Ferill 141. máls. Aðrar útgáfur af skjalinu: PDF - Microsoft Word.
156. löggjafarþing 2025.
Þingskjal 146 — 141. mál.
Stjórnarfrumvarp.
Frumvarp til laga
um skipan upplýsingatækni í rekstri ríkisins.
Frá fjármála- og efnahagsráðherra.
1. gr.
Markmið og gildissvið.
Lög þessi gilda um skipan upplýsingatækni í rekstri ríkisaðila í A1- og A2-hluta skv. 50. gr. laga um opinber fjármál, nr. 123/2015.
2. gr.
Tækni- og rekstrarleg viðmið.
Skipan upplýsingatækni felst nánar tiltekið í fyrirkomulagi lykilþátta í stjórnun upplýsingatækni, svo sem ákvarðanatöku, áhættustýringar, forgangsröðunar fjárfestinga, tæknilegra staðla, meginreglna og leiðbeininga.
3. gr.
Breytingar á skipan upplýsingatækni.
4. gr.
Miðlun gagna.
Skylda ríkisaðila samkvæmt þessari grein til að miðla gögnum tekur ekki til miðlunar viðkvæmra persónuupplýsinga skv. 3. tölul. 3. gr. laga um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018.
5. gr.
Sameiginlegir stafrænir innviðir.
Með sameiginlegum stafrænum innviðum er átt við upplýsingakerfi, gagnagrunna og aðra stafræna innviði sem nýtast í almennum rekstri ríkisaðila, svo sem lausnir Stafræns Íslands og staðlaðan skrifstofuhugbúnað. Ekki er átt við sérhæfð upplýsingakerfi einstakra ríkisaðila eða almennan vélbúnað.
Ráðherra er heimilt að:
a. ganga til samninga um kaup á upplýsingatæknilausnum sem munu teljast til sameiginlegra stafrænna innviða skv. 1. og 2. mgr.,
b. kveða á um skyldu ríkisaðila til að nota tiltekna sameiginlega stafræna innviði í starfsemi sinni,
c. fela sérstökum starfseiningum eða ríkisaðila sem starfar á hans ábyrgð rekstur og umsjón sameiginlegra stafrænna innviða,
d. heimila öðrum en ríkisaðilum að nýta sameiginlega stafræna innviði ríkisins,
e. setja gjaldskrá vegna notkunar sameiginlegra stafrænna innviða, þ.m.t. um greiðslur ríkisaðila vegna beinnar notkunar þeirra, svo sem vegna leyfisgjalda, og vegna notkunar annarra en ríkisaðila.
6. gr.
Reglugerðarheimild.
1. Nánari útfærslu á stýringu og skipan upplýsingatækniverkefna, þ.m.t. fyrirkomulag mats á breytingum sem hafa áhrif á skipan upplýsingatækni, sbr. 2. og 3. gr.
2. Fyrirkomulag öruggs gagnaskiptalags og nánari skilyrði þess að miðlun gagna, þ.m.t. persónugreinanlegra, sé heimil milli ríkisaðila, sbr. 4. gr.
3. Ráðherra getur kveðið nánar á um skilyrði fyrir miðlun gagna á milli ríkisaðila skv. 2. tölul. í reglugerð þar sem m.a. er kveðið á um eftirfarandi:
a. Sameiginlega ákvörðun ríkisaðila um miðlun gagna sín á milli.
b. Í hvaða tilvikum skal miðla gögnum, m.a. í hvaða tilgangi.
c. Heimildir til að taka ákvörðun um miðlun gagna milli tiltekinna ríkisaðila.
d. Takmarkanir á miðlun gagna skv. 1. mgr. 4. gr.
e. Varúðarráðstafanir vegna miðlunar gagna, þar á meðal öryggisráðstafanir sem þarf að fylgja.
f. Öruggt gagnaskiptalag sem ríkisaðilar skulu nota í gagnasamskiptum.
4. Rekstur, umsjón, tæknileg viðmið og öryggisviðmið sameiginlegra stafrænna innviða og stafrænnar grunnþjónustu, svo sem hverjir sameiginlegir stafrænir innviðir eru og hvort ríkisaðilum sé skylt að nota tiltekna sameiginlega stafræna innviði í sinni starfsemi, sbr. 5. gr.
5. Aðra aðila en ríkisaðila sem heimilt er að nýta sameiginlega stafræna innviði ríkisins, sbr. 5. gr.
6. Aðgengi vefsetra opinberra aðila og smáforrita þeirra fyrir fartæki til samræmis við skuldbindingar íslenska ríkisins samkvæmt samningnum um Evrópska efnahagssvæðið, sbr. 7. gr.
7. Sameiginlega stafræna gátt til að veita aðgang að upplýsingum, málsmeðferðarreglum og aðstoð og þjónustu til lausnar á vandamálum til samræmis við skuldbindingar íslenska ríkisins samkvæmt samningnum um Evrópska efnahagssvæðið, sbr. 7. gr.
7. gr.
Innleiðing.
8. gr.
Gildistaka.
9. gr.
Breyting á öðrum lögum.
Greinargerð.
Frumvarp þetta er samið í fjármála- og efnahagsráðuneytinu í samráði við önnur ráðuneyti innan Stjórnarráðsins. Til stóð að leggja frumvarpið fram árið 2024 en af því varð ekki.
Í stefnuyfirlýsingu ríkisstjórnarinnar kemur fram að hún hyggist auka skilvirkni í samskiptum fyrirtækja og hins opinbera. Þessi stefna er ekki ný af nálinni og hafa sambærilegar áherslur birst í fjármálaáætlunum síðustu ára og ýmsum aðgerðum, svo sem lögum um stafrænt pósthólf í miðlægri þjónustugátt stjórnvalda, nr. 105/2021.
Frumvarp þetta er unnið í samræmi við framangreindar áherslur með það að markmiði að skapa grundvöll fyrir skilvirkara og hagkvæmara skipulagi við stjórn upplýsingatækni ríkisins. Með því verður annars vegar skilgreind ábyrgð fjármála- og efnahagsráðherra á stefnumótun í upplýsingatæknimálum ríkisins og hins vegar mælt fyrir um heimildir hans til að ákveða hvernig þeim verður fyrirkomið.
