Krav för godkännande av leverantör – digital post

Infrastrukturen Mina meddelanden

Digg tillhandahåller idag en myndighetsgemensam infrastruktur för digital post. Infrastrukturen har namnet Mina meddelanden.

Genom infrastrukturen kan offentliga aktörer skicka digital post till enskilda. Leverantörer av digitala brevlådor som är ansluta till Mina meddelanden tar emot och tillgängliggör den digitala posten som offentliga aktörer skickar till enskilda.

Idag finns fyra digitala brevlådor anslutna till Mina meddelanden. Dessa är Billo, Fortnox, Kivra och Min myndighetspost. Den statliga digitala brevlådan Min myndighetspost har av PTS bedömts vara en betrodd tjänst.

För att godkännas som leverantör av digitala brevlådor och ansluta till infrastrukturen behöver leverantören idag leva upp till de krav som Digg ställer i Allmänna villkor för Mina meddelanden och teckna anslutningsavtal med Digg.

Anslutning till Mina meddelanden ska ske genom auktorisationssystem

I och med att lagen (2023:704) om auktorisationssystem i fråga om tjänster för elektronisk identifiering och för digital post införts kommer leverantörer som vill ansluta till Mina meddelanden framgent behöva godkännas och ingå avtal med Digg om att ansluta till auktorisationssystem för digital post. Digg ser framför sig att leverantörer därefter kommer kunna ansluta till Mina meddelanden efter ytterligare en granskning. Detta innebär att ett ansökningsförfarande med tillhörande prövning blir ett nytt första steg för leverantörer, jämfört med dagens process.

Enligt lagen om auktorisationssystem ska Digg ska ställa upp de krav som ska gälla för att leverantörer som ansöker om godkännande om anslutning till auktorisationssystem för digital post ska godkännas. Ett godkännande är en förutsättning för att Digg ska kunna ingå avtal med leverantören om att utföra sådana tjänster.

Krav för att godkänna leverantörs ansökan

Syftet med lagen om auktorisationssystem är inte att förändra kraven på leverantörer av digitala brevlådor utan det är ett sätt för offentliga aktörer att skaffa tjänster för digital post och ett sätt för leverantörer av digitala brevlådor att erhålla ersättning för de tjänster som de utför.

Det nya regelverket innebär att Digg behöver göra en översyn av befintliga krav som ställs på leverantörer inom Mina meddelanden. Digg behöver också förhålla sig till de nya krav som ställs i lagen om auktorisationssystem.

Digg arbetar med att se över kraven och som ett led i det arbetet har Digg i ett tidigt skede identifierat vissa krav som Digg ser skulle kunna aktualiseras vid en granskning av om en leverantörs ansökan om anslutning till auktorisationssystem för digital post ska godkännas. De kraven kommer att redovisas i det följande.

Digg vill tydliggöra att det inte är de enda krav som Digg avser att ställa på leverantörer, utan de är krav som Digg identifierat i ett tidigt skede och önskar era synpunkter på nu. Befintliga krav som gäller inom Mina meddelanden kommer fortsatt att gälla för anslutning till Mina meddelanden, men även dessa kommer att ses över. Digg avser inte att ta bort några krav som ställs på leverantörer av digitala brevlådor idag, däremot kan det finnas anledning att flytta, förändra och lägga till vissa krav. Digg avser att, på olika sätt under perioden juni-september, även inhämta synpunkter på dessa krav.

Instruktion för att lämna synpunkter och svar

I det följande finns olika krav formulerade som ska gälla vid granskning av en leverantörs ansökan om godkännande och i förekommande fall finns även frågeställningar som Digg önskar svar på.

Digg tar tacksamt emot era synpunkter och svar genom att ni inkommer med svar och synpunkter i ett separat word-dokument.

Om ni lämnar era synpunkter och svar på detta sätt är det möjligt för Digg att arbeta vidare med inkomna synpunkter och svar. Skriftliga svar och synpunkter lämnas senast den 11 juni 2024, till registrator@digg.se. Ange diarienummer 2024-3372

Utkast till krav på för godkännande av leverantörers ansökan – digital post

För att godkänna en leverantörs ansökan om anslutning till auktorisationssystem för digital post överväger Digg att uppställa bland annat följande krav:

Krav 1

Leverantörer som ansöker om anslutning till auktorisationssystem för digital post ska vara väl införstådda med de krav som gäller för brevlådeoperatörers anslutning till infrastrukturen Mina meddelanden.

