2 Centrala rättsprinciper och regelverk
Nationella och internationella regelverk samt rättsprinciper gäller precis som vanligt när vi utvecklar digitala tjänster på Försäkringskassan. Det betyder bland annat att våra digitala lösningar måste uppfylla de krav som ställs i olika internationella konventioner och fördrag, såsom till exempel Europakonventionen, fördraget om Europeiska unionen och fördraget om Europeiska unionens funktionssätt, EU:s rättighetsstadga och barnkonventionen.
På samma sätt måste vi, och de system vi utvecklar, leva upp till kraven i de svenska grundlagarna och alla andra lagar, förordningar, myndighetsföreskrifter och interna styrdokument.
Detta kapitel ger en samlad överblick över de allmänna rättsprinciper och de regelverk som är särskilt viktiga för digitaliseringsarbetet på Försäkringskassan. I kapitlet beskrivs också översiktligt på vilket sätt de är det. Innehållet är inte uttömmande. Det kan alltså finnas fler principer eller regelverk som är relevanta för en specifik utvecklingsinsats.
2.1 Centrala rättsprinciper
Rättsprinciperna gäller alltid, vid all verksamhet, på Försäkringskassan. De flesta av de rättsprinciper som är mest centrala för vårt digitaliseringsarbete finns i regeringsformen, som är en grundlag. Det betyder att de har företräde framför andra regler som finns i lagar och förordningar.
Flera av principerna som beskrivs i detta avsnitt ingår även i vad som kallas grunderna för god förvaltning. De kommer till uttryck både i grundlagstext och i 5–8 §§ förvaltningslagen (FL). De flesta ingår samtidigt i den statliga värdegrunden.
Vi måste beakta och efterleva rättsprinciperna redan när vi utvecklar en digital tjänst, men också när vi använder och följer upp och vidareutvecklar tjänsten. Är det ett system för automation måste vi också säkerställa att själva systemet efterlever principerna.
Läs mer om principerna och grunderna för god förvaltning i Försäkringskassans vägledning (2004:7) Förvaltningsrätt i praktiken. Läs mer om den statliga värdegrunden på Statskontorets webbplats.
2.1.1 Legalitetsprincipen
Legalitetsprincipen är viktig för all verksamhet som bedrivs på Försäkringskassan. Principen kommer till uttryck i både grundlag och andra författningar (se till exempel 1 kap. 1 § tredje stycket RF, 1 § andra stycket och 5 § första stycket FL och 3 § myndighetsförordningen (2007:515). Principen innebär att myndigheternas verksamhet måste ha stöd i rättsordningen.
Med begreppet rättsordningen avses både EU-rätt och svensk rätt på olika nivåer. Det kan handla om reglering i lag eller förordning, till exempel myndighetens instruktion. Det kan också handla om ett förvaltningsbeslut från regeringen, exempelvis i myndighetens regleringsbrev eller genom ett beslut om ett särskilt uppdrag. Principen gäller inte bara den del av verksamheten som handlar om att fatta beslut som påverkar enskilda, utan all verksamhet som en myndighet bedriver (prop. 2016/17:180, s. 58). Förutom att en myndighet måste ha författningsstöd för sina beslut och åtgärder, måste den också kunna visa vilken regel den har använt i det konkreta fallet (SOU 2010:29, s. 146).
Legalitetsprincipen innebär att Försäkringskassan är styrd av och bunden till vad som gäller generellt och vad som framgår av Försäkringskassans instruktion, regleringsbrev och olika slags regeringsuppdrag. Utvecklingen av digitala tjänster måste grundas på vårt uppdrag och ha stöd i rättsordningen. Detsamma gäller sådan utvecklingsaktivitet som sker genom samverkan med andra myndigheter.
Legalitetsprincipen innebär bland annat att vi bara får ställa krav som det finns stöd för i lagstiftningen. Därför kan vi exempelvis inte välja att bara ta emot ansökningar i digital form om regelverket tillåter pappersansökningar (jfr. bland annat JO 2011/12 s. 413).
Försäkringskassan har i dagsläget få digitala tjänster som är obligatoriska för enskilda. Den enskilde kan alltså för det mesta välja om hen vill ansöka eller anmäla på andra sätt än via en digital tjänst. Ett undantag från detta är inom tandvården och det undantaget har stöd i regelverket (jfr. 3 kap. 1 § lag [2008:145] om statligt tandvårdsstöd).
De system som tas fram måste också utvecklas och programmeras på ett sådant sätt att de inte vidtar några åtgärder utanför de givna rättsliga ramarna. Vid ett ändrat rättsläge måste också systemet gå att omprogrammera snabbt. Systemen måste vara föremål för ständig övervakning och uppföljning för att hela tiden säkerställa efterlevnaden av legalitetsprincipen. Du kan läsa mer om legalitetsprincipen i relation till utveckling och användning av automatisering och AI i avsnitt 5.2.1.
2.1.2 Principerna om demokrati och fri åsiktsbildning
Principerna om demokrati och fri åsiktsbildning följer av RF (1 kap. 1 § 1 och 2 st). Grunden för den demokratiska samhällsordningen är att människor har rätt till självstyre och att delta i beslutsprocesser som rör maktutövningen. Frågor kring demokrati aktualiseras särskilt när det gäller användning av avancerad teknik, såsom AI, för automatisering av handläggning och beslutsfattande inom den offentliga förvaltningen. Detta kan du läsa mer om i avsnitt 5.2.3.