2. Tilefni og nauðsyn lagasetningar.
Til að ná markmiðinu um að vera í fararbroddi á sviði stafrænnar tækni og þjónustu er nauðsynlegt að stafrænir innviðir ríkisins séu til þess fallnir að styðja framþróun stafrænnar þjónustu. Í því tilliti er mikilvægt að innviðirnir séu í samræmi við stöðluð viðmið. Upplýsingatækni verður sífellt samofnari opinberri þjónustu og nú er svo komið að hún er lykilforsenda framþróunar á því sviði. Um mikilvægi stafrænna innviða fyrir rafræna þjónustu hins opinbera gagnvart almenningi er m.a. fjallað í þingsályktun nr. 22/150, um tæknilega innviði Stjórnarráðsins og rafræna þjónustu hins opinbera, sem var samþykkt 29. janúar 2020 (þskj. 891, 15. mál á 150. löggjafarþingi). Þar kemur m.a. fram að fjármála- og efnahagsráðherra skuli „stórefla vinnu er varðar tæknilega innviði Stjórnarráðsins, samþættingu vefkerfa og forritunarviðmóta og stöðlun þróunarferla og gæðastýringar við hugbúnaðargerð“. Á grundvelli þingsályktunarinnar kynnti fjármála- og efnahagsráðherra Alþingi skýrslu um tæknilega innviði Stjórnarráðsins og rafræna þjónustu hins opinbera 3. september 2021 (þskj. 1903, 898. mál á 151. löggjafarþingi). Í skýrslunni er m.a. fjallað um mikilvægi þess að auka samræmingu tækniumhverfis ríkisins. Stefnumótun annarra ríkja hefur tekið mið af þessum sömu sjónarmiðum og OECD hefur vakið athygli á að á Íslandi skorti markvissara skipulag við stýringu upplýsingatækni hjá ríkinu, nú síðast í skýrslu á þessu ári ( Digital Government Index 2023).
Núverandi fyrirkomulag rekstrar og skipanar upplýsingatækni er dreifstýrt hjá ríkisaðilum. Ábyrgðin, jafnt rekstrarleg og stefnumótandi, liggur þannig hjá hverri og einni stofnun. Það hefur leitt til þess að nálgunin er ekki samræmd þar sem víða er fjárfest í sambærilegum hugbúnaðarlausnum án samstarfs og samþættingar.
Undanfarin ár hafa nokkur skref verið stigin í átt að miðlægum samrekstri stafrænna innviða, til að mynda með lausnum Stafræns Íslands. Reynslan hefur sýnt að ábatinn af slíkum verkefnum getur verið talsverður, hvort heldur sem er út frá rekstrar-, samræmingar- eða gæðasjónarmiðum. Þegar ríkisaðilar nota hina sameiginlegu stafrænu innviði geta þeir treyst því að uppbygging þeirra og rekstur sé í samræmi við ákvæði laga sem stjórnvöldum ber að fylgja. Ríkisaðilar eiga því að vera betur í stakk búnir til að sinna sínum kjarnaverkefnum.
Sú leið að setja viðmið um ramma utan um tæknilega innviði ríkisaðila er í samræmi við þá þróun sem hefur átt sér stað hjá nágrannaþjóðum síðustu ár. Í Evrópusambandinu hafa lengi verið í gildi viðmið um tæknilega skipan sem nú hefur komið fram tillaga um að verði sett í reglugerð. Þá eru ráðandi sjónarmið í frumvarpinu í megindráttum í samræmi við þau sem koma fram í greinargerð með tillögu þeirri sem varð að fyrrnefndri þingsályktun nr. 22/150.
3. Meginefni frumvarpsins.
Með frumvarpinu er lagt til að kveðið verði á um skyldur og heimildir fjármála- og efnahagsráðherra sem ráðherra upplýsingatæknimála ríkisins, allt í því skyni að vinna að samræmdri, hagkvæmri, öruggri og vandaðri skipan þeirra.
Efni frumvarpsins er tvíþætt: Annars vegar að skilgreina ábyrgð fjármála- og efnahagsráðherra á skipan upplýsingatæknimála ríkisins og hins vegar að mæla fyrir um heimildir ráðherra til að setja samræmd viðmið í upplýsingatæknimálum. Ábyrgð ráðherra á málaflokknum er ekki ný af nálinni, en ráðherrann hefur borið ábyrgð á almennum umbótum í ríkisrekstri í langan tíma, þ.m.t. skipulagi og stjórnarháttum í ríkisstarfsemi, hagræðingu í ríkisrekstri og árangursstjórnun og borið ábyrgð á stafrænu pósthólfi í miðlægri þjónustugátt stjórnvalda. Skipulag upplýsingatæknimála ríkisins telst falla þar undir. Talið er að skýra þurfi betur hvað felst í hlutverkinu og útfæra nánar heimildir ráðherra til að kveða á um skipan slíkra mála innan ríkisins. Samhliða er áréttað að ekki stendur til að ráðherra taki yfir almennan rekstur og umsýslu á sviði upplýsingatækni heldur er fremur litið til heildarmyndarinnar og hvernig hún styrkist með aukinni samræmingu.
Hafi ráðherra tekið ákvörðun um að tilteknir stafrænir innviðir skuli sameiginlegir skal hann sjá til þess að þeir séu starfræktir og þeim viðhaldið á fullnægjandi hátt, en honum er heimilt að fela sérstökum starfseiningum eða ríkisaðila sem starfar á hans ábyrgð rekstur og umsjón sameiginlegra stafrænna innviða. Benda má á hvernig Stafrænt Ísland hefur rekið eigin lausnir.
Gert er ráð fyrir að hinir sameiginlegu stafrænu innviðir skiptist í tvo flokka: Annars vegar innviði sem ríkisaðilum er heimilt að nota og hins vegar innviði sem þeim er skylt að nota. Ráðherra stendur í þessum tilvikum frammi fyrir tvenns konar ákvörðunum. Annars vegar hvort tilteknir stafrænir innviðir séu þess eðlis að þeir skuli vera sameiginlegir og hins vegar, ef svo er, hvort sterk rök hnígi til þess að þeir skuli notaðir í starfsemi allra ríkisaðila þar sem við á. Við þetta mat er mikilvægt að hafa í huga að hvorki markmiðið með þessu frumvarpi né stefna stjórnvalda snýst um að rekstur upplýsingatæknikerfa ríkisins verði í heild miðlægur heldur þvert á móti. Einungis í þeim tilvikum sem samreksturinn hefur bersýnilega ávinning í för með sér er eðlilegt að ríkið hafi frumkvæði að miðlægri þróun og rekstri upplýsingatæknilausna. Það á við hvort heldur sem notkun innviðanna er valkvæð fyrir ríkisaðila eða ekki. Bent skal á að í starfsemi Stafræns Íslands hafa verið þróaðar ýmsar hugbúnaðarlausnir, svo sem innskráningar- og umsóknarkerfi. Aðferðafræðin við þá þróun hefur leitt af sér árangursríkt samstarf milli hins opinbera og einkaaðila. Ef notkunin verður gerð að skyldu verður einnig að liggja fyrir að ávinningur náist ekki eða í minna mæli ef innviðirnir gagnast ekki sem skyldi almennt.
