Regeringskansliets rättsdatabaser

Kommittédirektiv Utvecklad reglering och styrning av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer Beslut vid regeringssammanträde den 14 juli 2022 Sammanfattning En särskild utredare ska analysera befintlig styrning och reglering av interoperabilitet vid datadelning inom den offentliga förvaltningen och från den offentliga förvaltningen till externa aktörer. Utredaren ska utifrån analysen föreslå om och hur styrning och reglering av interoperabilitet bör och kan utvecklas. Syftet är att öka den offentliga förvaltningens förmåga att samverka digitalt genom att dela data på ett effektivt och säkert sätt samtidigt som den personliga integriteten värnas och säkerheten i systemen och i samhället förblir robust. Utredningsarbetet ska utgå från det arbete som Myndigheten för digital förvaltning utför när det gäller den digitala infrastrukturen Ena (Sveriges digitala infrastruktur). Utredaren ska bl.a. • överväga om och hur regleringen av sektorsövergripande interoperabilitet bör och kan utvecklas, om det finns ett behov av föreskriftsrätt på området och i så fall föreslå föreskriftsrättens omfattning, • överväga hur en möjlig föreskriftsrätt bör fördelas så att det blir en effektiv samordning mellan den sektorsövergripande och sektorsspecifika nivån, • överväga hur en effektiv styrning av interoperabilitet bör organiseras, • överväga om det finns behov av en reglering av en förvaltningsgemensam informationsmodell, • lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket samt tillämplig dataskyddsreglering, och • bedöma behovet av ytterligare utredningsinsatser. Utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess. Uppdraget ska redovisas till Regeringskansliet (Infrastrukturdepartementet) senast den 15 december 2023. Behovet av en utredning Stora samhällsnyttor och effektiviseringsvinster finns att hämta om offentlig förvaltning ökar förmågan att dela data Genom att datamängder kombineras från olika datakällor kan stora samhällsnyttor uppnås samtidigt som nya risker kan uppstå. Det finns effektiviseringsvinster att hämta i förvaltningen och inom välfärden genom utökad digital myndighetssamverkan. Cancerdiagnostiken kan t.ex. förbättras genom att bilddiagnostikdata inom mammografiområdet används för maskininlärning. Jordbruket kan bli mer hållbart om jordobservationsdata och jordbruksstatistik kan kombineras med jordbruksdata för att främja ett s.k. precisionsjordbruk. I dag är det svårt att nå dessa samhällsnyttor eftersom många offentliga datorsystem inte kan utbyta data med varandra på ett standardiserat sätt, dvs. systemen kan inte dela data på ett interoperabelt sätt. Teknik- och samhällsutvecklingen medför behov av att den offentliga förvaltningen ökar sin förmåga att dela data på ett interoperabelt och samtidigt säkert sätt. Därigenom kan myndigheter, regioner och kommuner effektivisera sin verksamhet och samverka för att t.ex. möta komplexa samhällsutmaningar som ökad kriminalitet och segregation, klimatomställningen eller välfärdens utveckling. Styrning och reglering av interoperabilitet inom offentlig förvaltning behöver utvecklas Teknikutvecklingen går snabbt och skapar nya möjligheter för offentlig förvaltning att använda metoder för datadelning som både är effektiva och rättssäkra. Det gäller t.ex. delning av stora maskinläsbara datamängder som kan användas för utveckling av artificiell intelligens och maskininlärning. I och med utvecklingen av en inre marknad för data finns behov av att myndigheter, regioner och kommuner ökar sin förmåga att dela data mellan många parter, ibland i realtid, inom ramen för ett antal europeiska dataområden. Data behöver vara interoperabla för att kunna kombineras med andra datamängder. Något förenklat kan man säga att interoperabilitet kan uppnås genom att alla parter applicerar samma standarder för dataformat. Detta gäller för den tekniska, semantiska, organisatoriska och juridiska nivån. Interoperabilitet uppnås genom gemensamma tekniska format och specifikationer (teknisk interoperabilitet) och en gemensam