Utredningens överväganden

Såvitt utredningen kan bedöma finns det ett heltäckande regelverk för de frågor om informationssäkerhet som kan aktualiseras vid sam- verkan vid servicekontoren. Som framgått handlar det bland annat om att förordningen om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap anger att det är varje myn- dighets ansvar att det egna informationshanteringssystemet upp- fyller sådana grundläggande och särskilda säkerhetskrav att myndig- hetens verksamhet kan utföras på ett tillfredsställande sätt. Om det skulle bli aktuellt kan myndigheter vidare överlåta åt en annan myn- dighet att fullgöra uppgifter som regleras i MSB:s föreskrift om in- formationssäkerhet. I det fallet ska myndigheterna komma överens om och dokumentera vilken myndighet som har ansvaret för att kra- ven på informationssäkerhet uppfylls. Myndigheten ansvarar dock alltid för att klassa sin information och det ansvaret går inte att över- låta. Slutligen ges en styrning av det konkreta arbetet med informa- tionssäkerhet vid servicekontoren genom den överenskommelse som ingåtts mellan Statens servicecenter och de berörda samver- kansmyndigheterna.

129 _{Överenskommelse om ID-kortsverksamhet på servicekontoren mellan Skatteverket och}

Statens servicecenter.

130 _{Statens servicecenter (2020) Informationssäkerhet och säkerhetsskydd på Statens service-}

Lokalsamverkan

Utredningen bedömer att lokalsamverkan kan innebära vissa utma- ningar avseende informationssäkerhet särskilt om samverkan inklu- derar att myndigheterna även tillhandahåller viss IT, nätverk eller på annat sätt har kringtjänster för information. När lokalsamverkan innebär att en värdmyndighet även tillhandahåller IT-drift med mera behöver den andra myndigheten, som är hyresgäst till värdmyndig- heten, inkluderas i informationssäkerhetsarbetet. Myndigheterna behöver tydliggöra sina respektive roller för informationssäkerheten och vilken myndighet som är ansvarig för uppfyllande av kraven enligt aktuell författning. Även om en lokalsamverkan inte inklude- rar samverkan kring övriga tjänster behöver informationssäkerheten beaktas och behov av åtgärder analyseras. Det kan exempelvis gälla krav på att hindra obehöriga från att ta del av information eller skydd mot överhörning i lokaler samt frågor om personskydd.

Anslutning till Statens servicecenters serviceorganisation

Vid anslutning till Statens servicecenters serviceorganisation, det vill säga när samverkan innebär att Statens servicecenter utför service för berörda myndigheters räkning, aktualiseras flera frågor avseende informationssäkerhet. Det gäller i synnerhet när samverkan med Sta- tens servicecenter inbegriper fördjupad service som kräver tillgång till uppgifter i verksamhetssystem. Sådan tillgång grundas på respek- tive myndighets uppdragsavtal med servicehandläggaren.

Även fortsättningsvis kommer det att vara den berörda samver- kansmyndigheten som äger informationen som används vid utfö- rande av servicen, det vill säga de verksamhetssystem, register eller dylikt som används. Respektive samverkansmyndighet är ansvarig för konfidentialitet, riktighet och tillgänglighet hos sin information. Den enskilda samverkansmyndigheten måste även klassa sin in- formation. Servicehandläggare använder information i respektive myndighets namn.

Det är dock Statens servicecenter som tillhandahåller den tek- niska utrustningen och nätverk, och som även ska ansvara för den fysiska planeringen av lokalerna. Statens servicecenter har även an- svar för personalens allmänna kompetens för arbetet som service- handläggare. Om den tillkommande verksamheten av den berörda

Ds 2020:29 Generella utgångspunkter vid samverkan med fler myndigheter

samverkansmyndigheten bedöms vara säkerhetskänslig kan det medföra ökade krav.

Verksamheten på servicekontoren innebär att det finns en samlad tillgång till flera myndigheters information. När servicekontoren enligt förslaget kommer att tillhandahålla service för ytterligare myndigheters räkning innebär det således en ökning av den samlade informationen. Utredningen vill därför betona vikten av att Statens servicecenter och samverkansmyndigheterna analyserar den samlade informationen som hanteras på servicekontoren. Skulle denna aggre- gerade information bli mycket omfattande kan kraven på aggregerad nivå behöva höjas. Statens servicecenter har till utredningen uppgett att de anslutande myndigheterna i förekommande fall till Statens servicecenter ska redovisa de skyddsvärda informationstillgångar som Statens servicecenter kommer att hantera inom ramen för ser- vicesamverkan. Eventuella särskilda krav som identifierats för att skydda informationstillgångarna ska delges Statens servicecenter. Vidare har det vid kontakt med Statens servicecenter framhållits att myndigheten behöver ges tillräcklig tid att planera för den nytill- kommande verksamheten så att de åtgärder som krävs för att möj- liggöra att kraven på informationssäkerhet – även på lång sikt – kan tillgodoses på ett effektivt sätt.