När det gäller principen om fri åsiktsbildning spelar offentlighetsprincipen en viktig roll. Den bidrar till att garantera att medborgarna har insyn i vad myndigheterna gör och därigenom får möjlighet att kontrollera deras verksamhet. Myndigheterna ska vara öppna och transparenta och det ska gå att följa vägen till beslut. Frågan om transparens är central vid all automatisering. Det måste gå att följa vad systemet gör och varför. Det är nödvändigt att redan på förhand bedöma om de handlingar som ett system genererar är allmänna eller inte. Om handlingarna är allmänna behöver de registreras, bevaras, hanteras och gallras på det sätt som lagar, förordningar och föreskrifter kräver. Du kan läsa mer om hanteringen av allmänna handlingar och uppgifter i relation till automatisering och AI-utveckling i avsnitt 5.2.5.
2.1.3 Principerna om likabehandling och objektivitet
Principerna om likhet och objektivitet kommer till uttryck i bland annat RF (1 kap. 9 § RF), där det framgår att förvaltningsmyndigheter är skyldiga att beakta allas likhet inför lagen (likhets- eller likabehandlingsprincipen) och agera sakligt och opartiskt (objektivitetsprincipen).
Likhetsprincipen innebär ett krav på likabehandling inför lagen. Försäkringskassan får inte göra någon skillnad mellan olika individer utöver vad som kan följa av gällande rättsregler.
Objektivitetsprincipen innebär att vi ska vara sakliga och opartiska. Vi får inte låta oss vägledas av andra intressen än de som ska tillgodoses. Det är också förbjudet att fatta beslut på andra grunder än vad som framgår av reglerna i det aktuella fallet.
Principerna gäller inte bara vid handläggning av ärenden och beslutsfattande, utan också vid faktiskt handlande och rena serviceåtgärder. I praktiken innebär detta att inte bara Försäkringskassans medarbetare måste beakta allas likhet inför lagen och agera sakligt och opartiskt. Även de system vi utvecklar måste leva upp till principernas krav.
Det betyder att vi inte utan sakliga skäl kan behandla kontakter som sker digitalt förmånligare än de som sker analogt (till exempel på papper). Ärenden som skickas in digitalt får inte hanteras med förtur eller ges annan förmånlig behandling enbart för att stimulera fler att använda en digital kanal (Jfr JO:s dnr 5497-2013). Att handläggning av webbansökningar kan utföras och avslutas snabbare än motsvarande ansökningar på papper bör däremot inte strida mot 1 kap. 9 § RF (eSams vägledning Rättsliga förutsättningar för digitalt i första hand, s. 27). Men om handläggningen av manuella ansökningar tar oproportionerligt lång tid, eller tar längre tid av skäl som inte kan motiveras sakligt, så bör det inte kunna anses vara förenligt med likabehandlingsprincipen (JO:s dnr 5796-2019 m.fl.).
Likabehandling är särskilt viktigt när vi tränar och använder avancerad teknik för maskininlärning såsom AI, eftersom vi måste säkerställa att systemet inte tränas att ta ovidkommande hänsyn. Du kan läsa mer om detta i avsnitt 5.2.4.
2.1.4 Principen om respekt och icke-diskriminering
Principen om respekt innebär att den offentliga makten ska utövas med respekt för alla människors lika värde och för den enskilda människans frihet och värdighet (1 kap. 2 § första stycket RF). Vi ska sträva efter att sköta vårt arbete med respekt för den enskilda människan och uppfylla kraven på icke-diskriminering och hänsyn till den personliga integriteten. Samma krav ställs även på våra digitala lösningar.
Principen om respekt syftar bland annat till att det allmänna ska motverka diskriminering av människor på grund av kön, hudfärg, nationellt eller etniskt ursprung, språklig eller religiös tillhörighet, funktionshinder, sexuell läggning, ålder eller andra omständigheter som gäller den enskilde som person. Regler om hur det ska gå till att nå principens mål finns till exempel i diskrimineringslagen (2008:567).
När vi utvecklar digitala tjänster på Försäkringskassan innebär principen bland annat att vi måste säkerställa att automatiserade förfaranden är fria från diskriminering. Det gör vi redan när vi utvecklar ett system, men också när det är satt i drift och vi granskar och övervakar det och när vi analyserar systemets produktionsresultat. Läs mer om icke-diskriminering i relation till automatisering och AI i avsnitt 5.2.4.
En form av diskriminering är bristande tillgänglighet. Det är när en person med en funktionsnedsättning missgynnas genom att en verksamhet inte vidtar skäliga tillgänglighetsåtgärder för att hen ska komma i en jämförbar situation med personer utan denna funktionsnedsättning. Det kan exempelvis handla om bristande tillgänglighet till våra digitala tjänster. Krav på tillgänglighet finns också i FL och i DOS-lagen. Läs mer i avsnitt 2.1.5, 2.2.7. och 2.2.8
I principen om respekt ligger även skydd för den personliga integriteten. Det finns bestämmelser till skydd för den i bland annat RF, Europakonventionen och EU:s rättighetsstadga. Det är centralt för skyddet av den personliga integriteten att myndigheter och andra organisationer hanterar och behandlar personuppgifter på ett korrekt sätt. Skyddet för personuppgifter regleras bland annat i dataskyddsförordningen och 114 kap. socialförsäkringsbalken (SFB). Dessa regelverk är centrala för all verksamhetsutveckling på Försäkringskassan. Läs mer i avsnitt 2.2.3.