modell för hur olika begrepp ska tolkas och definieras (semantisk interoperabilitet). Vidare bör det vara tydligt vilket ansvar varje aktör har över de data som de delar (organisatorisk interoperabilitet) och det bör finnas gemensamma rättsregler som styr datadelningen (juridisk interoperabilitet). För att interoperabilitet ska vara hållbar över tid krävs dessutom en organisation för styrning av interoperabilitet över tid då standarder och nya dataområden utvecklas etc. (styrning av interoperabilitet). I dagsläget bygger etablerandet av interoperabilitet på frivilliga vägledningar, ramverk, principer och rekommendationer som förvaltas av Myndigheten för digital förvaltning inom ramen för Ena – Sveriges digitala infrastruktur. På grund av frivilligheten krävs ofta ett omfattande arbete för myndigheter, regioner och kommuner för att förhandla och ingå avtal om delning av data baserat på gemensamma standarder för metadata, datakvalitet, ursprungsmärkning, datastruktur, dataformat, vokabulärer etc. Möjliga besparingar och effektiviseringar nås inte eftersom många digitala utvecklingsprojekt försenas eller avbryts. I dagsläget är regleringen för hur myndigheter, regioner och kommuner ska samverka på ett effektivt sätt vad gäller interoperabel datadelning bristfällig. Ökad interoperabilitet underlättas sannolikt av en utvecklad styrning och reglering av t.ex. kravställande på gemensamma standarder vid datadelning. Därigenom kan den digitala samverkan mellan myndigheter utvecklas, besparingspotentialer och effektiviseringsvinster nås samt värdefulla datamängder delas med privata aktörer. Nya formatkrav i öppna data-direktivet ställer krav på en sektorsövergripande reglering och styrning Den offentliga förvaltningen står för en viktig del av produktionen av de datamängder som det digitala samhället bygger på. Den 1 augusti 2022 träder lagen (2022:818) om den offentliga sektorns tillgängliggörande av data i kraft. Den nya lagen, som genomför Europaparlamentets och rådets direktiv (EU) 2019/1024 av den 20 juni 2019 om öppna data och vidareutnyttjande av information från den offentliga sektorn (öppna data-direktivet), ska gälla när en myndighet, ett offentligt styrt organ eller ett offentligt företag frivilligt eller med stöd i någon annan författning tillgängliggör data i syfte att de ska kunna vidareutnyttjas. I lagen införs det bl.a. krav på format. Öppna data-direktivet stipulerar dessutom att särskilt värdefulla datamängder i flera kategorier ska publiceras som öppna data. Närmare vilka datamängder som kommer att pekas ut som särskilt värdefulla avser Europeiska kommissionen att reglera i en s.k. genomförandeakt. Både den nya lagen om den offentliga sektorns tillgängliggörande av data och genomförandeakten för öppna data kan medföra behov av kompletterande reglering gentemot myndigheter, regioner och kommuner så att dessa tillgängliggöranden kan genomföras på ett effektivt, säkert och sammanhållet sätt. Säker och effektiv datadelning ställer krav på sektorsövergripande reglering av informationsmodell Organisationer i den offentliga förvaltningen skyddar i dag sin information utifrån sina egna organisatoriska förutsättningar och behov. Detta kan leda till att skyddet för samma information varierar inom den offentliga förvaltningen. Utan möjlighet att ge en gemensam inriktning för nivån på skyddet blir det svårare att säkerställa att samhällets gemensamma intresse av skydd kan omhändertas. Myndigheten för samhällsskydd och beredskap (MSB) har i sin Infosäkkoll för 2021 visat på ”bekymmersamma brister” i stora delar av den offentliga förvaltningen (MSB:s rapport Det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen – Resultatredovisning Infosäkkollen 2021). Rapporten visar att många statliga myndigheter inte lever upp till de föreskrifter som MSB införde redan 2009 och att stora delar av den offentliga förvaltningen inte arbetar systematiskt med informationssäkerhet. Statliga myndigheter har i enlighet med 19 § förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap en skyldighet att se till att deras