillämpningar, ofta sådana där man nu har namnunderskrift på blanketter, där man bedömer att tekniken med identifikation via nycklar och certifikat (s.k. PKI-teknik) är nödvändig. För många av tillämpningarna är man beredd att acceptera programvarubaserade (s.k. mjuka) certifikat även om man helst skulle se certifikat lagrade på kort (s.k. hårda certifikat) enligt klass 3 enligt den definition som skissats i Statskontorets rapport 2000:7. Samtidigt inser myndigheterna att marknaden inte är mogen för kortlösningar, annat än undantagsvis samt för myndigheternas egna arbetsplatser vilka ingår i en kontrollerad teknisk miljö. Det finns också tillämpningar där man av olika skäl har lägre säkerhetskrav, men ändå vill försäkra sig om att identifiera den som man kommunicerar med över Internet. CSN har t.ex. identifikation med lösenord när deras kunder ges möjlighet att se sådana uppgifter som CSN har om den enskilde kundens egna situation. Premiepensionsmyndigheten kommer att använda identifikation via 5-ställig PIN-kod vid de tillämpningar som startas i höst där pensionsspararna väljer fonder för sitt sparande över Internet.
Grundat på erfarenheterna under kartläggningen är bedömningen att de främsta samordningsbehoven gäller lösningarna med PKI-teknik, samt att samordnade lösningar kommer att krävas både vad gäller hårda och mjuka certifikat. Samordning kan också behövas för andra säkerhetslösningar, men den samordningen har lägre prioritet för tillfället.
Det slutliga ansvaret för val av säkerhetsnivåer, lösningar m.m. måste alltid träffas av varje myndighet. Som nämndes ovan finns det en stor osäkerhet här, där de enskilda myndigheterna kan behöva stöd i besluten om lämplig säkerhetsnivå för deras tillämpningar. Via det gemensamma arbete som nu görs skulle myndigheterna kunna få stöd i olika former:
Två exempel som givits under kartläggningen kan illustrera den tes som förs fram i rubriken.
Tillstånd för yrkesmässig trafik
I avsnitt 3, redogörelsen från länsstyrelsen i Stockholms län, beskrivs rutinen för tillståndsgivning. Som framgår där skall sökande skall ha intyg från en rad myndigheter
De flesta av intygen skall den sökande själv skaffa, andra erhålls genom registerslagning hos länsstyrelsen, vissa dubbelkontrolleras. Det är uppenbart att både servicegrad mot de sökande och länsstyrelsens arbetsbelastning skulle förbättras om man kunde erhålla uppgifterna från de andra myndigheterna elektroniskt och helst direkt.
Inom de flesta besökta myndigheterna finns ett mycket omfattande datautbyte med andra myndigheter. Det finns ofta en bild med den egna myndigheten i centrum och - andra myndigheter och parter som man kommunicerar med - i en cirkel runt. Läggs alla dessa bilder samman får man ett fullständigt oöverskådligt nät av kommunikationsförbindelser mellan de olika myndigheterna. En annan och förhoppningsvis enklare översikt erhålls genom att utgå från en funktionell indelning av myndigheternas verksamhet och se på några typer av information som kommuniceras i samband med detta.
Grunddata försörjning
Främsta aktörer är här RSV- folkbokföringen, LMV, PRV, och i viss mån Vägverket, trafikregistren. RSV folkbokför individer. Folkbokföringen sker på fastighet, senare lägenheter, som registreras av LMV. Individer kan ensamma eller genom att sluta sig samman bilda olika slag av juridiska personer såsom aktiebolag, handelsbolag, ideella föreningar. De flesta av dessa registreras av PRV. Fysiska eller juridiska personer kan äga fordon, vilka registreras av VV, liksom de tillstånd att framföra dem som kan innehas av fysiska personer. Till myndigheterna som hanterar grunddata bör också läggas SCB som har ansvar för BASUN, arbetsställeregistret för företag.
Vid registreringen fastställs de grundläggande ansvars- och rättighets frågor som är knutna till de registrerade objekten, t.ex. vilka som har olika ansvarsroller inom ett aktiebolag i enlighet med aktiebolagslagen, vem som äger en fastighet, vilka inteckningar som finns i den etc.