Läs mer om förbudet mot diskriminering i vår verksamhet i Försäkringskassans vägledning (2004:7) Förvaltningsrätt i praktiken. Där står det också om diskrimineringslagens krav på tillgänglighet för personer med funktionsnedsättning.
I Försäkringskassans riktlinje (2019:02) Att motverka, förebygga och åtgärda diskriminering finns bland annat skrivningar om vem som ansvarar för att våra it-system motsvarar de krav som ställs på funktionalitet enligt diskrimineringslagen, och för att Försäkringskassans inloggade tjänster är tillgänglighetsanpassade.
Det finns mer information på Fiasidan Digital tillgänglighet och inkluderande design.
2.1.5 Principerna om effektivitet och service
Effektivitet handlar bland annat om att hushålla med statens medel, men även om att handlägga ärenden snabbt, enkelt och med tillräcklig kvalitet. Serviceskyldigheten handlar bland annat om att kontakterna med enskilda ska vara enkla och smidiga och att den enskilde ska få sådan hjälp att hen kan ta till vara sina intressen.
Kraven på effektivitet och service finns inte i grundlag utan i vanliga lagar och förordningar (bland annat 6 § FL och 3 § myndighetsförordningen). Det innebär att principerna i RF som du kan läsa om tidigare i detta avsnitt har företräde framför principerna om effektivitet och service. Detta betyder till exempel att även om det står klart att en utvecklingsinsats kan innebära betydande effektivitetsvinster eller förenkla kontakterna med Försäkringskassan, så får den inte realiseras om den inte samtidigt kan leva upp till kraven på till exempel legalitet och objektivitet.
Nära kopplat till serviceskyldigheten är kravet på tillgänglighet, som finns 7 § FL. Kravet innebär att myndigheter ska vara tillgängliga för allmänheten i så stor utsträckning som möjligt. Kravet är inte begränsat till vissa former av kontakter som till exempel besök, telefonsamtal, mejl eller en digital tjänst på vår webbplats (prop. 2016/17:180 s. 292), men sträcker sig ändå inte hur långt som helst. Försäkringskassan avgör till exempel själv i vilken utsträckning det är lämpligt och ändamålsenligt att vara tillgänglig via sociala medier. Frågan om vilket digitalt verktyg som är lämpligt att använda beror också på vilken typ av information det handlar om. Om det exempelvis är sekretessbelagda uppgifter som ska kommuniceras är det nödvändigt att använda ett verktyg där obehöriga inte kan komma åt uppgifterna.
Tillgänglighetskravet innebär också att Försäkringskassan inte kan kräva att allmänheten tar kontakt på ett visst sätt eller med en viss teknik, exempelvis genom ett webbformulär. Vi kan bara ställa ett sådant krav om vi har uttryckligt stöd för det, till exempel för att det framgår av en författning eller genom ett bemyndigande att meddela föreskrifter om att kontakten ska tas i en viss digital form. (Jfr von Essen 2021, s. 75).
Läs mer om FL:s krav på myndigheternas tillgänglighet i Försäkringskassans vägledning (2004:7) Förvaltningsrätt i praktiken.
2.1.6 Proportionalitetsprincipen
Proportionalitetsprincipen syftar till att hitta en rimlig balans mellan mål och medel. Den innebär förenklat att en ingripande åtgärd ska vara ägnad att tillgodose det åsyftade ändamålet, vara nödvändig för att uppnå detta ändamål och medföra fördelar som står i rimlig proportion till den skada som åtgärden förorsakar (prop. 2016/17:180 s. 61).
Proportionalitetsprincipen är central inom EU-rätten och har en framträdande roll i dataskyddsrättsliga sammanhang. Principen finns även i 5 § tredje stycket FL. Den gäller vid såväl ärendehandläggning som annan förvaltningsverksamhet och är därmed också aktuell vid olika slags digitaliseringsinitiativ på Försäkringskassan.
Att iaktta proportionalitet kräver ofta en bedömning i ett sammanhang som inte alltid kan göras redan av lagstiftaren, utan som behöver göras i det enskilda fallet. Kravet utmanar våra möjligheter att automatisera beslutsprocesser eftersom automatisering förutsätter att regelverk omsätts till standardiserade steg. (Jfr Enqvist, Naarttijärvi, s. 232ff.)
2.2 Centrala regelverk
Det finns några allmänt gällande regelverk som har stor betydelse för digitaliseringsarbetet på Försäkringskassan, till exempel offentlighets- och sekretesslagstiftningen, det dataskyddsrättsliga regelverket och förvaltningsrätten.
Inom EU finns det några rättsakter som reglerar vissa digitala företeelser specifikt, som vi också behöver ta hänsyn till i utvecklingen av olika digitala lösningar. Exempel på detta är SDG-förordningen och eIDAS-förordningen.
När vi ska göra rättsliga bedömningar inom ramen för utvecklingsarbetet kan flera rättsområden och författningar vara aktuella samtidigt. De olika regelverken kompletterar varandra. De kan ibland vara avsedda att tillämpas tillsammans på olika nivåer, men ibland ska de tillämpas parallellt. Dessutom har Försäkringskassan interna styrdokument som exempelvis beskriver vad som gäller för vårt säkerhetsarbete och hur vi får hantera verksamhetsinformation.
