Digital portal for informasjon om det indre marked: gjennomføringsbestemmelser
Nærmere omtale
BAKGRUNN (fra departementets EØS-notat, sist oppdatert 29.3.2023)
Sammendrag av innholdet
«The once-only technical system» (OOTS) skal muliggjøre en enkel og trygg utveksling og gjenkjenning av relevant dokumentasjon som sendes via den den digitale portalen (som opprettes gjennom forordning (EU) 2018/1724 om etablering av en felles digital portal for informasjon, prosedyrer, assistanse og problemløsningstjenester og om endring av forordning (EU) nr. 1024/2012 (SDG-forordningen), jf. art. 2).
Det sentrale prinsippet som OOTS-systemet bygger på er at brukeren kun skal behøve å fremlegge dokumentasjon én gang; gjennom OOTS skal altså tidligere innsendt/generert dokumentasjon kunne gjenbrukes og på den måten forenkle administrative prosedyrer for brukerne. Gjennom at OOTS brukes via den digitale prosedyreportalen vil grensekryssende prosedyrer for brukerne forenkles ved at de også kan legge frem relevant dokumentasjon til bruk i saksbehandlingen i andre EU-land. Forutsetningen for dette er at myndigheter som sitter på relevant dokumentasjon skal kunne utveksle denne med andre lands myndigheter på en sikker og tillitvekkende måte, og at man kan avdekke hva som er den korresponderende dokumentasjonen i de respektive medlemslandene.
Kommisjonens gjennomføringsforordning (EU) 2022/1463 av 5. august 2022 om fastsettelse av de tekniske og operasjonelle spesifikasjoner for det tekniske systemet for automatisert utveksling av bevis over landegrensene og anvendelse av "kun-en-gang-prinsippet" jf. europaparlaments- og rådsforordning (EU) 2018/1724 (gjennomføringsforordningen) fastsetter hvordan OOTS skal struktureres, hvordan systemet skal fungere og hvilke prinsipper som skal ligge til grunn for utveksling av dokumentasjon.
Gjennomføringsforordningen er delt inn i 11 kapitler (fra offisiell dansk EU-tekst): 1) Almindelige bestemmelser; 2) OOTS’ tjenester; 3) Dokumentationsansøgere; 4) Dokumentationsudbydere, 5) OOTS’ logsystem; 6) Forvaltningen av OOTS; 7) Teknisk støtte; 8) Samarbejde med andre forvaltningsstrukturer; 9) Ansvar for vedligeholdelse og drift af komponenter i OOTS; 10) Sikkerhed; 11) Afsluttende bestemmelser.»
Gjennomføringsforordningen vil komplementeres av mer detaljerte, ikke-bindende tekniske design-dokumenter som lages i samarbeid mellom Kommisjonen og EU-medlemsstatene.
Grunnet budsjettmessige konsekvenser tas det forbehold om Stortingets samtykke til å innlemme rettsakten i EØS-avtalen, jf. EØS-avtalen art. 103.
Bakgrunn
I SDG-forordningen fremgår det at Kommisjonen skal fastsette gjennomføringsrettsakter som skal angi de tekniske og operasjonelle spesifikasjonene til systemet for utveksling av dokumentasjon ("bevis") som omtalt i SDG-forordningen art. 14.
SDG-forordningen fastsetter blant annet at brukerne (personer og virksomheter) kan benytte den digitale portalen til å gjennomføre enkelte utvalgte prosedyrer på tvers av landegrenser. De sentrale prosedyrene som det enkelte medlemsland må opprette digital tilgang til er fastsatt i vedlegg II til SDG-forordningen. En av forutsetningene for at prosedyrene også skal kunne gjennomføres over landegrensene er at det på en sikker måte kan utveksles relevant dokumentasjon mellom de respektive lands myndigheter på brukernes oppfordring.
Videre fastsetter SDG-forordningen bestemmelser om en mekanisme til administrativt samarbeid mellom medlemsstatenes kompetente myndigheter. Denne bygger på informasjonssystemet for det indre marked som ble opprettet ved forordning (EU) 1024/2012 om forvaltningssamarbeid gjennom informasjonssystemet for det indre marked og om oppheving av kommisjonsvedtak 2008/49/EF (IMI-forordningen). SDG-forordningen gjennomfører enkelte endringer i IMI-forordningen ved å legge til flere aktører som kan benytte IMI-systemet, nærmere bestemt EU-organer, -kontorer og -agenturer. Gjennomføringsforordningen detaljerer og spesifiserer funksjonaliteten for OOTS.