Í ljósi þess að allur rekstur upplýsingatækni hjá ríkinu verður ekki miðlægur munu ríkisaðilar enn sem fyrr bera meginábyrgð á sinni starfsemi, þ.m.t. þeim hluta sem reiðir sig á upplýsingatækni. Sameiginlegir stafrænir innviðir, valkvæðir sem ekki, munu líklega ekki standa til boða nema í afmörkuðum tilvikum. Hins vegar er mikilvægt að tryggja nauðsynlegt samræmi til að koma í veg fyrir að sundurleit hönnun hamli frekari úrbótum í opinberri þjónustu. Í þessu skyni má nefna þá sjálfsögðu kröfu almennings að þurfa ekki að afla upplýsinga frá fjölda ríkisaðila til þess að geta sótt opinbera þjónustu. Mikið nærtækara er að þessum upplýsingum sé miðlað milli ríkisaðilanna sjálfra þegar við á, enda felst í því umtalsvert hagræði fyrir almenning. Þessi hugmyndafræði er ríkjandi innan Evrópusambandsins og byggist á því sem hefur verið kallað „once-only“-sjónarmið. Stafrænir innviðir þurfa aftur á móti að styðja þessa upplýsingamiðlun.
Í frumvarpinu er því kveðið á um að ráðherra setji fram almennar stefnur um skipulag upplýsingatækni í rekstri ríkisins. Ráðherra hefur þegar sett stefnur, m.a. um öryggisflokkun gagna og notkun skýjaþjónustu. Gert er ráð fyrir að þeirri vinnu verði fram haldið og ráðherra setji frekari stefnur um framtíðarsýn um helstu atriði málaflokksins. Stefnurnar skulu vera almennir leiðarvísar um meginmarkmið til lengri tíma.
Ráðherra er, með stoð í stefnunum, heimilt að setja fram viðmið með nánari fyrirmælum um tæknilega skipan upplýsingatækni, þróun stafrænnar þjónustu og hvernig skuli varðveita, meðhöndla og miðla gögnum. Í þessum efnum er mikilvægt að ekki sé eingöngu lögð áhersla á að upplýsingatæknilausnir, ásamt viðhaldi og rekstri þeirra, séu öruggar og í samræmi við lög og grundvallarréttindi einstaklinga, til að mynda um friðhelgi einkalífs, heldur verður jafnframt að huga að samræmi innan kerfisins um þær leiðir sem eru farnar. Með samræmingu er hægt að spara, m.a. með því að draga úr tvíverknaði, öryggi eykst og skilvirkni verður meiri auk þess sem möguleikar á að þróa opinbera þjónustu áfram aukast.
Í frumvarpinu er jafnframt ráðgert að ráðherra setji sérstakar reglur um miðlun gagna milli ríkisaðila, annars vegar um öruggt gagnaskiptalag sem ríkisaðilum ber að nota í gagnasamskiptum og hins vegar að útfæra skyldu til að miðla gögnum sín á milli þegar efni standa til.
Í sífellt meira mæli hefur verið gengið út frá þeirri sjálfsögðu kröfu almennings að þurfa ekki að sinna upplýsingaöflun fyrir stjórnvöld þegar upplýsingarnar liggja á annað borð fyrir innan ríkiskerfisins. Því er í frumvarpinu tekinn af allur vafi um að ríkisaðilum ber að miðla gögnum sín á milli þegar þess gerist þörf til að veita betri opinbera þjónustu. Þessi skylda er þó vitaskuld háð skilyrðum, til að mynda að vinnsla upplýsinganna sé í samræmi við ákvæði laga um persónuvernd og vinnslu persónuupplýsinga. Hins vegar má almennt gera ráð fyrir að svo sé þegar þess er krafist af einum ríkisaðila að upplýsingar fylgi umsókn um nýtingu réttinda. Ekki verður séð að friðhelgi einkalífs umsækjenda sé betur tryggð með því að þeim sé gert að afla upplýsinga á einum stað til að koma þeim á næsta, heldur þvert á móti. Samhliða verður bersýnilega að tryggja að viðkomandi sé skýrlega gerð miðlun gagnanna ljós.
Í frumvarpinu er einnig gert ráð fyrir að gögnum sé miðlað milli ríkisaðila í öðrum tilgangi en að veita þjónustu í einstökum málum. Þannig getur greining upplýsinga sem einn ríkisaðili hefur undir höndum verið mikilvægt innlegg í eftirlit með þjónustunni, svo sem í umbótavinnu og stefnumótun.
Það verður hvers og eins ríkisaðila að taka afstöðu til þess á hvaða vinnsluheimild laga um persónuvernd og vinnslu persónuupplýsinga er byggt. Gera má ráð fyrir að litið verði til tegundar upplýsinganna sem er miðlað og eðlis þeirrar vinnslu sem á sér stað hjá móttakandanum. Ekkert í þessu frumvarpi kemur í veg fyrir að miðlunin byggist t.d. á samþykki einstaklingsins í vissum tilvikum en á nauðsyn í þágu almannahagsmuna eða við beitingu opinbers valds í öðrum. Hér með verður tekinn af allur vafi um að ríkisaðilar megi ekki standa þessari miðlun upplýsinga í vegi.
Að endingu er í frumvarpinu heimild til að setja reglugerð um annars vegar aðgengiskröfur til vefsetra opinberra aðila og smáforrita þeirra fyrir fartæki og hins vegar um sameiginlega stafræna gátt til að veita aðgang að upplýsingum, málsmeðferðarreglum og aðstoð og þjónustu til lausnar á vandamálum. Í báðum tilvikum er um að ræða innleiðingu á reglugerð og tilskipun sem hefur verið tekin upp í EES-samninginn. Tilgangurinn er að bæta opinbera þjónustu.
Við gerð frumvarpsins var litið til framkvæmdar annars staðar á Norðurlöndum og hjá öðrum þjóðum sem Ísland á í samstarfi við. Í Finnlandi hafa t.d. verið sett lög um upplýsingastjórnun í opinberri stjórnsýslu. Þá hafa á Írlandi verið sett lög um miðlun gagna milli ríkisaðila. Jafnframt má nefna þróunina í Evrópusambandinu þar sem unnið er að því að setja staðla í reglugerð.
4. Samræmi við stjórnarskrá og alþjóðlegar skuldbindingar.
Í frumvarpinu er kveðið á um skyldu ríkisaðila til miðlunar persónuupplýsinga, sem verndaðar eru af 71. gr. stjórnarskrárinnar. Sú skylda er hins vegar háð því skilyrði að vinnsla persónuupplýsinganna hjá móttakandanum sé heimil og uppfylli skilyrði laga um persónuvernd og vinnslu persónuupplýsinga. Í grunninn er í frumvarpinu ekki kveðið á um aukna miðlun persónuupplýsinga heldur er viðfangsefnið fyrst og fremst aðferðin við miðlun þeirra. Í þeim tilvikum sem persónuupplýsingum yrði miðlað á grundvelli ákvæða frumvarpsins, verði það samþykkt, þyrfti móttakandinn eftir sem áður heimild til vinnslu þeirra. Áfram yrði á ábyrgð hvers ríkisaðila að meta hvaða vinnsluheimild laga um persónuvernd og vinnslu persónuupplýsinga ætti við hverju sinni. Í einhverjum tilvikum gæti ríkisaðili ákveðið að byggja miðlunina á samþykki sem færi þá líklegast í flestum tilvikum fram þannig að einstaklingnum væri gefinn kostur á að samþykkja að ríkisaðili aflaði nauðsynlegra gagna beint frá öðrum. Yrði samþykkið ekki veitt þyrfti einstaklingurinn að afla þeirra sjálfur og ef hann gerði það ekki yrði honum eftir atvikum synjað um þjónustu. Í öðrum tilvikum gæti verið fullnægjandi að upplýsa um nauðsyn þess að afla upplýsinganna og að það yrði gert.