I det här avsnittet finns en översiktlig beskrivning av de regelverk som är viktiga för utvecklingsarbetet på Försäkringskassan.
2.2.1 SDG-förordningen
SDG-förordningen är en EU-förordning som syftar till att skapa en gemensam digital ingång inom EU/EES. SDG står för single digital gateway. I den digitala ingången ska privatpersoner och företag få tillgång till webbaserad information och länkar till förfaranden och tjänster som de behöver för att kunna utnyttja sin rätt till fri rörlighet. Som komplement till SDG-förordningen finns lagen (2022:126) med kompletterande bestämmelser till EU:s förordning om en gemensam digital ingång.
Med förfaranden avses det som i dagligt tal brukar benämnas digitala tjänster. Enligt SDG-förordningen är ett förfarande en sekvens av handlingar som användare måste utföra för att uppfylla kraven eller för att erhålla ett beslut från en behörig myndighet för att kunna utöva sina rättigheter på de områden av den inre marknaden som anges i bilaga I (artikel 2.2 a. och artikel 3.3).
SDG-förordningens krav på tillgång till information (artikel 4) innebär för Försäkringskassans del krav på information om rättigheter, skyldigheter och regler som gäller socialförsäkringen och vissa närliggande områden och om förfaranden inom socialförsäkringsområdet (både online och offline). Förordningen har ett tydligt användarperspektiv och ställer omfattande kvalitetskrav på den information som lämnas, både vad gäller innehåll och form (artikel 9 och 10).
SDG-förordningens krav på tillgång till förfaranden (artikel 6) innebär bland annat att Försäkringskassan ska tillhandahålla länkar till förfaranden som erbjuds online och som omfattas av förordningens tillämpningsområde. Dessutom måste vi erbjuda vissa förfaranden online och möjlighet att lämna vissa uppgifter online. SDG-förordningen innebär också att vi behöver se till att användare i gränsöverskridande situationer får tillgång till våra onlineförfaranden på samma eller likvärdiga villkor som inhemska användare (artikel 13).
För Försäkringskassans del innebär också SDG-förordningen att tillhandahålla information om, och länkar till, de hjälp- och problemlösningstjänster som omfattas av förordningens tillämpningsområde och som Försäkringskassan ansvarar för (artikel 4 och 7).
Genom SDG-förordningen (artikel 14) inrättas också ett tekniskt system som ska ge myndigheterna i olika medlemsstater möjlighet att utbyta ”bevis” (intyg med mera) digitalt med varandra. Tanken är att användaren inte ska behöva tillhandahålla en myndighet sådana dokument eller uppgifter som en annan myndighet redan har tillgång till (engångsprincipen).
Myndigheten för digital förvaltning (Digg) har utsetts till nationell samordnare för SDG i Sverige. Läs mer om SDG-förordningen på Digg:s hemsida.
2.2.2 eIDAS-förordningen
eIDAS-förordningen reglerar elektronisk identifiering och betrodda tjänster för elektroniska transaktioner på EU:s inre marknad. Syftet med förordningen är bland annat att säkerställa en väl fungerande inre marknad och att uppnå en lämplig säkerhetsnivå för medel för elektronisk identifiering och betrodda tjänster. För att uppnå detta syfte innehåller förordningen i huvudsak krav på ömsesidigt erkännande av anmälda e-legitimationer under vissa förhållanden, regler för tillhandahållande av betrodda tjänster och en rättslig ram för sådana tjänster.
Förordningen är uppdelad i två delar. En del handlar om betrodda tjänster och vilka krav som ställs på dessa tjänster, och där är Post- och telestyrelsen (PTS) ansvarig myndighet. Den andra delen handlar om elektronisk identifiering och där är Digg ansvarig myndighet.
Läs mer om vilken betydelse eIDAS-förordningen har för e-legitimering och e-underskrifter i avsnitt 4.
2.2.3 Dataskyddsregelverket
Dataskyddsförordningen är det grundläggande regelverket när det gäller skydd för personuppgifter. Förordningen gäller för alla verksamheter som hanterar personuppgifter av olika slag. Den innehåller bland annat grundläggande principer som måste efterlevas vid all personuppgiftsbehandling, krav på att behandlingen har en rättslig grund, tillförsäkrar de registrerade ett antal rättigheter och ställer krav på säkerhet vid behandlingen. Dataskyddsförordningen är direkt tillämplig i Sverige. Som komplement till den finns dataskyddslagen och förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning. Dataskyddslagen innehåller regler av generell karaktär. Om det finns någon bestämmelse i en annan lag eller förordning som avviker från dataskyddslagen, så gäller den bestämmelsen i stället för dataskyddslagen.
För behandling av personuppgifter inom Försäkringskassans kärnverksamhet, det vill säga kopplat till handläggning av socialförsäkringsärenden, gäller också Försäkringskassans registerlagstiftning: 114 kap. SFB och förordning (2024:14) om behandling av personuppgifter vid Försäkringskassan och Pensionsmyndigheten.
De flesta utvecklingsinsatser i kärnverksamheten medför att personuppgifter behandlas eller kommer att behandlas. Ofta rör det sig dessutom om känsliga personuppgifter.