Med digital brevlåda avses elektroniska postbefordringstjänster och elektroniska brevlådor som leverantörer tillhandahåller för att ta emot och tillgängliggöra digital post för en enskild på uppdrag av enskild.

Leverantören ska intyga att den vid tidpunkten för ansökan är väl införstådd med de krav som gäller för brevlådeoperatörers anslutning till infrastrukturen Mina meddelanden.

Fråga

Syftet med kravet är att säkerställa att leverantörer är införstådda med de krav som ställs på brevlådeoperatörer inom infrastrukturen Mina meddelanden för att de ska utveckla sina tjänster och sin verksamhet på ett sätt som är i enlighet med dessa krav. Bör kravet utformas på något annat sätt? Motivera.

Krav 2

Leverantörer ska intyga att den vid tidpunkten för ansökan tillhandahåller en eller flera digitala brevlådor som ska kunna anslutas till infrastrukturen Mina meddelanden.

Om leverantören vid tidpunkten för ansökan inte tillhandahåller en eller flera digitala brevlådor ska leverantören kunna uppvisa dokumentation som visar att leverantören kommer att tillhandahålla en eller flera digitala brevlådor, som kan anslutas till Mina meddelanden inom sex månader från det att ansökan lämnats in.

Frågor

• Ser ni att ett krav på att leverantörer ska tillhandahålla en digital brevlåda vid tidpunkten för ansökan skulle kunna uppfattas som oproportionerligt? Motivera.
• Vilken typ av dokumentation skulle Digg kunna kräva i en situation där en leverantör ännu inte tillhandahåller en digital brevlåda vid tidpunkten för ansökan? Frågan ställs öppet och kan avse allt från teknisk dokumentation till affärsplaner etc.

Krav 3

Leverantörer som ansöker om godkännande om anslutning till auktorisationssystem ska vara registrerade i ett nationellt register som förs i det land där leverantören har sitt säte. Verksamheten ska senast vid avtalstecknande drivas som en i Sverige registrerad juridisk person eller som ett inom Europeiska ekonomiska samarbetsområdet registrerat bolag i en form motsvarande svenskt aktiebolag.

Till ansökan ska leverantören bifoga underlag i form av ett utdrag eller bevis ur ett nationellt register som styrker registreringen. Underlaget ska avse de förhållanden som gäller vid tidpunkten för ansökan och får inte vara äldre än en månad. För bolag registrerade i Sverige har Digg möjlighet att inhämta utdrag ur nationella register.

Fråga

Syftet med kravet är bland annat att kunna identifiera vem det är som ansöker om godkännande. Är det rimligt att ställa krav på att dokumentationen inte får vara äldre än en månad eller bör tiden vara längre?

Krav 4

Leverantörer ska förfoga över tillräckliga ekonomiska medel för att bedriva verksamheten under minst ett år.

Frågor

• Är ett år tillräckligt lång tid för att bedriva sin verksamhet eller bör kravet avse en längre tidsperiod? Motivera.
• Vilken typ av kontroller/vilka underlag bör Digg kräva in för svenska respektive utländska leverantörer för att kontrollera att kravet uppfylls?
• Nystartade företag kan ha svårt att visa att de förfogar över tillräckliga ekonomiska medel för att bedriva sin verksamhet under minst ett år. Finns det någon särskild dokumentation eller annan information som är viktig att Digg tar hänsyn till vid bedömningen av leverantörens förmåga att bedriva verksamheten?

Krav 5

Leverantörer ska för sin verksamhet ha ett ledningssystem för informationssäkerhet (LIS) som i tillämpliga delar baseras på ISO/IEC 27001 eller motsvarande.

Leverantören ska kunna tillhandahålla bevis på certifiering enligt ISO/IEC 27001 eller motsvarande, eller tillhandahålla dokumentation över sitt LIS.