Að þessu virtu er ekki talið að með frumvarpinu sé gengið nærri stjórnarskrárvörðum rétti til friðhelgi einkalífs. Þá gefur efni frumvarpsins að öðru leyti ekki tilefni til að ætla að tillögur þess stangist á við stjórnarskrá eða alþjóðlegar skuldbindingar.
5. Samráð.
Til stóð að leggja frumvarpið fram árið 2024. Í aðdraganda þess fór fram samráð, bæði um áform um lagasetningu og drög að frumvarpi. Eftir samráðið tók frumvarpið nokkrum breytingum og því var samráð endurtekið sl. sumar.
Við undirbúning frumvarpsins var haft víðtækt samráð við sérfræðinga á sviði upplýsingatækni innan Stjórnarráðsins. Samráðshópur hittist reglulega við undirbúning áformanna. Þá var fundað með fulltrúum Samtaka iðnaðarins. Áform um lagasetningu voru auk þess kynnt í samráðsgátt stjórnvalda á vefnum Ísland.is 2. ágúst 2023 (nr. S-148/2023). Fimm umsagnir bárust, frá Persónuvernd, Vegagerðinni, ÖBÍ réttindasamtökum, Viðskiptaráði Íslands og Samtökum iðnaðarins og Samtökum upplýsingatæknifyrirtækja.
Vegagerðin gerði athugasemdir við áformin þar sem þau hentuðu þjónustu Vegagerðarinnar illa. Þá var þess óskað að leitað yrði leiða til að koma til móts við afstöðu stofnunarinnar.
Drög að frumvarpi voru kynnt í samráðsgátt stjórnvalda (nr. S-52/2024) 22. febrúar 2024. Fimm umsagnir bárust, frá ÖBÍ réttindasamtökum, Samtökum iðnaðarins, Sambandi íslenskra sveitarfélaga, Viðskiptaráði Íslands og Persónuvernd.
ÖBÍ réttindasamtök bentu í umsögn sinni á að ekki væri í frumvarpinu sérstaklega fjallað um að innviðir uppfylltu tiltekna aðgengisstaðla. Jafnframt er komið inn á að ekki sé minnst á fyrirhugaða innleiðingu Evrópugerða um aðgengismál. Í núverandi útgáfu frumvarpsins er heimild til að innleiða tilskipunina með reglugerð.
Viðskiptaráð Íslands fagnaði megininntaki frumvarpsins en lagði áherslu á að það myndi ekki fela í sér að dregið yrði úr útvistun verkefna og að ríkið gætti að þeim áhrifum sem umfang innkaupa þess gæti haft á markaðinn.
Samtök iðnaðarins fögnuðu einnig meginefni frumvarpsins, en áréttuðu mikilvægi þess að ríkið gætti sín í samkeppni við einkamarkaðinn um sérhæft starfsfólk og skilvirk útboð á upplýsingatæknimarkaði.
Jafnframt bárust ábendingar um að skýra mætti heimildir ráðherra samkvæmt frumvarpinu betur. Var þar sérstaklega vísað til heimilda ráðherra til að skilgreina og halda úti sameiginlegum stafrænum innviðum. Því var fjallað frekar um ákvæðið í greinargerð.
Einnig var lagt til að gildissvið 4. gr. yrði útvíkkað svo að það næði einnig til sveitarfélaga. Tekið er undir að sveitarfélögin séu lykilaðilar í veitingu þjónustu til borgaranna. Hins vegar falla þau utan gildissviðs frumvarpsins og ekki þykir að svo stöddu fýsilegt að útvíkka gildissvið einstakra greina. Að sama skapi er áréttað að ekki eru gerðar breytingar á sérstökum gjaldtökuheimildum stofnana í lögum.
Persónuvernd fjallaði í umsögn sinni um stöðu ábyrgðaraðila við vinnslu persónuupplýsinga samkvæmt lögum nr. 90/2018. Stofnunin tók þar fram að mikilvægt væri að ábyrgðaraðili færi með raunverulegt ákvörðunarvald um vinnslu persónuupplýsinga og aðferðir við hana. Þá áréttaði stofnunin að ávallt þyrfti að gæta að því að öryggi persónuupplýsinga væri tryggt á fullnægjandi hátt í samræmi við kröfur laganna.
Drög að frumvarpinu í núverandi mynd voru kynnt í samráðsgátt stjórnvalda á vefnum Ísland.is 11. júlí sl. (mál nr. S-142/2024). Umsagnir bárust frá Sjúkratryggingum Íslands, Persónuvernd, Samtökum iðnaðarins og Samtökum upplýsingatæknifyrirtækja og frá Reykjavíkurborg.
Í umsögn Sjúkratrygginga var lagt til að frekar yrði skýrt hvað fælist í nauðsynlegri gagnaöflun skv. 1. mgr. 4. gr. Gögn frá öðrum ríkisaðilum væru mikilvæg í starfseminni en hætt væri við að án nánari skýringar yrði ákvæðið skýrt þröngt og næði því ekki markmiði sínu. Sú breyting hefur orðið á frumvarpinu frá samráðinu að nú er kveðið á um skyldu ráðherra til að útfæra miðlun gagnanna í reglugerð, þ.m.t. hvenær skyldan sé til staðar. Í núverandi útgáfu frumvarpsins er nánari útlistun á í hvaða tilvikum gagnamiðlunin er heimil. Nánar verður fjallað um það efni í reglugerð.
Samtök iðnaðarins og Samtök upplýsingatæknifyrirtækja ítrekuðu sjónarmið sem komu fram í fyrri umsögn. Þar að auki lýstu þau áhyggjum af því að heimildir ráðherra til að kveða á um skyldu ríkisaðila til að nýta sameiginlega innviði og til að fela sérstakri starfseiningu eða ríkisaðila umsjón sameiginlegra stafrænna innviða gæti dregið úr hvötum til nýsköpunar og hamlað aðkomu einkamarkaðarins að upplýsingatækni í rekstri ríkisins. Af þessu tilefni er áréttað að um innkaup á sameiginlegum lausnum fer samkvæmt lögum um opinber innkaup. Þannig er gætt að sjónarmiðum um gagnsæi í innkaupum. Raunar má ætla að slík sjónarmið séu betur tryggð þegar innkaup fara fram miðlægt og umfangið er meira. Þá er með miðlægum innkaupum ólíklegra að komi til ólíkrar túlkunar á reglum eins og vísað var til í umsögninni. Ekki er því talið að athugasemdirnar gefi tilefni til breytinga á frumvarpinu.