I de flesta fall handlar det om att vi utvecklar en digital tjänst som kommer att behandla personuppgifter när tjänsten är i drift. Oftast handlar det om att utveckla digitala tjänster som i produktion kommer att behandla personuppgifter för att handlägga ärenden. Det är i grunden oproblematiskt – vi har stöd för att behandla personuppgifter om det är nödvändigt för att handlägga ärenden.
I vissa fall innebär själva utvecklingsinsatsen att personuppgifter behandlas. Exempelvis när system testas, kvalitetssäkras eller tränas och det inte är tillräckligt att använda anonymiserade uppgifter. Läs mer om dessa ändamål i avsnitt 5.2.6.
Oavsett vilken situation som är aktuell behöver vi bedöma de personuppgiftsbehandlingar som den aktuella utvecklingsinsatsen innebär.
I Försäkringskassans registerlagstiftning finns särskilda regler som aktualiseras vid utveckling av digitala tjänster. Läs mer om sökbegränsningar i avsnitt 5.2.6 och personuppgiftsbehandling vid informationsutbyte i avsnitt Fel! Hittar inte referenskälla..
Dataskyddsregelverket ställer också krav på att Försäkringskassan vidtar åtgärder som garanterar lämplig säkerhet för de personuppgifter som behandlas. Här möter dataskyddsreglerna också frågor om informationssäkerhet. Läs mer om informationssäkerhet i avsnitt 2.2.9.
Läs mer om behandling av personuppgifter på Försäkringskassan i vägledning (2001:3) Offentlighet, sekretess och behandling av personuppgifter. Där hittar du en beskrivning av regelverket i sin helhet. Där förklaras också de centrala begrepp som används i den här vägledningen, såsom personuppgifter, känsliga personuppgifter, anonymiserade uppgifter, grundläggande principer och sökbegränsningar.
Läs mer om konsekvensbedömningar i riktlinjerna (2024:02) Bedömning av dataskydd - Grundläggande bedömning och konsekvensbedömning.
På Fia-sidan Behandling av personuppgifter och digitalisering hittar du fler styrande och stödjande dokument.
2.2.4 Socialförsäkringsbalken
SFB innehåller några kapitel som är särskilt relevanta för utveckling av digitala tjänster som ska användas i kärnverksamheten. Det handlar främst om regler kopplade till ärendehandläggning, sekretess och personuppgiftsbehandling.
I 110 kap. SFB finns bland annat regler om ärendehandläggning, uppgiftsskyldigheter för såväl enskilda som myndigheter och bestämmelser om undantag från sekretess.
111 kap. SFB handlar om självbetjäningstjänster via internet och innehåller bestämmelser om vad som är en självbetjäningstjänst, när självbetjäningstjänster kan användas utan hinder av formkrav knutna till pappershantering och om, elektroniska underskrifter vid självbetjäningstjänster. Läs mer i avsnitt 3.1.1.
I 111 kap. SFB finns också en bestämmelse som beskriver när en handling eller uppgift som lämnas vid användning av en självbetjäningstjänst anses ha kommit in till Försäkringskassan i förvaltningsrättslig mening. 111 kap. 7 § SFB är en specialreglering i förhållande till 22 § FL, men principen överensstämmer med mer generella överväganden om tidpunkt för inkommande av handling till digitala tjänster generellt (jfr. prop. 2003/04:40 s. 35ff. och prop. 2016/17:180 s. 142).
111 kap. 7 § SFB En handling eller uppgift som vid användning av en självbetjäningstjänst har översänts till Försäkringskassan eller Pensionsmyndigheten, ska anses ha kommit in till den myndighet till vilken ärendet hör när den har anlänt till den del av ett system för automatiserad behandling som anvisats som mottagningsställe för självbetjäningstjänsten.
22 § FL En handling har kommit in till en myndighet den dag som handlingen når myndigheten eller en behörig befattningshavare. Om en handling genom en postförsändelse eller en avi om en betald postförsändelse som innehåller handlingen har nått en myndighet eller behörig befattningshavare en viss dag, ska handlingen dock anses ha kommit in närmast föregående arbetsdag, om det inte framstår som osannolikt att handlingen eller avin redan den föregående arbetsdagen skilts av för myndigheten på ett postkontor. En handling som finns i en myndighets postlåda när myndigheten tömmer den första gången en viss dag ska anses ha kommit in närmast föregående arbetsdag.
I 114 kap. SFB finns regler om behandling av personuppgifter inom Försäkringskassans kärnverksamhet. Läs mer i avsnitt 2.2.3.
Läs mer om ärendehandläggning i Försäkringskassans vägledning (2004:7) Förvaltningsrätt i praktiken. Där kan du bland annat läsa mer om 22 § FL.
Läs mer om uppgiftsskyldigheter, bestämmelser om undantag från sekretess och om behandling av personuppgifter i Försäkringskassans vägledning (2001:03) Offentlighet, sekretess och behandling av personuppgifter.
2.2.5 Regler om offentlighet och sekretess
Försäkringskassan måste följa reglerna om allmänna handlingars offentlighet i tryckfrihetsförordningen (TF) och om sekretess i offentlighets- och sekretesslagen (OSL), oavsett om den information vi hanterar är digital eller analog.
