Skatteverkets remissvar m.m.

2024-7096

1 Sammanfattning

Skatteverket delar inte ett antal av Myndigheten för digital förvaltnings (DIGG) slutsatser, som ligger till grund för DIGG:s föreskrift:

DIGG drar slutsatsen att offentliga aktörer inte behöver ge sig in i upphandlingar om de ansluter sig till auktorisationssystemet. Skatteverket har en annan uppfattning, då det bl.a. behövs en förmedlingstjänst för digital post och om en offentlig aktör önskar en ny eller udda e-legitimation i sin flora, som går utöver auktorisationssystemets erbjudande, kan även detta behöva hanteras via en separat upphandling.

DIGG anför att infrastrukturen kopplad till auktorisationssystemet ska vara robust. Skatteverket delar uppfattningen om att den digitala infrastrukturen behöver vara robust, men vill i sammanhanget tillägga att i den del som avser elektronisk identifiering att auktorisationssystemet riskerar att leda till det motsatta, då hela kedjan inte omhändertas. Det finns även en inbyggd risk i auktorisationssystemet och det blir sårbart med att DIGG samlar vissa delar vid en punkt.
DIGG föreslår att de hämtar in de uppgifter som behövs själva. Skatteverket anser att det borde vara tvärtom att det ska ställas tydliga krav på leverantörer att ge in de uppgifter som behövs och att DIGG checkar av att uppgifterna stämmer.

I DIGG:s föreskrift och konsekvensutredning finns det en avsaknad av säkerhetsklassning, informationsklassning och leverantörsstyrning i form av aktiv uppföljning/kontroll av leverantörernas efterlevnad som Skatteverket behöver ha på plats, vilket kan få följden att Skatteverket kommer ha svårt att ansluta sig till auktorisationssystemet.

2 Skatteverkets synpunkter

2.1 Vad är auktorisationssystem? – Upphandling behövs inte (Konsekvensutredningen 1.1)

”Auktorisationssystem är ett sätt för offentliga aktörer att skaffa tjänster för elektronisk identifiering och för digital post utan att behöva upphandla tjänster.”
Skatteverket har en annan uppfattning i denna fråga. För digital post krävs bl.a. en förmedlingstjänst (Skatteverket har EMRIK), som identifierar om den medborgare som ska få brevet/handlingen har en digital brevlåda till vilket den offentliga aktören kan sända handlingen eller om medborgaren inte har någon digital brevlåda och behöver få brevet/handlingen via postförmedling. Skatteverket, Försäkringskassan och Arbetsförmedlingen har utvecklat denna typ av förmedlingstjänst, men vad Skatteverket vet inga andra offentliga aktörer, således behövs denna typ av förmedlingstjänst upphandlas om inte den offentliga aktören har integratörs-förmåga och utvecklingskraft.

Om en offentlig aktör önskar en ny eller udda e-legitimation i sin flora, som går utöver auktorisationssystemets erbjudande, kan även detta behöva hanteras via en upphandlad integratör, d.v.s. med dubbla anslutningar även om man nyttjar den infrastruktur som ingår i auktorisationssystemet.

2.2 Det aktuella problemet och vilken förändring som krävs – den digital infrastrukturen behöver vara robust (Konsekvensutredningen avsnitt 2)

”Mot bakgrund av det rådande säkerhetspolitiska läget behöver den digitala infrastrukturen vara robust.” Skatteverket delar uppfattningen om att den digitala infrastrukturen behöver vara robust, men vill i sammanhanget tillägga att inget i föreskriftens krav eller de krav konsekvensutredningen pekar på robusthet eller behov och då DIGG inte berör den del som avser elektronisk identifiering att auktorisationssystemet riskerar att leda till det motsatta, eftersom hela kedjan inte omhändertas. Det finns även en inbyggd risk i auktorisationssystemet med att DIGG samlar vissa delar vid en punkt.

”Genom att DIGG ställer upp de krav som ska gälla för leverantörer av tjänster för elektronisk identifiering och digital post säkerställer DIGG att offentliga aktörer får tillgång till robusta, kvalitetssäkrade förvaltningsgemensamma tjänster genom auktorisationssystem.”
Eftersom helheten inte omhändertas är Skatteverkets uppfattning att detta inte stämmer. Varje myndighet kommer i anslutning till auktorisationssystemet behöva upphandla centrala delar för att hela kedjan för elektronisk identifiering ska fungera bl.a. behöver det för digital post finnas en förmedlingstjänst hos avsändaren.