Nærmere om innholdet i gjennomføringsforordningen
Kapittel 1 og 2 angir definisjoner på begrepene i gjennomføringsforordningen, samt struktur og generelle tjenester («common services») for OOTS. «Dokumentasjon» er definert i (EU) 2018/1724 art. 3 (5) som «any document or data, including text or sound, visual or audiovisual recording, irrespective of the medium used, required by a competent authority to prove facts or compliance with procedural requirements referred to in point (b) of Article 2(2).»
De sentrale aktørene for utveksling av dokumentasjon er definert i gjennomføringsforordningen art. 1 (2) og (3). En «dokumentasjonstilbyder» er en kompetent myndighet som omhandlet i art. 14 (2) i SDG-forordningen, som lovlig utsteder strukturert eller ustrukturert dokumentasjon. En «dokumentasjonsanmoder» er en kompetent myndighet som er ansvarlig for en eller flere av de prosedyrer, som er omhandlet i art. 14 (1) i SDG-forordningen.
Art. 3 angir at dokumentasjonsanmodere skal være tilknyttet en eIDAS-node for å sikre brukerautentisering og at eDelivery-tilgangspunkter er installert på prosedyreportalene. eIDAS-noden er en komponent som kobles til de elektroniske tjenestene og til de nasjonale identifikasjonssystemene, og med noder i andre medlemsland. Denne muliggjør gjenkjennelse av elektroniske identiteter utstedt av andre land iht. forordning (EU) 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked og om oppheving av direktiv 1999/93/EF (EIDAS-forordningen). eDelivery er europeisk fellesløsning som gir sikker og pålitelig utveksling av data og dokumenter mellom offentlig sektor, virksomheter og innbyggere.
Artiklene 4 – 7 omtaler de generelle digitale tjenestene («common services») som skal opprettes av EU-Kommisjonen sammen med medlemslandene. Medlemslandene må sørge for en kobling mellom disse tjenestene og prosedyreportalen som brukes av dokumentasjonsanmoderen og dokumentasjonstilbyderen. Det skal sikres at det kun er disse to partene som er tilkoblet tjenesten.
Art. 4 omhandler fellestjenestene som OOTS skal inneholde. Fellestjenestene omfatter: Et register over ulike typer dokumentasjon som kan bli utvekslet i forbindelse med bruk av SDG; en funksjon for matching av dokumentasjonskrav mellom ulike lands prosedyrer og; en database over metadata som identifiserer deltakere i dokumentasjonsutvekslingsprosesser samt typer dokumentasjon som utveksles.
Bestemmelsen sier videre at alle lands dokumentasjonsanmodere og deres prosedyreportaler (tjenesteportaler) skal ha teknisk tilkobling til disse fellestjenestene, i samsvar med tekniske designdokumenter, og at dokumentasjonsetterspørrere skal registrere nødvendig informasjon/ data i disse tjenestene.
Videre skal kun dokumentasjonsanmodere være direktekoblet mot OOTS-systemets tjenester og at bare disse, og dokumentasjonstilbydere, skal kunne bruke disse tjenestene.
Art. 5 omhandler registeret over typer dokumentasjon. Med «dokumentasjon» i denne sammenheng menes dokumentasjon relevant for prosedyrer nevnt i art. 14 (1) i SDG-forordningen.
Kommisjonen vil være ansvarlig for utvikling og vedlikehold av tekniske grensesnitt som er nødvendig for å sikre at aktuelle brukere kan registrere og oppdatere informasjon i dette registeret og som kan brukes til å håndtere adgangsrettigheter for personell som er autorisert for slik registrering.
Bestemmelsen angir også hva slags informasjon som skal oppgis for hver dokumentasjonstype som registreres, herunder sikkerhetsnivå for eID som må benyttes for å få tilgang til dokumentasjonen, jf. krav i eIDAS-forordningen. Dette kan også omfatte tilleggsattributter, ut fra nasjonale forutsetninger, og som er nødvendig for å få tilgang til aktuell dokumentasjon.