Var och en har rätt att ta del av allmänna handlingar enligt 2 kap. TF. Det finns också bestämmelser om rätt att ta del av uppgifter och information som finns hos myndigheten i OSL.
En förutsättning för att dessa regler om offentlighet ska fungera i praktiken är att vi har en god offentlighetsstruktur. Vi måste säkerställa att allmänna handlingar diarieförs eller hålls ordnade på annat sätt och att information dokumenteras. Det finns regler med krav på myndigheters hantering av och registrering (diarieföring) av allmänna handlingar i 4–6 kap. OSL och regler om dokumentation i FL och i 4 kap. 3 § OSL.
I Försäkringskassans it-system hanteras uppgifter av många olika slag. När vi utvecklar digitala tjänster för kärnverksamheten handlar det mestadels om sekretessreglerade (och ofta sekretessbelagda) uppgifter, till exempel om enskilda. Dessa uppgifter är normalt sett också allmänna handlingar i TF:s mening, eller är på väg att bli det. Uppgifterna finns som regel i digitala tabeller (”registeruppgifter” eller ”databasposter”) eller i digitala dokument. Uppgifterna kan också finnas i metadata kopplade till handlingarna eller i olika typer av loggar. Även loggar är en slags handlingar som ofta är allmänna.
I OSL finns bland annat regler om vilka uppgifter som omfattas av sekretess och sekretessbrytande regler som har stor betydelse vid bedömningen av olika slags informationsutbyten och röjande med andra myndigheter och enskilda.
De flesta digitala tjänster som vi utvecklar i kärnverksamheten innebär att uppgifter görs tillgängliga för någon utanför Försäkringskassan. Oftast handlar det om att den enskilde själv får tillgång till uppgifter om sig själv. Men det kan också handla om att andra än den enskilde får tillgång till information eller att den enskilde får tillgång till information om andra än sig själv.
Att uppgifter görs tillgängliga i en digital tjänst innebär att de lämnas ut – röjs – för den som får tillgång till uppgifterna. Det kräver att en sekretessprövning har gjorts innan uppgifterna för första gången görs tillgängliga i tjänsten. Det rör sig om en slags generell, framåtblickande, bedömning av om de uppgifter som ska lämnas ut i den digitala tjänsten alltid får lämnas ut till den eller de individer som kommer att kunna logga in i tjänsten. Antingen för att de inte omfattas av sekretess mot den som får tillgång till uppgiften, till exempel när den enskilde får ta del av uppgifter om sig själv i Mina sidor, eller för att det finns en tillämplig sekretessbrytande bestämmelse.
Om vi får kännedom om att en typiskt sett harmlös uppgift kan vara känslig i det enskilda fallet, så måste vi kunna hindra åtkomsten till den. Det kan därför vara svårt att göra digitala tjänster tillgängliga för andra än den enskilde, till exempel ombud, ställföreträdare eller vårdnadshavare. En möjlig lösning är att bygga en funktion där den enskilde kan samtycka till utlämnandet.
Läs mer om utveckling av tjänster vars primära syfte är att utbyta information i kapitel 6 digitala tjänster för informationsutbyte.
Läs mer om sekretess och röjande i Försäkringskassans vägledning (2001:3) Offentlighet, sekretess och behandling av personuppgifter. Där kan du också läsa sekretess i förhållande till ombud, ställföreträdare och vårdnadshavare.
2.2.6 Arkivrättsliga regelverket
I det arkivrättsliga regelverket finns bestämmelser om bevarande och gallring av allmänna handlingar. De digitala tjänster som utvecklas i kärnverksamheten innehåller i princip alltid allmänna handlingar och vi behöver därför ta hänsyn till det arkivrättsliga regelverket vid utveckling. Som utgångspunkt gäller att en allmän handling ska kunna förstås och inte får ändras, förvanskas eller göras oläslig. Det gäller under hela den tid som handlingen finns, oavsett om den ska gallras eller bevaras för framtiden.
I det arkivrättsliga regelverket finns också krav på livscykelhantering av information. Att hantera information med hänsyn till dess livscykel innebär att det krävs planerade åtgärder för när information ska framställas, överföras, dokumenteras, användas, förvaras och vårdas, under hela den tid som informationen ska finnas.
Livscykelhanteringen innebär också att vi i ett tidigt skede behöver utreda om informationen ska bevaras eller gallras. Utredningens resultat påverkar planeringen av hantering och åtgärder under informationens livscykel. Om en gallrings- och bevarandeutredning inte har genomförts behöver den digitala tjänsten utformas med utgångspunkt i att informationen ska bevaras, vilket innebär högre ställda krav vid utveckling.
De åtgärder som sker med informationen under dess livscykel ska dokumenteras och följas upp i enlighet med Riksarkivets föreskrifter och allmänna råd (RA-FS 2009:1 med ändringar) om elektroniska handlingar (upptagningar för automatiserad behandling). Vi behöver också följa de tekniska krav för hantering och skapande av digital information, som finns i Riksarkivets föreskrifter och allmänna råd (RA-FS 2009:2) om tekniska krav för elektroniska handlingar (upptagningar för automatiserad behandling).
Vid utveckling av digitala tjänster är det viktigt att redan tidigt i utvecklingsinsatsen säkerställa att kraven på informationshanteringen kan uppfyllas. Kontakta därför VS Informationsförvaltning redan i planeringen av en utvecklingsinsats.