Persónuvernd ítrekaði í umsögn sinni þau sjónarmið sem komu fram í fyrri umsögn. Þá voru sérstaklega gerðar athugasemdir við 4. gr. frumvarpsins, einkum um tilgang miðlunar samkvæmt ákvæðinu.
Verði frumvarpið að lögum er talið að í mörgum tilvikum muni það hafa áhrif á hver telst ábyrgðaraðili að vinnslu persónuupplýsinga. Ljóst er að þegar ríkisaðilar nota sameiginlega stafræna innviði ríkisins munu þeir oft ekki hafa ákvörðunarvald um aðferðir við vinnslu persónuupplýsinganna. Það mun hafa þau áhrif að skyldan til að gæta að því að aðferðin sé í samræmi við ákvæði laga flyst til þess sem tekur ákvörðunina, í þessu tilviki ráðherra. Þessi afstaða á sér m.a. stoð í nýlegum dómi Héraðsdóms Reykjavíkur í máli nr. E-4081/2023. Þó verða alltaf þættir sem ríkisaðilar munu þurfa að gæta að sjálfir, m.a. í tengslum við verklag við notkun lausnanna. Mikilvægt er að skilin þar á milli og skyldur hlutaðeigandi liggi ljósar fyrir strax í öndverðu.
Við smíði þeirra ákvæða frumvarpsins sem fjalla um miðlun persónuupplýsinga var haft samráð við persónuverndarfulltrúa Stjórnarráðsins. Þá var litið til og dreginn lærdómur af reynslu og löggjöf nágrannaþjóða. Í finnskum lögum er t.d. kveðið á um skyldu ríkisaðila til að miðla gögnum sín á milli þegar viðtakandi gagna hefur lagaheimild til að kalla eftir þeim. Að því sögðu hefur verið brugðist við athugasemdum Persónuverndar með því að kveða skýrt á um skyldu ráðherra til að setja reglugerð um hvernig ríkisaðilar skuli standa að miðlun gagna og undirbúningsathöfnum fyrir miðlunina, en um efni greinarinnar eftir breytingar er vísað til skýringa við 4. gr.
Að endingu lýsti Reykjavíkurborg þeirri afstöðu að í lögunum ætti að kveða skýrar á um aukið samstarf stjórnsýslustiganna í stafrænni þróun og aðkomu sveitarfélaga. Tekið er undir að sveitarfélög séu lykilaðilar í veitingu þjónustu til borgaranna. Að því sögðu falla þau utan gildissviðs frumvarpsins og ekki þykir að svo stöddu ástæða til að útvíkka gildissvið þess.
6. Mat á áhrifum.
Mat á áhrifum fyrirhugaðra laga er hér skoðað út frá þremur ólíkum þáttum:
Í fyrsta lagi er frumvarpið til þess fallið að hafa áhrif á opinber innkaup. Árleg innkaup ríkisaðila á upplýsingatækni eru á bilinu 12–15 milljarðar kr. árlega (hugbúnaður, hugbúnaðarþróun og rekstur). Með aukinni samræmingu upplýsingakerfa þvert á ríkisaðila sparast mikill tími í undirbúningi verkefna, í tilboðsgerð og í framkvæmd verkefna. Í því núverandi fyrirkomulagi er ríkisaðilum tiltölulega frjálst að velja þau viðmið sem þeir telja sjálfir ákjósanlegust. Þetta hefur leitt af sér nokkuð óhagræði. Rík áhersla hefur verið lögð á að ríkisaðilar hagnýti gögn í meira mæli. Það hefur þó reynst erfitt að mörgu leyti þar sem þeir hafa þróað kerfi hver með sínu nefi á síðustu áratugum. Erfiðleikarnir hafa t.d. falist í því að rýna þarf tæknilega skipan hvers kerfis fyrir sig til þess að átta sig á því hvernig hægt væri að deila eða tengja gögn saman. Með samræmdum tæknilegum viðmiðum væri hægt að stytta tíma í allri undirbúningsvinnu og framkvæmd. Ef hægt væri að ná 5% sparnaði í öllu ferlinu yrði árlegur sparnaður við innkaup 600–700 millj. kr. á ári.
Í öðru lagi eru væntingar um að með frumvarpinu náist rekstrarhagræði og aukin framleiðni án samsvarandi aukins kostnaðar. Samrekstur á upplýsingatækni í sameiginlegum innviðum er hagkvæmari en rekstur á upplýsingatækni í dreifstýrðu fyrirkomulagi. Þetta á við um þróun og rekstur á upplýsingakerfum innan ríkiskerfisins og hjá birgjum í útvistuðum kerfum. Sameiginlegir innviðir eru t.d. gagnagrunnar og upplýsingatæknikerfi sem innihalda gögn sem þarf að miðla milli ríkisaðila. Þeir þurfa að vera til þess fallnir að styðja við framþróun í rekstri og veitingu þjónustu hins opinbera sem reiðir sig á upplýsingatækni. Dæmi um slíka þróun og samrekstur eru lausnir á borð við stafræna kjarnaþjónustu verkefnastofu um Stafrænt Ísland. Miðlæg þróun og rekstur á ýmiss konar þjónustu sem kemur nær öllum ríkisaðilum og sveitarfélögum til góða er augljóslega hagkvæmara fyrirkomulag en ef hver og einn ríkisaðili þróar sömu lausnir sértækt og á eigin vegum. Dæmi um stafræna kjarnaþjónustu er stafrænt pósthólf, innskráning með rafrænni auðkenningu, umboðskerfi og umsóknarkerfi. Stafræn kjarnaþjónusta er enn fremur dæmi um þjónustu innan kerfis sem er þróuð af einkamarkaðinum að undangengnu útboði á vegum fjármála- og efnahagsráðuneytisins. Afurð þeirrar fjárfestingar er svo í umgjörð frjáls og opins hugbúnaðar sem nýtist öllum í framþróun, hvort sem er á einkamarkaði eða hjá hinu opinbera.
Þróun og rekstur á kerfum sameiginlegra innviða er einnig vel til þess fallinn að lúta sömu tæknilegu viðmiðum til þess að ná rekstrarhagræði. Verði slík viðmið fyrir hendi, þvert á ríkisaðila, krefst reksturinn, almennt viðhald og möguleg sérsmíði minna vinnuframlags en ef viðmiðin eru ekki sett. Dæmi um slíkt eru upplýsingakerfi sem hafa verið lengi í rekstri og hafa ekki þróast í takt við breytta tækni og gjarnan er vísað til sem arfleifðarkerfa. Stuðningur við kerfin er ekki lengur til staðar eða er mjög takmarkaður. Við fjárfestingu í uppfærslu, kaupum á stöðluðu eða sérsmíðuðu kerfi geta sameiginleg tæknileg viðmið stutt við aukna stöðlun, stærðarhagkvæmni og samþættingu kerfa í rekstri. Er þá ótalin aukin hagnýting þeirra gagna sem í kerfunum búa.