Tillsammans bildar registren över fysiska och juridiska personer liksom fastigheter och möjligen fordon motsvarigheten till ett kundregister för offentlig sektor. De har därför en fundamental betydelse för verksamheten i hela offentliga sektorn - på ungefär motsvarande sätt som ett kundregister för ett företag.. Figur 1 illustrerar flödena inom verksamheten:
Inom registreringsverksamheten finns ett intensivt dataflöde mellan de inblandade myndigheterna - grundat på de samband mellan grundregistreringarna som antyddes ovan. Registren förser de flesta verksamheterna inom offentlig sektor med grundläggande information om de individer, företag och fastigheter mot vilka verksamheterna ofta riktas.
Det som har karakteriserat grunddataflödena under senare tid är att man sökt snabba upp dem (t.ex. flödet av folkbokföringsinformation). Det görs genom att söka korta ledtiderna i uppdateringen av informationen och genom att göra aviseringen till andra myndigheter mer frekvent, ofta daglig. Från att ha varit baserad på magnetband som skickats t.ex. månatligen blir uppdateringarna allt oftare via telekommunikation och daglig. Kraven ökar då på enkla standardiserade rutiner för sådan kommunikation. En annan tendens är att hämta informationen från källan i stället för att själv lagra kopior som uppdateras. Detta ökar kravet på enklare elektroniska tjänster från dessa register.
Transfereringsmyndigheterna
Mellan de stora transfereringsmyndigheterna (RFV, AMS, CSN) finns en omfattande datatrafik. Det är ofta fråga om ärendeflöden, t,ex, att ett AMS eller CSN fattar beslut om ett utbildningsbidrag, men att RFV avgör storleken på det och ibland också sköter utbetalningen. Ofta är också a-kassorna inblandade. Det finns också ett omfattande datautbyte med de institutioner som man samverkar med (t.ex. utbildnings- eller vårdinstitutioner). Figur 2 illustrerar flödena:
På motsvarande sätt som kommunikationen med institutionerna inom sjuk- och hälsovården spelar en viktig roll för RFV när det gäller sjukförsäkringen spelar kommunikationen med utbildningsinstitutioner en viktig roll för CSN och även AMS. Kommunikationen mellan de olika transfereringsmyndigheterna och mellan dem och a-kassorna har förbättrats nyligen, men fortfarande finns här en stor rationaliseringspotential. En annan observation är att om RSV genom skattedeklarationen når en spridning av certifikat till företag så kan det ha stor betydelse både för RFVs möjlighet att få sjukanmälan rapporterad från företag och för AMS och CSN att kunna få en närvarorapportering från privata utbildningsinstitutioner över Internet.
Rättskedjan
En ärendekedja som uppmärksammats sedan länge är flödet av ärenden inom rättsväsendet, där flödet mellan de viktigaste aktörerna illustreras av följande figur:
Flera andra myndigheter är ofta inblandade, t.ex. RSV, Tullverket m.fl. Ärendena föds ofta hos Polisen, en förundersökning initieras hos åklagaren, ett eventuellt åtal leder till ett mål hos domstolen, som kan utdöma åtgärder mot den dömde vilka verkställs av Kriminalvården. Olika åtgärder har vidtagits för att effektivisera informationsutbytet mellan de inblandade myndigheterna, men mycket återstår ändå. De främsta behoven av insatser gäller här kommunikationen mellan de inblandade myndigheterna.
Fysisk infrastruktur och planering av den
Ett antal myndigheter förvaltar och utvecklar delar av den gemensamma fysiska infrastrukturen. Det gäller Vägverket för vägar, Banverket för järnvägar, Sjöfartsverket för sjöleder, Luftfartsverket för flygleder och flygplatser m.fl. Därutöver finns de som har ansvaret för skyddet av naturmiljön, Naturvårdverket, och kulturmiljön, Riksantikvarieämbetet. På regional nivå har länsstyrelserna ett samordnande ansvar för den fysiska planeringen.
Samtliga dessa myndigheter arbetar med fysiska resurser som oftast är knutna till visst läge. Mellan myndigheterna som arbetar med lägesbundna data har ett datautbyte utvecklats. Lantmäteriverket har genom produktionen av de grundläggande kartorna en nyckelroll i detta samarbete. De som främst behöver den integrerade informationen med alla lägesbundna objekt "på kartan" är kommuner och länsstyrelser och Boverket som har ansvaret för fysisk planering. Sambanden illustreras av figur 4.
