Delrapportering av uppdrag att tillhandhålla infrastruktur för säker digital kommunikation i offentlig sektor

Digg delredovisar regeringsuppdrag att utveckla och tillhandahålla infrastruktur för säker digital kommunikation inom offentlig sektor (I2021/03317) genom att presentera relevanta delar av pågående arbete och analyser i denna rapport.

Syftet med säker digital kommunikation (SDK) är att möjliggöra säkert och effektivt digitalt utbyte av bland annat känsliga personuppgifter och sekretessbelagd information inom offentlig sektor inklusive privata utförare av helt eller delvis offentligt finansierad verksamhet. Målet är att ersätta informationsutbyte som idag sker via fax, brev, telefon och andra analoga eller digitala kanaler som uppfattas som ineffektiva samt kan innebära säkerhetsrisker. Verksamhetsområden som identifierats där det finns särskilt stort behov för en säker digital lösning är bland andra socialtjänst och skola, kommunal vård och omsorg, samt hälsa och sjukvård.
Med utgångspunkt i SDK:s användningsområde och målsättningen om en bred anslutning inom hela den offentliga sektorn, inkluderat privata aktörer, har Digg genomfört analyser av juridiska problemställningar samt risk och säkerhetsanalyser för att säkerställa att infrastrukturen har potential att uppfylla sitt syfte. Analyser har genomförts avseende de tekniska komponenterna, ramverk och regelverk, vad som krävs för att hantera förvaltning, anslutningsprocess och stöd till deltagare. Det har även genomförts analyser för att utreda frågor kopplade till upphandling, konkurrens, sekretess och dataskydd samt avtal. Digg har också utrett och lämnar förslag på hur drift och förvaltning av infrastrukturen långsiktigt ska finansieras.

Analyserna ligger till grund för det fortsatta arbetet hos Digg med att ta över ansvaret för SDK. Digg har fattat ett inriktningsbeslut att tillhandahålla SDK i egen regi och har etablerat ett uppdragsteam för arbetet. Kunskapsöverföring från Inera är centralt i det vidare arbetet. Digg har också etablerat samarbete med SKR, Inera och utpekade myndigheter för att främja anslutning. Digg har utifrån hittills insamlade erfarenheter identifierat att kostnaderna för genomförandet överstiger medel som Digg initialt fick för genomförandet av uppdraget, vilket också hanteras av Regeringen för 2022. Digg behöver dock förstärkning fortsatt under 2023 och framåt för att de främjande och vidareutvecklande åtgärderna som föreslås i rapporten ska kunna genomföras. Även de medel som Digg äskat för åtgärder inom civilt försvar via MSB bedöms behövas för säkerhetsåtgärder.

Rättslig bedömning
Sammanfattningsvis föreligger inga rättsliga hinder utifrån det tilltänka upplägget i SDK. Digg har identifierat vissa juridiska risker som kan uppstå i händelse av att en deltagare bryter mot regelverket i SDK. Digg ser behov av riskreducerande åtgärder samt vidare arbete för att motverka identifierade juridiska risker och otydligheter. Dessa behöver genomföras hos Digg, Inera, deltagare och accesspunktsoperatörer.
Digg anser att myndighetens instruktion behöver revideras med en reglering där det framgår att Digg ska ansvara för infrastrukturen. I det fortsatta arbetet med rättsliga förutsättningar behöver det genomföras analyser av möjligheten till kontroller av deltagare och leverantörer gällande regelefterlevnad, om behov föreligger att författningsreglera hela eller delar av anslutningen till SDK, samt av privata aktörers avtalsförhållanden beträffande deras anslutning till SDK. Digg planerar tillsammans med Inera fortsatt behovsanalys av privata aktörers anslutning till SDK med tillhörande utredning gällande konkurrensaspekterna för detta.