Det skal i registeret markeres tydelig et skille mellom slike tilleggsattributter og obligatoriske data som må utveksles ved bruk av notifiserte eID i samsvar med eIDAS-forordningen.
Sikkerhetsnivå på aktuelle eID skal ikke være høyere enn nivået som benyttes i det enkelte landet for tilgang til slik dokumentasjon. Landene har ansvaret for at informasjonen i registeret til enhver tid er oppdatert.
Artikkel 6 omhandler funksjonen for matching av dokumentasjonskrav mellom ulike lands prosedyrer. Denne funksjonen (også kalt dokumentasjonsmegler) skal gi dokumentasjonsetterspørrere mulighet til å finne ut om dokumentasjonskrav for prosedyrer som de har ansvar for kan matches av ulike typer dokumentasjon som utstedes av andre medlemsland. Medlemsland skal kunne gi utfyllende informasjon i registeret omtalt i artikkel 5 når det gjelder hvordan og hvilken dokumentasjon kan brukes for å kunne sikre samsvar med kravene en dokumentasjonsetterspørrer har til bestemte prosedyrer. Denne informasjonen må være oppdatert til enhver tid.
Kommisjonen vil være ansvarlig for nødvendige tekniske grensesnitt som skal brukes for å registrere slik informasjon og håndtere adgangsrettigheter for autorisert personell som kan gjøre endringer i informasjonen.
Kommisjonen vil også legge til rette for en oversikt som vil sammenligne dokumentasjonstyper og -krav utstedt i et medlemsland med tilsvarende i et annet land, for ulike prosedyrer. Arbeidet med dette vil bli forankret i en av arbeidsgruppene omtalt i artikkel 19.
Art. 7 omhandler en database over metadata som identifiserer deltakere i dokumentasjonsutvekslingsprosesser samt typer dokumentasjon som utveksles.
Artikkelen inneholder nærmere spesifikasjoner hva slags data som databasen bør inneholde. Det skal være data som kan identifisere dokumentasjonstilbydere og dokumentasjon de utsteder på en entydig måte, herunder også dataelementer nevnt i artikkel 13 bokstav a-c, med utgangspunkt i OOTS-systemets datamodell. For hver type strukturert dokumentasjon (som kan prosesseres automatisk) skal det foreligge spesifikke databeskrivelser, basert på datamodellen nevnt ovenfor.
Endringer og oppdateringer i OOTS-systemets datamodell skal drøftes på regelmessig basis av medlemslandene og Kommisjonen, i en eller flere av arbeidsgruppene nevnt i art. 19. Endringer blir så foreslått for SDG koordineringsgruppen som skal godkjenne disse. Dokumentasjonstilbydere er da pliktig til å implementere disse endringer senest 12 måneder etter at de blir registrert i denne databasen.
Art. 8 gir unntak fra art. 5 for de medlemsland som allerede har opprettet nasjonale registre som er tilsvarende det som er omtalt i art. 5.
Kapitlene om dokumentasjonsanmodere (kap. 3) og dokumentasjonstilbydere (kap. 4) angir bestemmelser for de myndigheter som hhv. ber om og sender dokumentasjon på vegne av en bruker.
Bestemmelsene vektlegger at det skal gis tydelig informasjon og at brukeren må gi sitt uttrykkelige samtykke til bruk av systemet. Brukeren skal altså få informasjon om hva OOTS er og at bruken er frivillig; brukeren må etter dette eksplisitt be om at dokumentasjonen utveksles. Overføring uten eksplisitt samtykke er kun lov når det er hjemlet i nasjonal rett eller EU-rett, jf. SDG-forordningen art. 14 (4).
Brukeren skal få en forhåndsvisning av den dokumentasjonen som vil utveksles før dette sendes. Det legges også opp til at brukeren skal kunne la seg bistå av en fullmektig, det vil si at både privatpersoner og virksomheter skal kunne la seg representere av en annen person.
Brukerne skal få muligheten til å velge ut den type dokumentasjon som de mener tilsvarer den type dokumentasjon som de skal sende til et annet medlemsland. Hvis det er flere dokumentasjonstyper som kan korrespondere, skal brukeren få muligheten til å velge nøyaktig hvilke dokumenter som skal utveksles.