Planärenden utgör exempel på fall där den lägesbundna informationen är en av grundpelarna för myndighetsutövningen, och i planärenden finns också en tydlig ärendekedja kommun - länsstyrelse och eventuellt Boverket. De främsta behoven av insatser gäller även här kommunikationen mellan de inblandade myndigheterna.
Tillstånd och tillsyn, speciella verksamheter
En rad verksamheter som bedrivs av privata företag är omgivna av speciella restriktioner. Tillstånd kan krävas för dem och speciell tillsynsverksamhet kan finnas. Ofta finns myndigheter som speciellt bevakar verksamheten och utövar tillsynen. Exempel på myndigheter med denna karaktär på verksamheten är Sprängämnesinspektionen, Kemikalieinspektionen, Revisorsnämnden, Finansinspektionen, m.fl. Kommunerna har en sådan roll inom t.ex. tillstånden för utskänkning av alkohol. Länsstyrelserna har det för trafiksektorn, för privata vårdhem etc. Det exempel som redovisats från Länsstyrelsen i Stockholms län rörande tillstånd för yrkesmässig trafik är säkert inte unikt när det gäller den myndighetskommunikation som krävs för att få tillstånden, utan den kontroll som sker av att företaget respektive individen finns, att inga skatteskulder finns, att personen är ostraffad är sannolika vanliga för att kunna kvalificera för att ta ansvar för verksamheter med speciella krav. Liknande kontroller sker ju oftast också för t.ex. företag som skall delta i statliga upphandlingar. Figur 5 illustrerar situationen vid tillståndsprövningen.
Den tidigare slutsatsen när det gäller tillstånd för yrkesmässig trafik gäller säkert i en rad liknande situationer, att både myndigheter och de enskilda skulle vinna på att man sökte lösa kommunikationen till de inblandade myndigheterna i anslutning till ansökan, och att informationen begärdes av och levererades direkt till den tillståndsgivande myndigheten.
Gemensam informationsproduktion
Produktion av gemensam information har berörts tidigare när det gäller grunddata liksom LMVs produktion av kartor (som eventuellt bör ses som grunddata också). En annan karaktär har de gemensamma sammanställningar och analyser som görs av vissa myndigheter. Konjunkturinstitutet producerar analyser av ekonomin, SMHI av vädret. En särställning när det gäller kommunikation med andra myndigheter intar här SCB, som utnyttjar information från ett myckets stort antal myndigheter för sin statistikproduktion. Vid publiceringen finns sedan ett samarbete med andra myndigheter som också publicerar officiell statistik. Figur 6 illustrerar flödena inom den offentliga statistikproduktionen.
Det som är av speciellt intresse i detta sammanhang är att SCB har en kommunikation med andra myndigheter som är jämförbar i omfattning med den som producenterna av grunddata har (där ju SCB också genom BASUN kan sägas ingå). En standardisering av tekniken för kommunikationen av statistikunderlag har därmed stor betydelse för SCB och skulle också påverka många levererande myndigheter.
Styr- och stabsfunktioner, pengaflöden
Mellan Regeringskansliet och myndigheterna finns olika dataflöden. Ett gäller styrdialogen och sker främst med skriftliga dokument. Till det är kopplat budgetdokument, och en utveckling av mer systematisk utväxling av budgetdokumenten pågår. Redovisningen samordnas av Ekonomistyrningsverket, som samlar in redovisningen från de olika myndigheterna med systemet RIKS. Denna information vidareförmedlas till Regeringskansliet. Figur 7 illustrerar flödena.
Som framhölls i avsnitt 5 är bedömningen att de främsta samordningsbehoven gäller lösningarna med PKI-teknik, samt att samordnade lösningar kommer att krävas både vad gäller hårda och mjuka certifikat. Samordning kan också behövas för andra säkerhetslösningar, men den samordningen bedöms kunna ges lägre prioritet för tillfället.
Erfarenheten hittills är att det är personcertifikat som efterfrågas. Hos den statliga myndighet som har längst erfarenhet av elektronisk identifiering, Tullen, får företagen i det kontrakt som skrivs innan de utnyttjar EDI tjänsterna ange vilka personer som är behöriga att elektroniskt signera de handlingar som elektroniskt överförs till Tullen.
Flera av myndigheterna har planer på att byta eller anskaffa nya tjänstekort. De flesta av dessa är positiva till att då inkludera personcertifikat i tjänstekorten, både för att nå en bättre spridning av personcertifikaten och för att få en bättre samlad volym i en eventuellt kombinerad upphandling av tjänstekort och mjuka och hårda certifikat att användas i den externa kommunikationen.
