Digital forvaltning og forvaltningslovgivningen

Indførelse af digital forvaltning indebærer, at en række af de processer, som i dag er papirbaserede, bliver gjort digitale. Det medfører, at der i nogle tilfælde kan opstå tvivl om, hvordan den eksisterende forvaltningslovgivning skal fortolkes under de nye betingelser. Hvilke muligheder/begrænsninger giver persondataloven for udveksling af personoplysninger? Hvordan fastlægges kompetencer og ansvar i situationer, hvor myndigheder løser opgaver for hinanden eller i samarbejde? Hvilken sikkerhed er påkrævet, når offentlige data skal udveksles over internettet? Etc.

Formålet med dette notat er at give en oversigt over nogle af de juridiske problemstillinger, som kan opstå ved indførelse af digital forvaltning. Det skal understreges, at det i notatet alene er forsøgt at indkredse få væsentlige problemstillinger, og at der derfor ikke er tale om en udtømmende juridisk analyse. En række detaljer, som er væsentlige for en fuldstændig forståelse af de rejste problemstillinger, er heller ikke behandlet i notatet.

 

Hvad er anderledes i en digital forvaltning?
Der findes ingen entydig definition af, hvad fuld digital forvaltning indebærer. I takt med at teknologien udvikles, fremkommer nye muligheder, som blot få år forinden ikke kunne være forudset.

Med ovenstående forbehold in mente kan følgende hovedpunkter siges at kendetegne fuld digital forvaltning:

  • Kommunikationen mellem borgere og forvaltning foregår digitalt.
  • Forvaltningsprocessen foregår ligeledes i stor udstrækning digitalt. Sagsstyring, påtegninger og arkivering foregår til eksempel elektronisk.
  • Borgerne anvender i en række tilfælde selvbetjeningsløsninger i kontakten med forvaltningen. I selvbetjeningsløsningerne vil en række felter være forudfyldt, når borgeren har identificeret sig via f.eks. et CPR-nummer. Det kræver, at der er adgang til data fra mange kilder.
  • Oplysninger til brug for sagsbehandlingen udveksles elektronisk mellem myndigheder for at undgå, at data oplyses/indsamles mere end én gang.
  • Opgaver løses i vid udstrækning på tværs af eksisterende organisa-toriske skel og i samarbejde mellem myndigheder. Digitale tekno-logier muliggør således en høj grad af fleksibilitet i organiseringen af forvaltningen.

Som hovedregel vil digital forvaltning ikke give anledning til, at den eksi-sterende forvaltningslovgivning skal ændres. Det må til eksempel antages, at de krav til partshøring, begrundelse af forvaltningsafgørelser og klage-vejledning, som følger af forvaltningsloven, vil være mulige at efterleve i en digital forvaltning. Det samme gælder de krav til god forvaltningsskik, som ikke er lovbestemte, men som bl.a. følger af ombudsmandens praksis.

Der kan dog også være tilfælde, hvor mulighederne i digital forvaltning begrænses af lovgivningen, og hvor den fulde digitale forvaltning dermed ikke lader sig realisere. Til eksempel kan bestemmelser i persondataloven eller i særlovgivningen betyde, at det ikke umiddelbart er muligt at udveksle data mellem myndigheder. Det er  imidlertid væsentligt at sondre mellem de tilfælde, hvor lovgivningen indeholder uhensigtsmæssige barrierer for digital forvaltning, f.eks. formkrav der hindrer anvendelse af digital signatur, og de tilfælde hvor der er væsentlige hensyn, som skal tilgodeses, f.eks. beskyttelse af personfølsomme oplysninger.

I det nedenstående er udvalgt nogle problemstillinger, som kan kræve juridisk afklaring eller intensiveret vejledning i de kommende år. Afslutningsvist diskuteres det, hvilke muligheder bestyrelsen har for at håndtere de juridiske problemstillinger i forbindelse med digital forvaltning.

 

Persondatalovens betydning i digital forvaltning
Når persondata behandles digitalt, medfører det, at reglerne i Persondataloven skal iagttages. Det må derfor forventes, at Persondatalovens bestemmelser vil få en stigende betydning i de kommende år.

Persondataloven opstiller en række grundlæggende krav til, hvornår der må finde behandling af personoplysninger sted:

  • Behandlingen skal ske i overensstemmelse med god databehandlingsskik. Det indebærer, at den dataansvarlige nøje skal overholde reglerne i loven såvel i ånd som bogstav og ikke må forsøge at omgå reglerne.
  • Når der indsamles personoplysninger, skal det stå klart, hvilket formål oplysningerne skal bruges til, og formålet skal være sagligt.
  • En senere behandling må, jf. nedenfor om videregivelse af oplysninger mellem myndigheder, ikke være uforenelig med det formål, som oplysningerne oprindeligt blev indsamlet til.
  • Indsamlede oplysninger må ikke omfatte mere end nødvendigt, formålet taget i betragtning.
  • Den dataansvarlige skal sikre sig, at der ikke behandles urigtige eller vildledende oplysninger.
  • Indsamlede oplysninger skal slettes eller anonymiseres, når det ikke længere er nødvendigt for den dataansvarlige, at data forefindes i personhenførbar form.