Autentisering skal skje via eID-løsninger som er notifisert i tråd med forordning (EU) 910/2014 om elektronisk identifikasjon og tillitstjenester for elektroniske transaksjoner i det indre marked og om oppheving av direktiv 1999/93/EF (eIDAS).
Videre er det angitt hvilken informasjon som dokumentasjonsanmoderen skal sende i anmodningen til den myndighet som skal levere dokumentasjonen.
Art. 15 angir tekniske krav til dokumentasjonstilbydere og formidlingsplattformer.
Kapittel 5 omhandler loggsystemet i OOTS. Dokumentasjonsanmodere, -tilbydere og formidlingsplattformer har samme krav til loggføring, som i all hovedsak består i å loggføre opplysninger som er relevante for historikken i dokumentasjonsutvekslingen. Det skal også loggføres om brukeren valgte å godkjenne dokumentasjonen til bruk i den relevante prosedyren etter å ha sett forhåndsvisningen.
Kapittel 6 omhandler styringen av OOTS. I medhold av SDG-forordningen art. 29, er det opprettet en koordineringsgruppe. Koordineringsgruppen består i EU av én representant fra hvert av medlemslandene og har en representant fra Kommisjonen som formann. Kommisjonen skal, sammen med koordineringsgruppen, stå for den overordede etableringen, lanseringen og styringen av OOTS.
Det er lagt opp til at koordineringsgruppen skal ha undergrupper som vil ha som ansvar å lage forslag til retningslinjer om bl.a. tekniske standarder, operasjonell styring, sikkerhet, testing og vurdering av tekniske dokumentene, jf. art. 19. Forslag til retningslinjer skal forelegges koordineringsgruppen, som kan godkjenne eller avvise undergruppenes forslag. Norge har tidligere deltatt i nevnte koordineringsgruppe. Det legges foreløpig til grunn at EØS EFTA-landene har rett til deltakelses- og talerett, men at de ikke har stemmerett.
Kapittel 7 omhandler teknisk brukerstøtte. Det fremgår at EU-Kommisjonen skal angi et «single point of contact» for brukerstøtte på de tjenester som er omtalt i art. 4 (1). Videre skal den enkelte medlemsstat utpeke et kontaktpunkt for brukerstøtte for de komponentene de er ansvarlig for etter kap. 9.
De nasjonale kontaktpunktene for brukerstøtte skal være rettet mot dokumentasjonsanmodere og -tilbydere, og kan for øvrig kontakte Kommisjonen og kontaktpunkter i andre land ved behov. Videre skal de nasjonale kontaktpunktene løse og undersøke ev. sikkerhetsbrudd og årsaker til nedetid, samt informere andre lands kontaktpunkter om aktivitet i tjenestene som kan føre til nedetid. De nasjonale kontaktpunktene for brukerstøtte skal være innrettet på en måte som gjør at de har tilstrekkelig rask responstid.
Kapittel 8 omhandler samarbeid med andre styringsorganer. Kommisjonen og koordineringsgruppen, jf. SDG-forordningen art. 29, skal samarbeide med andre relevante organer som er etablert gjennom EU-retten eller i internasjonale avtaler på de områder som er relevante for OOTS. Det fremgår ikke på dette tidspunkt hvilke andre organer eller organisasjoner dette kan omfatte.
Kapittel 9 angir hvem som har ansvaret for vedlikehold og for at det tekniske systemet er funksjonelt. Ansvaret er grovt sett delt mellom Kommisjonen og medlemslandene ved at Kommisjonen har ansvar for de allmenne tjenestene omtalt i art. 4, herunder utvikling, oppetid, monitorering, oppdatering, vedlikehold og vertstjenester. Medlemslandene er ansvarlig for de nasjonale komponentene av systemet, jf. art. 2 bokstav a-f og h på tilsvarende måte. Art. 27 har særlige bestemmelser om oppe- og nedetid.