egna informationshanteringssystem uppfyller vissa grundläggande och särskilda säkerhetskrav. Av samma bestämmelse framgår att myndigheterna därvid särskilt ska beakta behovet av säkra ledningssystem. MSB har rätt att, med beaktande av nationell och internationell standard, meddela föreskrifter om sådana säkerhetskrav som avses i förordningen. Förordningen kommer att upphävas den 1 oktober 2022 när förordningen (2022:524) om statliga myndigheters beredskap träder i kraft. När det gäller dessa bestämmelser om informationshanteringssystem och MSB:s föreskrifter har dessa överförts i princip oförändrade till den nya förordningen. En ökad förmåga att dela data inom den offentliga förvaltningen ställer högre krav på samlad informationssäkerhet. Detta kan t.ex. uppnås genom att krav ställs på gemensamma informationsmodeller som i sin tur kan stödja organisationer i offentlig förvaltning i arbetet med mer koordinerade skyddsnivåer. Utredningsuppdraget Allmänna utgångspunkter Syftet med utredningen är att främja utvecklingen av en effektiv och säker digital förvaltning, förstärka möjligheterna till datadriven forskning och främja den digitala ekonomin i Sverige. Utredningsarbetet ska bedrivas i enlighet med på området relevanta strategier, ramverk, statliga uppdrag m.m. samt bidra till att förstärka Myndigheten för digital förvaltnings arbete med den digitala infrastrukturen Ena (Sveriges digitala infrastruktur), metadata, öppna data och datadelning. Vidare ska i arbetet hänsyn tas till arkivrättslig reglering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket samt tillämplig dataskyddsreglering. Det är även viktigt att vid utformningen väga in hur förslagen påverkar näringslivet, då näringslivet ingår bland de externa aktörer som avses kunna nyttiggöra de data som blir mer tillgängliga via förslagen. Detta gäller såväl företags förutsättningar och incitament som vikten av att inte öka den administrativa bördan eller andra kostnader för företag mer än nödvändigt vare sig generellt eller inom en specifik sektor. I enlighet med den europeiska datastrategin (COM(2020) 66 final) pågår både lagstiftningsarbete och främjandeåtgärder i syfte att etablera en inre marknad för data där interoperabilitet är ett centralt värde inom ramen för utpekade dataområden. Utredarens förslag måste vara förenliga med främjandeåtgärder och relevanta EU-rättsakter på området, t.ex. förslaget till Europaparlamentets och rådets förordning om harmoniserade regler för skälig åtkomst till och användning av data (dataakten) COM(2022) 68 final, förslaget till Europaparlamentets och rådets förordning om dataförvaltning, (dataförvaltningsakten) COM(2020) 767 final, öppna data-direktivet och Europaparlamentets och rådets direktiv 2007/2/EG av den 14 mars 2007 om upprättande av en infrastruktur för rumslig information i Europeiska gemenskapen (Inspire), liksom anslutande nationell reglering. Det europeiska ramverket för interoperabilitet (EIF) ställer vidare sedan tidigare upp ett antal principer för hur interoperabilitet kan uppnås, vilka har legat till grund för Svenskt ramverk för digital samverkan (Svenskt ramverk för digital samverkan 1.3) som i dag förvaltas av Myndigheten för digital förvaltning. Enligt regeringens datastrategi Data – en underutnyttjad resurs för Sverige: En strategi för ökad tillgång av data för bl.a. artificiell intelligens och digital innovation (I2021/02739) ska målet vara att Sverige ska vara en ledande datadelningsnation inom AI och digital innovation med syftet att stärka välfärden, konkurrenskraften och det robusta hållbara samhället. Finland antog som jämförelse en lag om interoperabilitet i offentlig förvaltning redan 2011. Denna lag uppdaterades 2019 till en bredare lag om informationshantering inom den offentliga förvaltningen (906/2019). Finland, Estland och Island driver tillsammans Nordic Institute for Interoperability Solutions (niis.org). Inom forskarsamhället har de s.k. FAIR-principerna utvecklats. Principerna innebär att forskningsdata ska vara sökbara (findable), tillgängliga (accessible), interoperabla (interoperable) och återanvändningsbara (reusable). Enligt regeringens färdplan för det europeiska forskningsområdet (U2019/01576) ska offentligt finansierad forskning i Sverige uppfylla FAIR-principerna så långt som möjligt. En utvecklad reglering och ansvarsfördelning för interoperabilitet Det är viktigt att delning av data kan ske på ett effektivt och säkert sätt. Detta sker ofta genom att parterna använder samma standarder. I dagsläget sker styrningen av interoperabilitet inom offentlig förvaltning genom frivilliga rekommendationer och ramverk. Detta försvårar en effektiv digital samverkan mellan myndigheter och skapar långa projekttider. Detta gäller både mellan och inom olika sektorer. Att statliga myndigheter är organisatoriskt fristående och kommunsektorn självstyrande innebär, vid avsaknad av rättsregler eller annan styrning, att ingen part har mandat att bestämma villkoren för datadelning framför någon annan part. Detta kan medföra särskilda problem inom områden där tvärsektoriell datadelning behövs, men även inom olika sektorer. En ökad reglering kan sannolikt främja ökad interoperabilitet mellan olika sektorer och värdefulla datamängder. Detta kan i sin tur leda till en generellt sett högre informationssäkerhet. För att uppnå målen i regeringens datastrategi samt för att bidra till en inre marknad för data inom EU är det viktigt att analysera behovet av en utvecklad reglering av interoperabilitet vid datadelning i syfte att göra datadelningen mer effektiv och säker. Förslag ska motiveras bl.a. utifrån samhällsekonomisk effektivitet och kostnadseffektivitet samt minimera omställningskostnader inom offentlig förvaltning. Utredaren ska därför • analysera hur interoperabilitet styrs och regleras i dag inom den offentliga förvaltningen och vid datadelning från den offentliga förvaltningen till externa aktörer, • överväga om och hur regleringen av sektorsövergripande interoperabilitet bör och kan utvecklas, om det finns ett behov av föreskriftsrätt på området och i så fall föreslå föreskriftsrättens omfattning, och • överväga hur en möjlig föreskriftsrätt bör fördelas så att det blir en effektiv samordning mellan den sektorsövergripande och sektorspecifika nivån varvid den sektorsspecifika analysen ska begränsas till de områden som utpekas i den nationella datastrategin. Utredaren ska lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket inklusive sådan reglering som syftar till att skydda uppgifter som kan vara känsliga för företag och för personer om de sprids samt tillämplig dataskyddsreglering. Utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess. En tydlig styrning av interoperabilitet I Digital Government Review of Sweden - Towards a Data-driven Public Sector rekommenderar OECD regeringen att förstärka styrningen av datahanteringen i syfte att öka tillgången till data som kan främja samverkan inom offentlig sektor och stödja digital innovation i ekonomin. OECD rekommenderar regeringen att bl.a. förstärka Myndigheten för digital förvaltnings verkställighetsmakt och utveckla en nationell datainfrastruktur för att främja datadriven innovation och bättre samarbeta med specifika användargrupper (t.ex. de finansiella och hälsotekniska ekosystemen). Myndigheten för digital förvaltning har nyligen lanserat namnet Ena som beteckning på Sveriges digitala infrastruktur. Den samlar olika förvaltningsgemensamma komponenter och etablerar mjuk infrastruktur för att information och data ska kunna utbytas på ett säkert och effektivt sätt. Inom Ena förvaltas i dag ett antal frivilliga ramverk, principer och vägledningar som bl.a. syftar till högre interoperabilitet. Även andra myndigheter har roller i styrningen av hanteringen av information och data, t.ex. Riksarkivet, Integritetsskyddsmyndigheten, MSB och Post- och telestyrelsen. MSB har en uttalad samordningsroll avseende informationssäkerhet inom Ena. Utvecklingen av Ena går dock långsamt och bygger på frivillighet. Det är därför viktigt att över tid kunna utveckla Ena till en effektiv och säker digital infrastruktur som möjliggör