Det forhold, at persondataloven finder anvendelse, betyder ikke, at samtlige de rettigheder, som borgerne har i medfør af forvaltnings- og offentlighedsloven, bortfalder. Offentlighedslovens regler om aktindsigt gælder f.eks. fortsat. Grænsefladerne mellem forvaltnings- og offentlighedsloven på den ene side og persondataloven på den anden kan imidlertid være svært gennemskuelige for både borgerne og de myndigheder, som skal administrere lovgivningen.

 

Sikkerhed ved datakommunikation
Ved anvendelse af digital kommunikation mellem borger og forvaltning og internt i forvaltningen er det af stor betydning, at der er en tilstrækkelig sikkerhed. Tilliden til forvaltningen vil afgørende blive svækket, hvis uvedkommende f.eks. kommer i besiddelse af fortrolige oplysninger om enkeltpersoner.

Det er i høj grad en teknisk udfordring at tilvejebringe forudsætningerne for den nødvendige sikkerhed i datakommunikationen, f.eks. ved at opbygge systemer og udvikle løsninger, som er sikret mod angreb fra hacke-re, og mod at indholdet i data kan ændres af uvedkommende.

Ud fra en juridisk betragtning er der især to problemstillinger i relation til sikkerhed, som skal fremhæves.

Der er for det første i lovgivningen fastsat bestemmelser, som skal sikre, at visse typer af data behandles med en særlig høj grad af sikkerhed. Det gælder især persondata, hvor de generelle regler findes i Persondataloven.

Det er en forudsætning i Persondataloven, at databehandlingen sker på et forsvarligt sikkerhedsniveau. Den dataansvarlige skal således træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Dette er udmøntet i bekendtgørelse nr. 528 fra 15. juni 2000 om sikker-hedsforanstaltninger til beskyttelse af personoplysninger, som behandles af den offentlige forvaltning (sikkerhedsbekendtgørelsen). Det fremgår heraf, at der kun må overføres personoplysninger over eksterne kommunikationsforbindelser, hvis der træffes særlige foranstaltninger for at sikre, at uvedkommende ikke kan få adgang til oplysningerne.

I forbindelse med indsendelse af oplysninger via en selvbetjeningsløsning vil kravene til sikkerhed kunne opfyldes ved, at der som minimum anvendes adgangskontrol med en pinkodeløsning kombineret med, at oplysnin-gerne krypteres forsvarligt. Ved indsendelse af særligt følsomme oplysninger omfattet af Persondatalovens §§7-8 vil det afhænge af en konkret vurdering hos Datatilsynet, om det er nødvendigt at anvende mere avancerede løsninger, som f.eks. softwarebaseret digital signatur. Det drejer sig blandt andet om oplysninger vedrørende helbredsmæssige forhold.

Den anden juridiske problemstilling, som skal fremhæves i relation til sikkerhed, vedrører spørgsmålet om identifikation. I en række tilfælde er det af retlig betydning, at det er muligt at identificere afsenderen entydigt. Selv ved anvendelse af digital signatur kan der opstå retlige problemer, idet en digital signatur i modsætning til en almindelig underskrift kan anvendes af andre end den person, den er udstedt til. Der kan derfor opstå spørgsmål om, i hvilket omfang indehaveren af en signatur bliver bundet, hvis signaturen anvendes af en anden. Dette spørgsmål er endnu uafklaret, men må forventes at blive påtrængende, efterhånden som digital sig-natur udbredes.

 

Videregivelse af oplysninger mellem myndigheder
Dataudveksling er et vigtigt element i digital forvaltning. Det er dog ikke i alle tilfælde, at lovgivningen tillader udveksling af data. En hovedsondring går mellem persondata og andre data.

Ved andre data vil der normalt ikke være lovgivningsmæssige hindringer for en udveksling af data. En myndighed, som har behov for andre myndigheders data vil kunne støtte sig til forvaltningslovens § 31, som fastslår, at i det omfang en forvaltningsmyndighed er berettiget til at videregive en oplysning, skal myndigheden på begæring af en anden forvaltningsmyndighed videregive oplysningen, hvis den er af betydning for myndighedens virksomhed eller for en afgørelse, som myndigheden skal træffe. Bestemmelsen finder dog ikke anvendelse, hvis videregivelsen påfører myndigheden et merarbejde, der væsentligt overstiger den interesse, den anden myndighed har i at få oplysningerne.

Ved persondata reguleres udveksling af oplysninger både af persondataloven og forvaltningslovens videregivelsesregler.