Läs mer om Arkivhantering och informationsförvaltning på Fia. Där hittar du olika styr- och stöddokument. Där hittar du också kontaktuppgifter till VS Informationsförvaltning som har normerings- och serviceansvar inom arkivområdet.
Läs mer om hanteringen av Försäkringskassans allmänna handlingar, arkivering och gallring i Försäkringskassans vägledning (2004:3) Försäkringskassan och arkivhantering. I Försäkringskassans riktlinjer (2022:01) Gallring och bevarande av verksamhetsinformation och Försäkringskassans anvisningar (2023:09) Gallring och bevarande av verksamhetsinformation kan du läsa mer om hur du ska koppla in det arkivrättsliga perspektivet tidigt i en utvecklingsinsats. I bilaga 1 till anvisningar (2023:09) finns en förenklad kravchecklista att använda vid upphandling och utveckling av it-stöd.
2.2.7 Förvaltningslagen
FL innehåller bland annat grundläggande regler om god förvaltning, ärendehandläggning och beslutsfattande. De är centrala för Försäkringskassans kärnverksamhet, även vid digital handläggning och utveckling av digitala tjänster.
Vissa av FL:s regler gäller i all verksamhet på Försäkringskassan, inte bara när vi handlägger enskilda ärenden. Det gäller bestämmelserna om grunderna för en god förvaltning, det vill säga legalitet, objektivitet och proportionalitet (5 § FL), service och tillgänglighet (6 och 7 §§ FL) och samverkan mellan myndigheter (8 § FL).
Övriga regler gäller vid handläggning av ärenden (9–49 §§ FL). Begreppet handläggning innefattar allt som en myndighet gör från att ett ärende inleds tills det avslutas med ett beslut. Vilka regler som gäller enligt FL beror alltså på om ett ärende har inletts och om ett ärende pågår.
Den tekniska utvecklingen och den ökade digitala ärendehanteringen kan innebära utmaningar när det gäller att fastställa ett ärendes gränser i förhållande till andra ärenden och annan information. Det finns inte alltid en teknisk motsvarighet till en pappersakt (till exempel i form av en tekniskt avgränsad enhet av information). När vi utvecklar digitala tjänster har begreppet ärende två betydelser:
- Ett ärende i teknisk mening, där gränserna beror på hur ett system eller en ärendeprocess har konstruerats, eller hur en mängd information lagras
- Ett ärende i rättslig mening utifrån FL:s regler.
Vi måste hantera båda dessa betydelser för att kunna säkerställa att våra digitala tjänster lever upp till FL:s krav – både vad gäller den enskildes rättigheter (till exempel rätt till partsinsyn, kommunikation och rätten att begära ett avgörande) och våra skyldigheter (att handlägga ärendet och fatta beslut).
FL har en teknikneutral utformning. Det betyder att lagen gäller både vid manuell och vid digital handläggning. Lagen innehåller också en bestämmelse som specifikt anger att beslut kan fattas automatiserat (28 §).
Läs mer om FL och handläggning av ärenden i Försäkringskassans vägledning (2004:7) Förvaltningsrätt i praktiken.
2.2.8 DOS-lagen
Lagen om tillgänglighet till digital offentlig service (DOS-lagen) innehåller krav på att offentliga aktörers webbplatser och mobila applikationer ska vara tillgängliga. Genom att följa en särskild europeisk standard kan Försäkringskassan leva upp till kraven. DOS-lagen innehåller också bestämmelser om att offentliga aktörer ska tillhandahålla en tillgänglighetsredogörelse, som bland annat ska beskriva hur den aktuella webbplatsen eller applikationen lever upp till kraven. DOS-lagen kompletteras av Diggs föreskrifter (2019:2) om tillgänglighet till digital offentlig service (DOS-föreskriften).
De tillgänglighetskrav som uppställs enligt DOS-författningarna ska inte förväxlas med kraven på tillgänglighet enligt 7 § FL. Läs mer om FL:s krav i avsnitt 2.1.5.
När vi utvecklar digitala tjänster för enskilda eller skapar webbsidor som används internt på Försäkringskassan ska form och funktion uppfylla kraven på digital tillgänglighet. Det grundläggande kravet är att digital offentlig service är möjlig att uppfatta, hanterbar, begriplig och robust, enligt 4 § DOS-föreskriften. Mer specificerat ska tekniken motsvara en utpekad europeisk standard, enligt 5 § samma föreskrift. Försäkringskassans arbete med webbtillgänglighet (digital tillgänglighet och inkluderande design) finns beskriven på intranätet Fia.
Det är nödvändigt att beakta tillgänglighetskraven tidigt i en utvecklingsinsats. Kraven behöver till exempel vara bedömda och formulerade så att de kan ställas vid ett eventuellt behov av upphandling. Enligt 9 kap. 2 § lagen (2016:1145) om offentlig upphandling ska de tekniska specifikationerna bestämmas med beaktande av samtliga användares behov, däribland tillgänglighet, när det som anskaffas ska användas av fysiska personer.
Bristande tillgänglighet är en form av diskriminering. Läs mer i avsnitt 2.1.4.