Fråga

Digg anser att det är centralt att leverantörer av digitala brevlådor har ett ledningssystem för informationssäkerhet då leverantören i sin verksamhet bland annat hanterar (eller kommer att hantera) känsliga personuppgifter, information som skyddas av sekretess och även viss säkerhetskänslig information. Ser ni någon risk för att ett sådant krav skulle kunna uppfattas som oproportionerligt att ställa vid tidpunkten för godkännande av leverantörens ansökan? Motivera.

Krav 6

Leverantörers digitala brevlådor (inklusive tjänster och personal) ska utformas på ett sätt inom innebär att digital post inte hanteras utanför EU/EES. Kravet gäller även om leverantörer anlitar underleverantörer.

Leverantörer ska intyga att digital post inte hanteras utanför EU/EES.

Fråga

För att inte riskera att de uppgifter som förekommer i digital post hanteras i strid med gällande regler för bland annat personuppgiftshantering är det av största vikt att digital post inte hanteras utanför EU/EES. Anser ni att kravet borde utformas på ett annat sätt? Motivera.

Digg avser att inför anslutning till Mina meddelanden kontrollera leverantörens digitala brevlåda mer ingående för att säkerställa att ingen del av leveransen sker utanför EU/EES.

Krav 7

1. I 11 § lag om auktorisationssystem Länk till annan webbplats. anges att Digg får besluta att avslå en ansökan om anslutning för en leverantör som
2. är i konkurs eller likvidation, är under tvångsförvaltning, genomgår företagsrekonstruktion, tills vidare har inställt sina betalningar eller är underkastad näringsförbud,
3. är föremål för ansökan om konkurs, tvångslikvidation, företagsrekonstruktion eller något annat liknande förfarande,
4. genom en dom som har fått laga kraft är dömd för brott som avser yrkesutövningen,
5. kan visas ha gjort sig skyldig till allvarligt fel i yrkesutövningen,
6. inte har fullgjort sina skyldigheter i fråga om socialförsäkringsavgifter eller skatt i hemlandet eller i en annan stat inom Europeiska ekonomiska samarbetsområdet, eller
7. i något väsentligt avseende har låtit bli att lämna upplysningar eller har lämnat felaktiga upplysningar när uppgifter har begärts med stöd av 12 §.

Om leverantören är en juridisk person, får Digg därutöver besluta att avslå leverantörens ansökan om en företrädare för den juridiska personen har dömts för ett sådant brott som avses i punkt 3 eller har gjort sig skyldig till ett sådant fel som avses i punkt 4.

Fråga

Av förarbetena till bestämmelsen framgår att uppräknade förutsättningar inte medför en skyldighet för Digg att avslå en leverantörs ansökan, utan att det ska betraktas som en möjlighet. Ser ni någon anledning till att ändå godkänna en leverantörs ansökan om någon av ovanstående förutsättningar föreligger? Är någon förutsättning särskilt viktig? Motivera.

Krav för anslutning till Mina meddelanden

Arbetshypotesen är att när en leverantörs ansökan om anslutning till auktorisationssystem har godkänts och Digg har ingått avtal med leverantören kommer Digg granska leverantören och ta ställning till om den uppfyller kraven för att ansluta till Mina meddelanden. Digg kommer då bland annat utgå från kraven i Bilaga 1 till Allmänna villkor för Mina meddelanden.

Digg kommer att behöva se över dessa krav då vissa krav behöver flyttas eller omformuleras. Digg skulle uppskatta om ni tar er tid att läsa igenom kraven och lämna konstruktiva förslag till förändringar och förbättringar av kraven i syfte att säkerställa att infrastrukturen uppfyller högt ställda krav på informationssäkerhet och skyddet för den personliga integriteten.

Digg överväger även att ställa krav på att leverantörer av digitala brevlådor ska leva upp till de krav som ställs för betrodda tjänster och samhällsviktig verksamhet. Är det lämpligt att Digg hänvisar direkt till tillämpliga regelverk (exempelvis säkerhetsskyddslagen [2018:585] och NIS-2) eller bör Digg omformulera dessa krav?