Det følger af § 5 i Persondataloven, at en senere behandling ikke må være uforenelig med det formål, som oplysningerne oprindeligt blev indsamlet til. Det skal i den forbindelse fremhæves, at Persondatalovens bestemmelser på dette punkt ikke udelukker, at oplysninger anvendes til et andet formål end det formål, hvortil oplysningerne er indsamlet. Der er blot den forudsætning, at den senere behandling af oplysningerne ikke må være uforenelig med de oprindelige formål.

Persondataloven er endnu så ny, at der ikke kan udledes klare retningslinier for, hvornår et formål er uforeneligt, ud fra Datatilsynets afgørelser i konkrete sager.

Forvaltningslovens §§ 28-29 vedrører ligeledes videregivelse af personoplysninger.

§ 28 fastslår, at oplysninger om enkeltpersoners rent private forhold, herunder oplysninger om race, religion og hudfarve, om politiske, foreningsmæssige, seksuelle og strafbare forhold samt oplysninger om helbredsforhold, væsentlige sociale problemer og misbrug af nydelsesmidler og lignende som hovedregel ikke må videregives til en anden forvaltningsmyndighed.

§ 28 fastslår endvidere, at andre fortrolige oplysninger som udgangspunkt kun må videregives til en anden forvaltningsmyndighed, når det må antages, at oplysningen vil være af væsentlig betydning for myndighedens virksomhed eller for en afgørelse, myndigheden skal træffe.

§ 29 bestemmer som hovedregel, at oplysninger om ansøgerens rent pri-vate forhold ikke må indhentes fra andre dele af forvaltningen eller fra en anden myndighed i ansøgningssager.

Forbudet mod videregivelse i §§ 28 og 29 gælder dog ikke, hvis den oplysningen angår, har givet samtykke, eller hvis det følger af lov eller bestemmelser fastsat i henhold til lov, at oplysningen skal videregives. Herudover vil det i andre nærmere angivne tilfælde ligeledes være muligt at videregive oplysningerne.

I sager, som ikke er ansøgningssager, vil Persondatalovens regler om videregivelse af personoplysninger formentlig fortrænge reglerne om videregivelse i forvaltningsloven. Hvis der er tale om videregivelse af oplysninger, der er undergivet en ren edb-mæssig sagsbehandling, vil spørgsmålet om berettigelsen til videregivelse af oplysninger derfor skulle bedømmes efter persondataloven. Hvis oplysningerne i et edb-system printes ud på papir med henblik på videregivelse, vil spørgsmålet om adgangen til videregivelse ligeledes skulle bedømmes efter Persondataloven.

Persondataloven regulerer derimod ikke særskilt spørgsmålet om indhentning af oplysninger i ansøgningssager. I ansøgningssager gælder forvaltningslovens § 29 derfor fortsat.

Du kan få yderligere information om Persondataloven hos Datatilsynet

Hos Justitsministeriet kan du få yderligere vejledning omkring videregivelse af oplysninger mellem myndigheder.

 

Sagsbegrebet
Det er et krav, at myndigheder for at overholde Forvaltningsloven, Offentlighedsloven og grundlæggende dokumentationskrav i forvaltningssager opbevarer en kopi af alle dokumenter, der vedrører en sag.

Forvaltningslovgivningen indeholder ingen definition af sagsbegrebet, og dermed ingen angivelse af, hvilke dokumenter, der hører til en sag. Som et minimum antages en sag dog at omfatte alle de dokumenter, som har be-tydning for det pågældende hændelsesforløb, eksempelvis de dokumenter som ligger til grund for at sagen oprettes samt dokumenter, der kan betegnes som sagsakter, herunder afgørelser og dokumenter af betydning for sagens oplysning.

Elektronisk sags- og dokumenthåndtering (ESDH) giver helt nye muligheder for overblik, kontrol og adgang til dokumenter. En myndighed kan vælge et system, som afspejler det eksisterende analoge registrerings- og opbevaringssystem, eller revurdere registreringspraksis og fastsætte nye krav til, hvordan registreringen og opbevaringen skal foregå.

Det følger dog af forvaltningslovgivningen, at myndigheden med sikker-hed med meget kort varsel fra et edb-anlæg skal kunne frembringe en fuldstændig nøjagtig udskrift (svarende til en kopi) af dokumenter, der vedrører en sag. Myndighederne er derfor forpligtiget til at skabe en vis sammenhæng mellem dokumenterne.

Senest opdateret 15-01-08

Print siden
Send som mail

Kontakt

Har du spørgsmål eller input i forbindelse med Digital forvaltning og forvaltningslovgivningen kan du evt. kontakte:

modernisering.dk

kontakt@(if you can see this please update your browser)modernisering.dk
Flere muligheder
Modernisering.dk - videnscenter for udvikling af den offentlige sektor
Yderligere information om findes på www.modernisering.dk - en portal med erfaringsdeling og redskaber for offentlige ledere, projektledere og andre, der beskæftiger sig med modernisering, regelforenkling, digitalisering og ledelsesudvikling.