2.2.9 Informationssäkerhet
Informationssäkerhet är den samlade och övergripande säkerhet som ska se till att den information som finns i en organisation alltid är korrekt, tillgänglig och skyddad från obehörig åtkomst. Informationssäkerheten rör all form av information. Informationen kan till exempel utgöras av personuppgifter, tekniska beskrivningar eller ekonomiska uppgifter. Informationen finns vanligtvis i pappershandlingar och elektroniska handlingar.
Man brukar dela in informationssäkerhet i administrativ säkerhet och teknisk säkerhet. Den tekniska säkerheten delas vanligtvis in i fysisk säkerhet och it-säkerhet.
Administrativ säkerhet handlar om att ta fram policys, rutiner och anvisningar som beskriver hur medarbetare i en organisation exempelvis ska hantera information. Det kan också handla om vad som gäller kring behörigheter till olika it-system. Med teknisk säkerhet åsyftas tekniska skydd såsom brandväggar, kryptering och liknande.
It-säkerhet är en viktig del vad gäller säkerheten. Det är en del av informationssäkerheten. Till it-säkerhet hör bland annat skyddade förbindelser, intrångsdetektering och säkerhetskopiering.
Försäkringskassan måste ha en lämplig säkerhetsnivå för den information som myndigheten hanterar. Detta följer inte bara av externa regelverk som dataskyddsregelverket, utan även interna, där Försäkringskassans Säkerhetspolicy 2003:4 ger de grundläggande förutsättningarna för säkerhetsarbetet. Vad som utgör en lämplig säkerhetsnivå för olika typer av information går att utläsa ur riktlinjer (2018:13) Säkerhetsregler.
Myndigheten för samhällsskydd och beredskap (MSB) ger också ut föreskrifter och allmänna råd gällande informationssäkerhet. Ett exempel på detta är MSB:s föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:07).
I Försäkringskassans riktlinje (2018:13) Säkerhetsregler finns de övergripande reglerna för allt säkerhetsarbete på Försäkringskassan, inklusive övergripande regler för informationssäkerhet. Här beskrivs bland annat vad som ska gälla i fråga om informationsklassning, behörighetsstyrd åtkomst och kryptering, samt vilken/vilka organisatoriska enheter som är ansvariga för att åtgärder genomförs respektive att styrande dokument tas fram.
Försäkringskassans anvisning (2023:06) Särskild bedömning när Försäkringskassans information ska lagras eller bearbetas i en extern tjänst innehåller information om vilka bedömningar som behöver göras för att kunna fatta beslut om det är lämpligt att anskaffa eller fortsätta använda tjänster för bearbetning eller lagring.
Försäkringskassans anvisningar (2022:09) Säkerhet på Försäkringskassan innehåller anvisningar på praktisk nivå avsedda för den enskilde statsanställda. Där finns också anvisning om vilka informationsklasser (öppen/intern/känslig) som man får lov att behandla eller kommunicera på vilket sätt, vilket är viktigt att komma ihåg om man ska skapa en tjänst som på något sätt ska kommunicera med omvärlden, eller på andra sätt lagra eller behandla information.
Hur man klassar information framgår av Försäkringskassans anvisning (2022:03) Informationsklassning.
Informationssäkerhetsarbetet omfattar också skyddet för personuppgifter.
I Försäkringskassans vägledning (2001:03) Offentlighet, sekretess och behandling av personuppgifter finns en beskrivning av vad som gäller allmänt i förhållande till säkerhetskraven i dataskyddsförordningen. Där finns också viss vägledning kring vad som är en skyddad personuppgift, vilket är viktigt för tillämpningen av riktlinjen (2011:34) Hantering av skyddade personuppgifter inom Försäkringskassan. Av den riktlinjen framgår bland annat mer om vad som är en skyddad personuppgift, men framför allt hur sådana får hanteras och av vem. Det är viktigt att hänsyn tas till riktlinjen när man bygger system som ska hantera skyddade personuppgifter, så att bland annat utskick hanteras korrekt. Kom ihåg att även till exempel anställda och konsulter kan ha skyddade personuppgifter. För anställda med skyddade personuppgifter gäller riktlinjen (2024:02) Hantering av anställdas skyddade personuppgifter inom Försäkringskassan.
2.2.10 Säkerhetsskydd
Säkerhetsskydd handlar om att genom förebyggande arbete skydda verksamhet som är av betydelse för Sveriges säkerhet mot spioneri, sabotage, terroristbrott och vissa andra hot. Denna typ av verksamhet kallas för säkerhetskänslig verksamhet och den som bedriver sådan verksamhet har vissa grundläggande skyldigheter.
Försäkringskassans säkerhetskänsliga verksamhet beskrivs i Försäkringskassans säkerhetsskyddsanalys.
Uppgifter som rör säkerhetskänslig verksamhet kallas för säkerhetsskyddsklassificerade uppgifter och omfattas av sekretess enligt OSL.
Säkerhetsskyddet regleras i säkerhetsskyddslagen (2018:585), säkerhetsskyddsförordningen (2021:955) och kompletterande bestämmelser i form av föreskrifter. Försäkringskassan lyder under Säkerhetspolisen när det gäller säkerhetsskydd och ska därför följa Säkerhetspolisens föreskrifter och vägledningar.
Läs mer om säkerhetsskydd och Försäkringskassans säkerhetsskyddsanalys i Försäkringskassans stödprocess (2020:10) Säkerhetsskydd.
Mer information finns också på Fiasidan Säkerhetsskydd.