Från flera håll har det under kartläggningen framhållits att myndigheterna måste samarbeta i fastläggandet av säkerhetsnivåerna så att inte uppenbara skillnader uppstår mellan tillämpningar som av allmänheten kommer att uppfattas vara av samma karaktär.
Det är uppenbart att det finns möjlighet att få viss samordning i försörjningen av certifikat mellan olika myndigheter eftersom man ofta vänder sig till samma - eller nästan samma - målgrupp. Samtidigt har det under kartläggningen varit svårt att ge besked om kostnadsbilden, eller på vilket sätt certifikatförsörjningen kan ske. Frågor om finansiering har därför varit svåra att få någon tydlig bild av och därmed någon egentlig diskussion kring. Det gäller även intäkterna av de nya tillämpningarna i termer av lägre kostnader för myndigheterna och/eller bättre service. Både kostnader och intäkter blir starkt beroende på hur många som kommer att utnyttja direktkommunikationen över Internet. Representanterna för myndigheterna har helt enkelt vetat alltför litet vilka kostnaderna kan vara och på vilket sätt man kan tänkas finansiera försörjningen med certifikat respektive eventuella tjänster med identifiering. Om en tydligare strategi för försörjningen med certifikat nu växer fram och får acceptans, och om också prisbilden för tjänster klarnar så kan det vara angeläget att ånyo ta upp en sådan diskussion.
Av redovisningen ovan av några utvalda områden av kommunikation mellan myndigheterna framgår att det finns ett antal punkter där en effektiviserad kommunikation mellan myndigheterna både kan förbättra servicen utåt och effektivisera myndigheternas verksamhet. Man kan urskilja några speciella åtgärder som rör ett stort antal myndigheter:
Grunddatatjänster
Det utbyte av grunddata som redan sker, per magnetband eller filöverföringar via telekommunikation, behöver kompletteras med att de grundläggande namn- och adressuppgifterna m.m. finns tillgängliga som elektroniska tjänster d.v.s. i princip:
Man bör här söka standardiserade och enhetliga åtkomstsätt för denna information via SHS.
Andra standardtjänster
Genomgången har visat att det finns ett stort antal rutiner hos myndigheterna, där man vill ha speciella kontroller av individer eller företag av olika skäl. Det kan vara tillstånd för speciella verksamheter, att bli accepterad som leverantör av viss tjänst etc. Den information som söks är ganska likartad och innefattar frågor av typen
Förutsättningarna för denna typ av tjänster som skulle kunna göras tekniskt tillgängliga på samma sätt som grunddatatjänsterna behöver utredas närmare tekniskt och legalt (med hänsyn till PUL och olika registerlagar). Möjligen behöver rutinerna utformas så att det i princip är den sökande (eller motsvarande) som söker uppgifterna, även om det sker t.ex. från arbetsplatser hos den myndighet som har det primära ansvaret för ärendet.
Insatser inom speciella områden
Under kartläggningen har det blivit uppenbart att det finns ett antal områden där grupper av myndigheter skulle kunna förbättra sitt informationsutbyte genom gemensamma åtgärder. Det gäller främst:
Under kartläggningen har frågan om tjänstekataloger mot enskilda och företag tagits upp. Det är främst på kommunal nivå som man sett behoven, och där har man betonat att det borde gälla de samlade offentliga tjänsterna, således även tjänsterna från kommun och landsting. Man har även betonat att den kommunala nivån då kunde vara de naturliga eftersom det är där som relaterade fysiska tjänster - inom vård, skola och omsorg - ofta finns, och att statliga tjänster, inom allmän försäkring och för andra stödformer ofta är knutna till att man utnyttjar sådana tjänster. Där har man också framhållit att allmän information, t.ex. genom medborgarkontor - naturligen finns på den kommunala nivån, och att de elektroniska tjänsterna borde ses tillsammans med de tjänster som ett medborgarkontor kan ge som ett samlat tjänsteutbud som kan presenteras på olika sätt för individer med olika förutsättningar att t.ex. utnyttja teknik, men att de ändå borde hänga samman.
Vill du lära dig mer om skatter och företagande? Ta då chansen och möt oss online på våra direktsända webbseminarier. Det är kostnadsfritt och du kan ställa frågor och få svar i en chatt.