Digg anser att den hantering som sker hos externa leverantörer är att betrakta som teknisk bearbetning och lagring. Det innebär att det föreligger en straffsanktionerad tystnadsplikt hos samtliga leverantörer i SDK:s informationskedja. Enligt Diggs uppfattning går det ifrågasätta om uppgifterna ska anses som röjda. Eftersom bedömningar beträffande när uppgifter anses röjda ankommer varje enskild deltagare föreslår Digg en sekretessbrytande bestämmelse. Detta i syfte att frångå den potentiella röjandeproblematiken som kan uppstå för deltagarna i samband med utkontraktering inför och i anslutning till SDK.

Risker och åtgärder
SDK bygger på rätt säkerhet och systemisk tillit vilket ställer krav på bedömningar och systematiskt informationssäkerhetsarbete hos alla aktörer som ingår i infrastrukturen. I analysen har bland annat följande risker och åtgärder uppmärksammats.

Vid anslutning till SDK är det viktigt att deltagarna genomför ett grundligt rättsligt utredningsarbete för att inte risker kopplade till sekretessbestämmelser och bestämmelserna i dataskyddsförordningen ska uppkomma. Analyserna har visat att det finns risk för att främst kommuners tillgång till juridisk kompetens inom IT-rättsområdet är begränsad. Digg kan bidra med vägledning för att underlätta för deltagarna, det förutsätter dock att finansiering för stöd till anslutning ges.

Digg har identifierat en möjlig risk utifrån sekretess och dataskydd om en deltagare felaktigt anger funktionsadresser i adressboken vilket skulle kunna leda till att informationen når en otillåtet bred krets av mottagare. Åtgärder för detta finns idag och behöver vidareutvecklas för att anpassas till att omfatta alla anslutna deltagare.

Att anslutningen till SDK sker på kommun, region och myndighetsnivå, innebär att alla verksamheter inom en kommun eller region är anslutna till SDK som en deltagare. En korrekt behörighetshantering hos den funktion som har åtkomst till krypteringsnycklarna innebär sannolikt inte några juridiska problem, men en bristfällig informationssäkerhet där krypteringsnycklarna hanteras felaktigt kan medföra att sekretessuppgifter riskeras röjas. En åtgärd för att minimera risken att krypteringsnyckeln hanteras felaktigt är om anslutning sker på verksamhetsnivå i stället för organisationsnivå, vilket frångår tillämpningen om att varje deltagare fritt förfogar över att upprätta egna interna mottagare i SDK. Detta är dock en omfattande förändring som behöver föregås av en helhetsanalys då åtgärden bland annat påverkar arkitekturen, ansvarsförhållanden och kostnaderna i SDK.

Digg har identifierat ett behov av att förtydliga krav på accesspunktoperatörer i form av regler och rutiner i samband med anslutning, samt behov av tydligare krav på certifikatshantering inom meddelandetjänsten. Arbete med att åtgärda dessa risker pågår.
Det finns identifierade risker som är kopplade till Diggs nuvarande organisation för utveckling och tjänsteförvaltning, vilket belyser viktiga områden som Digg behöver förstärka och förbättra inför övertagandet av ansvar för hela SDK-infrastrukturen. Dessa risker är förbättringsområden på Digg och kommer åtgärdas inom ramen för det pågående arbetet med övertagandet av ansvaret samt i förvaltningen av plattformen.

Digg planerar genomföra en säkerhetsskyddsanalys för att utreda om plattformen träffas av säkerhetsskyddslagstiftning (SFS 2018:585). Detta kommer genomföras i ljuset av det säkerhetspolitiska läget och ny beredskapslagstiftning.

Finansieringsmodell
Digg föreslår att drift och förvaltning av SDK ska finansieras genom ett förstärkt förvaltningsanslag till Digg. Dagens finansiering sker via ett årligt regeringsbeslut från anslagspost 2:7 ap.3, vilket Digg föreslår istället ska ligga permanent på Diggs förvaltningsanslag (2:6 ap.1).
Digg bedömer att anslagsfinansiering skapar bättre förutsättningar för möjligheter för att förvaltningsgemensamma tjänster ska användas på ett sådant sätt som avses, medan en avgiftsfinansiering i många fall motverkar anslutning och användning.

Avgiftsfinansiering skulle troligen leda till en bedömning att anslutningen till SDK är upphandlingspliktig för kommuner och regioner. En upphandlingsplikt