Í þriðja lagi er lagt upp með að bæta opinbera þjónustu. Upplýsingakerfi geyma gögn sem að jafnaði má hagnýta á tvo vegu. Annars vegar eru gögn sem varða einstaklinga eða fyrirtæki á einhvern hátt. Hins vegar eru annars konar gögn sem lýsa atvikum eða staðreyndum. Fyrri gerðina má hagnýta til að veita betri þjónustu, t.d. með því að gera þau aðgengileg stafrænt. Dæmi um gögn eru ýmiss konar skírteini og réttindi sem hægt er að sækja um, og fá afhent í gegnum stafrænt pósthólf. Rafræn þinglýsing skuldabréfa fyrir ökutæki eða íbúðarkaup er annað dæmi. Engum dylst hagkvæmnin sem felst í slíku fyrirkomulagi auk þess sem notendur fá betri þjónustu með lægri tilkostnaði og minna óhagræði fyrir þá sjálfa, t.d. með því að sleppa við að þurfa að mæta á staðinn. Á árinu 2022 voru gefin út 16.235 sakavottorð, þar af 81%, eða 13.101 rafrænt. Einfaldur útreikningur fyrir þessa einu gerð af gögnum sýnir að jafn margar heimsóknir til sýslumanna spöruðust og tíminn sem að öðrum kosti hefði farið í allt ferlið frá upphafi til enda samsvarar 2.250 klst. Því aðgengilegri sem gögnin eru og þau sett í rétt samhengi þeim mun betra verður undirlag ákvarðana. Með því að samræma tæknileg viðmið er stefnt að því að draga úr fyrirkomulagi sem gerir erfiðara en ella að bæta þjónustu og ákvarðanatöku með nýtingu gagna.
Verði frumvarpið að lögum er ekki gert ráð fyrir að það hafi veruleg áhrif á ríkissjóð, enda eru mörg verkefni tengd stafvæðingu og upplýsingatækni nú þegar á fjárlögum.
Um einstakar greinar frumvarpsins.
Um 1. gr.
Gildissvið fyrirhugaðra laga er afmarkað við ríkisaðila í A1- og A2-hluta skv. 50. gr. laga um opinber fjármál, nr. 123/2015, sbr. 13. tölul. 3. gr. sömu laga. Þau munu því ná einvörðungu til þeirra sem fara með kjarnaverkefni ríkisins og starfa ekki á markaði, en óeðlilegt þykir að með löggjöf sé kveðið á um hvernig aðrir ríkisaðilar skulu haga upplýsingatæknimálum.
Um 2. gr.
Samræmd tæknileg skipan er einnig til þess fallin að gera ríkisaðilum hægara um vik að bæta þjónustu heildstætt, t.d. með því að miðla nauðsynlegum gögnum sín á milli í stað þess að almenningur þurfi að sækja gögn til eins ríkisaðila til að afhenda þau öðrum. Traustur rammi er einnig líklegur til að stuðla að aukinni nýsköpun, t.d. þegar nýjar lausnir uppfylla hin opinberu samræmdu viðmið þá fylgi þeim gæðastimpill. Þá eru ónefnd öryggissjónarmið, en líkurnar á að fyrirkomulag á skipan upplýsingatæknimála hjá einstökum ríkisaðilum sé ekki fullnægjandi eru umtalsvert meiri hafi þeir engin viðmið til að fara eftir.
Um 3. gr.
Um 4. gr.
Í greininni er afmarkað í hvaða tilgangi ríkisaðilum er heimilt að miðla gögnum sín á milli. Í fyrsta lagi er kveðið á um að miðlun gagna sé heimil til að ríkisaðilar geti sinnt lögbundnu hlutverki sínu og verkefnum. Með því er átt við að í lögum sé kveðið á um að ríkisaðili eigi að sinna ákveðnu verkefni og til þess þarf hann gögn sem eru í vörslu annars ríkisaðila. Honum er þá heimilt að óska eftir gögnunum frá þeim ríkisaðila sem hefur gögnin í sinni vörslu þótt að það standi ekki skýrum orðum í viðkomandi lögum. Í öðru lagi getur miðlun verið heimil í tilvikum þar sem hún er til þess fallin að létta fjárhags- eða stjórnsýslubyrði af umsækjanda um þjónustu. Með því er átt við að ríkisaðili sæki gögn til annars ríkisaðila í því skyni að veita einstaklingi þjónustu eða afgreiða erindi, sem einstaklingurinn hefði annars sjálfur þurft að sækja og skila til viðkomandi ríkisaðila. Í þriðja lagi getur miðlunin verið heimil til að auðvelda stjórnun, umsjón og eftirlit með þjónustu og til að greiða fyrir umbótum og markvissum úrbótum á þjónustunni, til að meta, hafa umsjón með eða endurskoða og auðvelda greiningu á skipulagi eða aðferðum við veitingu hennar. Sama á við um stefnumótun á ákveðnum sviðum. Þetta er í samræmi við skilgreiningu á nauðsyn vinnslu samkvæmt ákvæðum laga nr. 90/2018. Hvað síðustu tvö atriðin varðar er gert ráð fyrir að sjaldnast sé þörf á að miðla persónugreinanlegum gögnum heldur ætti almennt að nægja að miðla gögnum sem hafa verið gerð ópersónugreinanleg.
Eins og áður hefur komið fram er öll miðlun samkvæmt ákvæðinu háð því ófrávíkjanlega skilyrði að hún sé í samræmi við ákvæði laga nr. 90/2018. Í raun er þetta ákvæði til fyllingar þeim reglum sem þar koma fram til að taka af allan vafa um hvernig standa skuli að miðlun gagna í þessum tilvikum. Ríkisaðilar þurfa eftir sem áður að gæta að þeim skyldum sem lögin mæla fyrir um, svo sem um upplýsingaskyldu og að vinnslan sé ekki óþörf til að ná því marki sem stefnt er að.
Í ljósi þeirra ríku krafna sem eru gerðar til skýrleika heimilda um vinnslu persónugreinanlegra upplýsinga í persónuverndarlögum er rétt að ráðherra verði gert að setja reglugerð um nánari framkvæmd þessa ákvæðis, sbr. 3. tölul. 6. gr. frumvarpsins. Í reglugerðinni verður nánar fjallað um hvernig stjórnvöld skuli standa að miðlun gagna sín á milli á grundvelli þessara laga, verði frumvarpið samþykkt, og útfært nánar í hvaða tilgangi ríkisaðilar megi miðla gögnum sín á milli.
Í 2. mgr. er tekinn af allur vafi um að skyldan nái ekki til miðlunar viðkvæmra persónuupplýsinga. Ströng skilyrði til þeirrar miðlunar samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga, m.a. um skýrleika vinnsluheimilda, koma í grunninn í veg fyrir að miðlun þeirra fari fram á grundvelli þessa ákvæðis en engu að síður þykir rétt að taka það sérstaklega fram.
Um 5. gr.