2.3 Redogörelse för vilka konsekvenser som bedöms uppstå om ingen åtgärd vidtas (Konsekvensutredningen avsnitt 3)

”Om DIGG inte ställer krav på leverantörerna i syfte att säkerställa att offentliga aktörer får tillgång till förvaltningsgemensamma, säkra tjänster för elektronisk identifiering och digital post som är utvecklade utifrån medborgarnas behov finns risk att offentliga aktörer använder sig av tjänster som dels inte är säkra, dels inte motsvarar medborgarnas förväntningar och behov. Det finns också en risk att tjänsterna inte säkerställer en robust digital infrastruktur.”

Även i denna del vill Skatteverket påpeka risken att helheten inte omhändertas, d.v.s. det finns en överhängande risk att myndigheter och kommuner tror att det är tillräckligt att ansluta till auktorisationssystemet för att få helheten att fungera, något som sannolikt alltså inte stämmer. Informationen om vad en anslutning till auktorisationssystemet innebär ur ett tekniskt perspektiv har varit knapphändig, men Skatteverkets slutsats är att varje myndighet/kommun kommer behöva genomföra separata upphandlingar för att få den tekniska kedjan komplett, i varje fall om man önskar någon delförmåga eller annan leveransnivå än vad auktorisationssystemet omfattar. I förlängningen har man med detta flera parter i kedjan, vilket riskerar leda till oklarheter i ansvarsfrågor, incidenter etc.

2.4 Generella krav på leverantörer - Vilken part som ska ge in de uppgifter som behövs (Konsekvensutredningen avsnitt 4.2.1)

”I många fall kan DIGG hämta in uppgifter om leverantörerna på egen hand, exempelvis genom att DIGG har tillgång till olika typer av officiella register. Genom att inhämta uppgifterna direkt ur officiella register minskar risken för att uppgifter som hämtas in är inaktuella eller manipulerade på något sätt. I de situationer då DIGG inte kan få åtkomst till uppgifterna har DIGG, enligt föreslagen reglering, möjlighet att begära att leverantören kommer in med uppgifterna i olika former av dokumentation.”

Ambitionen att DIGG hämtar in de uppgifterna som behövs anser Skatteverket kan leda till missförstånd och längre handläggningstider när DIGG saknar något och måste begära komplettering. Skatteverket anser att det är bättre att ställa tydliga krav på leverantörerna själva att säkerställa att ansökan är komplett. DIGG ska därefter kontrollera mot officiella register att uppgifterna stämmer. Detta ger i sig en indikator på om företaget lämnat korrekta uppgifter.

2.5 ”DIGG hämtar in uppgifter själv i första hand” (Konsekvensutredningen avsnitt 5.2)

Vad gäller kraven på att leverantören ska lämna visst underlag för att visa att den uppfyller de krav som ställs, väljer DIGG att utforma kraven på ett sätt som gör att DIGG inte kräver in uppgifter som DIGG själv har tillgång till genom officiella register. På så sätt åläggs leverantören inte onödiga uppgifter.
Se samma kommentar som i 4.2.1.

2.6 Beskrivning av hur och när konsekvenserna av förslaget kan utvärderas (Konsekvensutredningen 8.4)

Här finns formuleringar om ”Utvärdering av formen av reglering” samt ”Utvärdering av kraven på leverantörer”, saknas gör dock formuleringar om aktiv uppföljning/kontroll av leverantörernas efterlevnad.

I ”Utvärdering av krav på leverantörer” har DIGG satt krav lika med Tillitsramverket, men Tillitsramverket innehåller inte krav på säkerhetsklassning av leverantörer och inte krav på informationsklassning samt krav på aktiv uppföljning/kontroll av leverantörernas efterlevnad.

2.7 Den föreslagna föreskriften

I Underrubriken ”Krav för godkännande av leverantörs ansökan om anslutning till auktorisationssystem” saknar Skatteverket formuleringar om att leverantörens personal, infrastruktur och lokal m.m. behöver vara skyddsklassad på minst säkerhetsnivå 2.

I 11§ 2 st. finns följande formulerat –Om leverantören lämnar godtagbar förklaring enligt första stycket kan den ända anses uppfylla kravet i 9 §. I 9 § nämns följande ”En leverantör ska ha den nödvändiga ekonomiska och finansiella kapaciteten som krävs för att under minst ett år kunna fullgöra de åtaganden som följer av anslutningsavtalet.” Vad är godtagbar förklaring i 11§ 2 st., d.v.s. vilka skäl finns? Skatteverket anser att det finns stor risk för att bedömningen skiljer sig från fall till fall om grunderna är oklara.

3 Konsekvenser för Skatteverket

Avsaknad av säkerhetsklassning och informationsklassning samt aktiv uppföljning/kontroll av leverantörernas efterlevnad i DIGG:s föreskrift och konsekvensutredning kan få konsekvensen att Skatteverket i egenskap av ansvarig för sektor grunddata inte har möjlighet att ansluta sig till auktorisationssystemet.