Statens servicecenter har också framfört att samverkansmyndig- heten behöver bedöma ifall verksamheten omfattas av säkerhets- skydd och genomföra säkerhetsskyddsanalyser. Därutöver ställs krav på anslutande myndigheter att genomföra en sådan analys innan de ansluter. Analysen ska delges Statens servicecenter.

Som nämnts kan även den allmänna servicen ställa krav på in- formationssäkerhet. Servicekontorets utrustning och miljö behöver vara konstruerade på ett sådant sätt att informationens konfidentia- litet, riktighet och tillgänglighet kan bevaras. Det måste vara möjligt att upprätthålla krav på informationssäkerheten exempelvis när kun- der använder terminaler och datorer, när samtal förs i lokalen och dess eventuella mötesrum och i utrymmen för videomötestjänster.

En ytterligare konkret informationssäkerhetsaspekt är hante- ringen av de handlingar som lämnas in för att senare vidarebefordras till en annan myndighet. De behöver hanteras korrekt i förhållande till innehållet i handlingen och vidarebefordras till rätt myndighet.

Sammantaget bedömer utredningen att anslutning av ytterligare myndigheter till samverkan vid servicekontoren bör vara hanterbart

i informationssäkerhetshänseende. Visserligen finns många detalj- frågor som behöver analyseras och lösas i de enskilda fallen, men enligt utredningen ger det regelverk som finns en heltäckande styr- ning av hur arbetet med informationssäkerheten ska hanteras. Samt- liga statliga myndigheter behöver förhålla sig till samma standarder vilket underlättar samverkan och en gemensam nivå för informa- tionssäkerheten. Rimligen bör nytillkommande myndigheter också kunna ansluta sig till den överenskommelse kring arbetet med in- formationssäkerhet vid servicekontoren som finns mellan Statens servicecenter och nuvarande samverkansmyndigheter. Det är också väsentligt att berörda myndigheter i de inledande bilaterala dis- kussionerna noga analyserar vilka informationshanteringskrav som den tillkommande verksamheten medför och hur arbetet med in- formationssäkerhet ska hanteras.

Mobila lösningar

Slutligen bör nämnas betydelsen av krav på informationssäkerhet för det fall mobila lösningar (såsom en ambulerande buss eller liknande) övervägs för etablerandet av nya servicekontor (utredningen disku- terar detta i kapitel 9). Enligt utredningen talar flera skäl för att en sådan lösning bör vara acceptabel utifrån informationssäkerhets- perspektiv. Ett skäl är att Polismyndigheten redan tillämpar motsva- rade lösning för sina mobila poliskontor. Ett annat skäl är de erfa- renheter som Statens servicecenter redovisat avseende de fyra nya servicekontor som öppnade i juni 2020. I den tidigare nämnda rap- porten om myndighetens arbete med informationssäkerhet anges att dessa nya, små kontor samlokaliserats med berörda kommuner och att IT-utrustningen vid dem är mobil. Något som sägs ställa särskilda krav på säkerhet och särskilt IT- och informationssäkerhet.131 _Det

får antas att förutsättningarna i berört hänseende inte är sämre för en mobil lösning i form av till exempel en buss, än för en mobil lösning i en samlokalisering med en kommun.

131 _{Statens servicecenter (2020) Informationssäkerhet och säkerhetsskydd på Statens service-}

9

Andra former av samverkan

I syfte att utvidga den statliga servicen till fler platser i hela landet kan andra alternativ utöver en förstärkt organisation för lokal statlig service vara möjliga. Enligt uppdraget ska utredningen därför analy- sera möjligheterna till andra former av statlig servicesamverkan samt belysa möjligheter och hinder för servicesamverkan mellan den stat- liga förvaltningen, kommuner och regioner i syfte att främja sådan samverkan. I uppdragsbeskrivningen nämns särskilt samverkan mellan stat och kommun och andra former för tillhandahållande av service, exempelvis via så kallade servicepunkter.

I detta kapitel analyseras förutsättningarna för att utvidga den statliga servicen genom samverkan med kommuner (både avseende tjänster och lokaler), servicepunkter och mobila lösningar. Vad gäller kommuner har utredningen avgränsat resonemanget till pri- märkommuner, eftersom den typ av service som det här är fråga om bedöms vara mindre vanlig på regionnivå. I kapitlet behandlas ser- vicesamverkan med kommuner och tillhandahållande av service via servicepunkter i ett gemensamt avsnitt, medan lokalsamverkan med kommuner respektive mobila lösningar behandlas för sig.