Í 3. mgr. er kveðið á um heimildir ráðherra. Skv. a-lið er ráðherra heimilt að ganga til samninga um kaup á upplýsingatæknilausnum sem teljast til sameiginlegra stafrænna innviða. Þegar ríkið kemur fram sem ein heild er hægt að ná fram hagræðingu með því að nýta innkaupastyrk þess. Að öðru leyti vísast til röksemda fyrir samræmingu á skipan upplýsingatækni.
Samkvæmt b-lið er ráðherra heimilt að ákveða hvort og að hvaða marki ríkisaðilum sé skylt að nota sameiginlega stafræna innviði. Sem fyrr segir er ákvörðun um að innviðir skuli vera sameiginlegir ekki tekin nema veigamikil rök standi til þess. Í einhverjum tilvikum, hvort heldur sem ákvörðunin er tekin af hagkvæmnis- eða samræmingarsjónarmiðum, getur ávinningurinn verið háður því að innviðirnir séu notaðir heildstætt meðal ríkisaðila. Það á til að mynda við þegar innviðirnir eru háðir kaupum á hugbúnaðarleyfum sem verður ofgreitt fyrir séu þau ekki í almennri notkun. Ekki er gert ráð fyrir að ráðherra beiti þessari heimild nema í þeim tilvikum þegar það er nauðsynlegt til að ná fram því markmiði sem stefnt er að.
Samkvæmt c-lið er ráðherra heimilt að fela öðrum ríkisaðila rekstur og umsjón sameiginlegra stafrænna innviða. Talið er skynsamlegt að áfram verði unnið að því að byggja upp sérhæfða þekkingu á umræddu sviði innan ríkisins, sérstaklega að því virtu að rekstur og umsjón sameiginlegra stafrænna innviða er líkleg til að vera umfangsmikil og mikilvægt að einn aðili hafi heildaryfirsýn yfir reksturinn. Markmiðið með því að fela daglega umsýslu sérhæfðum aðila er að bæta hana, sem gefur ráðherra betra svigrúm til að fara með stefnumótunarhlutverk sitt á málefnasviðinu.
Í d-lið er kveðið á um möguleika ráðherra til að veita öðrum en ríkisaðilum heimild til að nýta sameiginlega stafræna innviði ríkisins. Vel er hægt að ímynda sér aðstæður þar sem slíkur aðgangur væri til þess fallinn að ýta undir nýsköpun og þróun á tæknilausnum. Þá getur þetta átt við í þeim tilvikum sem einkaaðilar veita ríkisaðilum þjónustu á sviði upplýsingatækni sem krefst þess að þeir séu hluti af hinu heildstæða kerfi sameiginlegra stafrænna innviða. Þá getur jafnframt verið hagræði af því fyrir rekstur ríkisaðila að aðrir en þeir nýti innviðina. Slík ákvörðun skal vitaskuld byggjast á heildstæðu mati á þeim hagsmunum sem eru til grundvallar, þar á meðal með tilliti til samkeppnissjónarmiða.
Í e-lið er kveðið á um heimild ráðherra til að setja gjaldskrá vegna notkunar á sameiginlegum stafrænum innviðum. Í gjaldskrá yrði m.a. endurgjald ríkisaðila vegna beins kostnaðar sem hlýst af notkun þeirra. Það á sérstaklega við þegar uppi eru aðstæður þar sem tilteknar lausnir eru keyptar miðlægt til notkunar hjá mörgum ríkisaðilum. Í dreifstýrðu kerfi þurfa allir ríkisaðilar, hver fyrir sig, að afla sér lausnanna og greiða fyrir. Þegar þeirra er aflað miðlægt hefur hins vegar ráðherra, sem samningsaðili við birgja, staðið skil á greiðslum og beint endurkröfu til hvers ríkisaðila. Jafnframt skal ákveðið hvort gjald skuli tekið fyrir notkunina þegar ráðherra hefur heimilað öðrum en ríkisaðilum aðgang að sameiginlegum stafrænum innviðum. Heimilt væri að miða fjárhæð gjaldsins við að það stæði undir bæði jaðarkostnaði við að veita aðgang að innviðunum, hluta fasts kostnaðar við rekstur þeirra og hluta stofnkostnaðar.
Um 6. gr.
Í 1. tölul. er heimild til að setja reglugerð um nánari útfærslu á skipan upplýsingatækniverkefna. Markmiðið er að hægt verði að stuðla að skilvirkri og markvissri fjárfestingu í upplýsingakerfum og upplýsingatækni. Í því skyni er mikilvægt að kostur sé á því að forgangsraða fjárfestingu á upplýstan og samræmdan hátt. Til að það geti orðið að veruleika verður fyrirkomulag ákvarðana um fjárfestingu að byggjast á heildstæðri framtíðarsýn fyrir viðfangsefnið. Hér er jafnframt gert ráð fyrir að ráðherra setji tæknileg viðmið.
Í 2. tölul. er heimild til að setja reglugerð um tæknilega skipan á öruggu gagnaskipalagi og nánari reglur um miðlun gagna milli ríkisaðila. Mikilvægt er að tæknileg skipan öruggs gagnaskiptalags sé í samræmi við það sem almennt telst til bestu venja á markaði, auk þess að vera fullnægjandi út frá notendaupplifun og öryggi. Eðlilegt er að kveðið sé á um nákvæmari tækniútfærslur í reglugerð. Þá er gert ráð fyrir að ráðherra setji jafnframt í reglugerð nánari fyrirmæli um miðlun ríkisaðila á gögnum. Þar yrði mælt fyrir um í hvaða tilvikum miðlunin sé heimil og sambandið milli ríkisaðilanna, þess sem miðlar og þess sem móttekur.
Í 3. tölul. er fjallað nánar um heimild ráðherra til að fjalla um miðlun gagna í reglugerð. Í fyrsta lagi má í reglugerðinni kveða á um hvernig opinberir aðilar sem miðla gögnum sín á milli skuli sameiginlega standa að ákvörðun þar um. Eðlilegt er að slíkt samkomulag sé formlegt. Þar skal m.a. koma fram hvaða upplýsingum verði miðlað, í hvaða tilgangi, á grundvelli hvaða lagaheimildar, skiptingu ábyrgðar og hvort vinnslan verði viðvarandi eða tilfallandi, auk annarra atriða sem nauðsynlegt er að liggi fyrir áður en gögnum er miðlað og verða nánar útfærð í reglugerð. Ákveðið var að mælt yrði fyrir um þessi atriði í reglugerð frekar en ítarlega í lagaákvæði. Ástæðan fyrir því er að upplýsingatækni tekur hröðum breytingum sem og það tækniumhverfi sem stjórnsýslan býr við. Að sama skapi geta þarfir ríkisaðila til gagna breyst. Mikilvægt er að hægt sé að bregðast fljótt við breyttum aðstæðum, sem verður frekar gert í reglugerð.