interoperabilitet vid datadelning och effektiva förvaltningsgemensamma tjänster. Samtidigt måste respektive sektor ta ansvar för att utveckla de sektorsspecifika krav på interoperabilitet som behövs. Utredaren ska därför • överväga hur en effektiv styrning av interoperabilitet bör organiseras så att effektiva regleringar kan tas fram inom rimlig tid, och • överväga hur regleringen av interoperabilitet bör utvecklas över tid så att nödvändig reglering kan utökas vid behov till nya sektorer eller dataområden samtidigt som samordningen mellan de olika nivåerna säkerställs. Utredaren ska lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket, inklusive sådan reglering som syftar till att skydda uppgifter som kan vara känsliga för företag och för personer om de sprids samt tillämplig dataskyddsreglering. Utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess. Utredaren ska även bedöma behovet av utredningsinsatser för ytterligare sektorer eller dataområden. Sektorsövergripande reglering av informationsmodellering Ökad interoperabilitet ställer nya krav på myndigheter, regioner och kommuner att hantera informationen på ett konsekvent och säkert sätt. Genom att utgå från gemensamma informationsmodeller kan parterna lättare koordinera t.ex. skyddsnivåer på ett sätt som gör att den samlade informationssäkerheten ökar i den offentliga förvaltningen. Utredaren ska därför • överväga om det finns behov av en reglering av en förvaltningsgemensam informationsmodell. Utredaren ska lämna de författningsförslag som övervägandena föranleder, med hänsyn tagen till de befintliga krav som finns i fråga om bl.a. arkivering, informations- och cybersäkerhet, nationell säkerhet, det offentlighets- och sekretessrättsliga regelverket, inklusive sådan reglering som syftar till att skydda uppgifter som kan vara känsliga för företag och för personer om de sprids samt tillämplig dataskyddsreglering. Utredaren ska beakta eventuella behov av stärkt informationssäkerhet som föranleds av stärkt interoperabilitet. I uppdraget ingår dock inte att föreslå ändringar i regelverken för informationssäkerhet, säkerhetsskydd, dataskydd eller offentlighet och sekretess. Konsekvensbeskrivningar Utredaren ska bedöma de ekonomiska konsekvenserna av förslagen för myndigheter, regioner och kommuner samt för enskilda. Om förslagen kan förväntas leda till kostnadsökningar för det allmänna, ska utredaren föreslå hur dessa ska finansieras. Utredaren ska särskilt ange konsekvenserna för myndigheter och företag i form av ökade kostnader och ökade administrativa bördor. I bedömningarna bör de konsekvensbeskrivningar som har gjorts avseende ovan nämnda rättsakter för data samt Lantmäteriets nyttoberäkningar angående värdefulla datamängder (Lantmäteriets dnr 2019:007157) tas i beaktande. En inskränkning av den kommunala självstyrelsen bör inte gå utöver vad som är nödvändigt med hänsyn till ändamålen. Det innebär att en proportionalitetsprövning måste göras. Om något av förslagen i betänkandet påverkar den kommunala självstyrelsen ska därför, utöver förslagets konsekvenser, de särskilda avvägningar som bär upp förslaget och som motiverar inskränkningen i den kommunala självstyrelsen redovisas särskilt. Kontakter och redovisning av uppdraget Utredaren ska samråda med Arbetsförmedlingen, Bolagsverket, Brottsförebyggande rådet, Domstolsverket, E-hälsomyndigheten, Försvarsmakten, Försäkringskassan, Integritetsskyddsmyndigheten, Lantmäteriet, MSB, Myndigheten för digital förvaltning, Riksarkivet, Samverkansprogrammet eSam, Statistiska centralbyrån, Skatteverket, Statens skolverk, Trafikverket samt Sveriges Kommuner och Regioner. Samråd ska ske med utredningen Hälsodata som nationellt intresse – en lagstiftning för interoperabilitet (S2022:98). Dessutom kan samråd ske med de myndigheter som har särskilda uppdrag inom ramen för regeringens datastrategi. Under arbetet ska utredaren även inhämta synpunkter från näringslivet. Uppdraget ska redovisas till Regeringskansliet (Infrastrukturdepartementet) senast den 15 december 2023. (Infrastrukturdepartementet)