Í öðru lagi er lagt til að í reglugerðinni verði kveðið nánar á um í hvaða tilgangi gögnunum skuli miðlað. Gert er ráð fyrir að þar verði lögð áhersla á tilvik þar sem gögnin nýtist til að bæta opinbera þjónustu, hvort sem er í einstökum tilvikum eða heildstætt, t.d. þegar gögnin eru notuð í umbóta- eða greiningarskyni af opinberum aðila sem hefur verið falið slíkt hlutverk eða þegar hægt er að nota gögnin til að létta stjórnsýslubyrði af almenningi.
Í þriðja lagi er lagt til að í reglugerðinni verði kveðið á um heimildir ráðherra til að taka ákvörðun um miðlun gagna milli tiltekinna ríkisaðila. Slík fyrirmæli skulu byggjast á sömu forsendum og sameiginleg ákvörðun stofnana um miðlun gagna og skal tekin að höfðu samráði við fagráðherra og stofnanirnar sem hún tekur til.
Í fjórða lagi er lagt til að kveðið verði á um takmarkanir sem eðlilegt er að gera á miðlun gagna skv. 1. mgr. 4. gr. Þannig á ákvæðið vitaskuld ekki við í þeim tilvikum þar sem mælt er fyrir um í sérlögum hvernig ríkisaðili skuli miðla gögnum. Þá er ekki hægt að byggja miðlun viðkvæmra persónuupplýsinga á ákvæðinu. Hins vegar er rétt að árétta að miðlun viðkvæmra persónuupplýsinga samkvæmt sérstakri lagaheimild getur og skal fara eftir reglum skv. e-lið um varúðarráðstafanir og með öruggu gagnaskiptalagi skv. f-lið. Eðlilegt er að þessi atriði séu áréttuð og skýrð í reglugerð.
Í fimmta lagi er lagt til að kveðið verði nánar á um varúðarráðstafanir vegna miðlunar gagna, þar á meðal öryggisráðstafanir sem tengjast miðluninni og réttindi einstaklinga.
Í sjötta lagi er lagt til að kveðið verði á um öruggt gagnaskiptalag sem ríkisaðilum ber að nota í gagnasamskiptum. Með gagnaskiptalagi er átt við aðferð við miðlun gagna milli upplýsingakerfa. Með því er stefnt að því að tryggja örugga og skilvirka miðlun gagna. Fjöldi ríkisaðila er nú tengdur við Strauminn sem er gagnaflutningslag sem ætlað er að auðvelda samskipti milli upplýsingakerfa og uppfyllir þau skilyrði sem almennt eru gerð til gagnasamskipta.
Í 4. tölul. er heimild til að setja reglugerð um sameiginlega stafræna innviði. Meðal atriða sem má útfæra í reglugerð eru hverjir sameiginlegir stafrænir innviðir séu og hvaða þjónustu hverjum þeirra sé ætlað að sinna. Í ljósi almennrar ábyrgðar forstöðumanna á starfsemi stofnana samkvæmt ákvæðum laga er ekki gert ráð fyrir að ráðherra taki ákvörðun um að tilteknir stafrænir innviðir skuli vera sameiginlegir nema mat leiði í ljós veigamikil rök til þess. Ekki eru efni til að tæmandi telja hver þau rök geti verið. Hins vegar er viðbúið að ákvörðunin muni í flestum tilvikum byggjast á hagkvæmnis- og/eða samræmingarsjónarmiðum. Möguleikinn á sameiginlegum miðlægum innkaupum á tæknilausnum er þannig til þess fallinn að spara ríkinu umtalsverðar fjárhæðir. Jafnframt er augljós akkur í því að losa ríkisaðila undan ákvörðunum um hvernig skuli reka tiltekna stafræna innviði þannig að uppfyllt séu skilyrði laga, en þegar sameiginlegir stafrænir innviðir eru reknir miðlægt nær það jafnframt til þeirrar grunnvinnu. Er þá m.a. átt við áhættumat.
Einnig mætti í reglugerð fjalla um hvernig umsjón og rekstri sameiginlegra stafrænna innviða verður háttað, svo sem ef ráðherra felur öðrum ríkisaðila að annast rekstur og umsjón þeirra.
Jafnframt væri í reglugerð kveðið á um tækniforskriftir og öryggisviðmið sem sameiginlegir stafrænir innviðir skulu vera í samræmi við, en mikilvægt er að þeir séu útfærðir þannig að ríkisaðilar geti verið fullvissir um að með notkun þeirra sé ekki brotið gegn ákvæðum laga, svo sem um upplýsingaöryggi eða persónuvernd. Einnig yrði í reglugerðinni kveðið á um hvaða sameiginlegu stafrænu innviði ríkisaðilum væri skylt að nota.
Í 5. tölul. er heimild til að kveða með reglugerð á um aðgang annarra en ríkisaðila að sameiginlegum stafrænum innviðum ríkisins. Vísast nánar í umfjöllun um þá heimild í skýringu við 4. gr.
Í 6. tölul. er kveðið á um heimild til að setja reglugerð um aðgengi vefsetra opinberra aðila og smáforrita þeirra fyrir fartæki, en með fartækjum er átt við búnað eins og t.d. snjallsíma og spjaldtölvur. Með því yrði innleidd tilskipun Evrópuþingsins og ráðsins (ESB) nr. 2016/2102 frá 26. október 2016 um sama atriði. Markmiðið með tilskipuninni er að tryggja fullnægjandi aðgengi að vefsetrum opinberra aðila og smáforritum þeirra fyrir fartæki, stuðla að því að frá upphafi sé gætt að aðgengi fatlaðs fólks og aðgengisstaðlar innan Evrópusambandsins séu samræmdir. Í henni er kveðið á um nokkrar grunnkröfur fyrir opinbera aðila þar sem ber að:
* hafa aðgengisyfirlýsingu fyrir hvert vefsetur þar sem gerð er grein fyrir þeim skrefum sem hafa verið tekin til að gera efnið aðgengilegt og þekktum hindrunum á aðgengi,
* hafa endurgjafarkerfi þar sem notendur geta tilkynnt um aðgengisvandamál eða óskað eftir aðgangi að óaðgengilegu efni,
* fylgja viðeigandi stöðlum um aðgengi að vefnum, en þar er einkum vísað til Web Content Accessibility Guidelines (WCag) 2.1 Level AA.
Í 7. tölul. er heimild til að setja reglugerð um sameiginlega stafræna gátt til að veita aðgang að upplýsingum, málsmeðferðarreglum og aðstoð og þjónustu til lausnar á vandamálum. Með því yrði innleidd reglugerð Evrópuþingsins og ráðsins (ESB) 2018/1724 frá 2. október 2018. Markmiðið með reglugerðinni er að draga úr viðbótarstjórnsýsluálagi á borgara og fyrirtæki sem nýta eða vilja nýta réttindi sín á innri markaðinum, útrýma mismunum og tryggja starfsemi innri markaðarins að því er varðar veitingu upplýsinga og þjónustu til lausnar á vandamálum. Með reglugerðinni er komið á fót einni stafrænni gátt þar sem einstaklingar og lögaðilar geta nálgast þjónustu og upplýsingar um hana.
Um 7. gr.
Um 8. gr.
Um 9. gr.