Kapittel 10 omhandler sikkerheten i fellestjenestene og de nasjonale komponentene. Kommisjonen har ansvaret for fellestjenestene omtalt i art. 4 (1) og sin del av integrasjonselementene i art. 2 bokstav h, og medlemsstatene har ansvaret for de tilsvarende nasjonale integrasjonselementene i art. 2 bokstav h. Det er angitt flere forhold som EU-Kommisjonen og medlemsstatene særlig skal ta ansvar for å sikre, spesielt knyttet til at uvedkommende ikke skal ha adgang eller tilgang til systemet som sådan (tilkobling til «eDelivery access points») og opplysningene som utveksles. Det er de nasjonale koordinatorene, lederen av koordineringsgruppen og Kommisjonen som skal ha adgang til disse systemene. For å sikre dette skal komponentene i OOTS overvåkes. Videre skal Kommisjonen skal opprette et administrasjonssystem som kan styre validering av identifikasjonsdata med det formål å gi adgang til fellestjenestene i kap. 4 og rapporteringsverktøyet for teknisk støtte (dashboardet), jf. art. 22.
Kapittel 11 har diverse bestemmelser om blant annet testing av systemet, bistand fra Kommisjonen, ikrafttredelse og gjennomføringsforordningens forhold til forordning (EU) 2016/679 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger samt om oppheving av direktiv 95/46/EF (personvernsforordningen).
Gjennomføringsforordningens krav gjøres gjeldende i EU fra 12. desember 2023, jf. art. 36.
Merknader
Rettslige konsekvenser
SDG-forordningen ble innlemmet i EØS-avtalen i komitémøtet den 9. desember 2022 med forbehold om Stortingets godkjennelse. Gjennomføringsforordning (EU) 2020/1121 om innsamling og deling av brukerstatistikk og -tilbakemeldinger om den felles digitale portalen for informasjon om det indre marked i samsvar med europaparlaments- og rådsforordning (EU) 2018/1724 ble innlemmet i samme komitemøte; for sistnevnte ble det inntatt i EØS-komitebeslutningen at gjennomføringsforordningen først trer i kraft når art. 103-forbeholdet er løftet for hjemmelsforordningen og når denne er trådt i kraft. Dersom gjennomføringsforordning (EU) 2022/1463 om OOTS blir funnet akseptabel, legges det til grunn at samme forbehold eventuelt må tas for denne.
SDG-forordningen og gjennomføringsforordning (EU) 2020/1121 er planlagt gjennomført som forskrift til forvaltningsloven § 15a.
EFTA-Sekretariatet har pekt på art. 23 som en mulig horisontal problemstilling som omtaler organer som ikke nødvendigvis er omfattet av EØS-avtalen protokoll 1. Departementet vil vurdere dette i det videre arbeidet.
Forordningen må gjennomføres i nasjonal rett «som sådan», gjennom en henvisning i den planlagte forskriften for SDG-forordningen, jf. EØS-avtalen art. 7 bokstav a.
Økonomiske og administrative konsekvenser
Omtalen av økonomiske og administrative kostnader for hjemmelsforordning (EU) 2018/1724 og gjennomføringsforordning (EU) 2020/1121 fremgår av de respektive EØS-notatene.
Det tekniske systemet og «kun-en-gang-prinsippet» er ment å bidra til færre administrative byrder, økt effektivitet, bedre grensekryssende kommunikasjon og vil understøtte personvernet ved oversendelse av personlig informasjon over landegrensene ved at dette gjøres gjennom sikrere kanaler enn f.eks. e-post.
De sentrale tjenestene i OOTS, omtalt i gjennomføringsforordningen art. 4, er det Kommisjonen som har det sentrale ansvaret for å opprette og opprettholde funksjonaliteten av, jf. art. 24. Medlemsstatene har ansvaret for sine nasjonale tilgangspunkter, registre, eIDAS-noder mv., jf. art. 25 og fortalen pkt. 26. Videre legges det opp til gjenbruk av allerede eksisterende tjenester i de respektive medlemslandene, jf. fortalen pkt. 4. Dette vil f.eks. gjelde for allerede opprettede eIDAS-noder, digitale portaler for gjennomføring av prosedyrer m.m. Gjenbruk vil være sentralt for å minimere kostnadene ved utviklingen, men hvilke tekniske løsninger som kan gjenbrukes i Norge til OOTS må departementet komme tilbake til.
Digitaliseringsdirektoratet (Digdir), som er koordinerende organ for hjemmelsforordningen, har gitt anslag om at opprettelse og drift av OOTS vil medføre behov for nye budsjettmidler, både hos Digdir og i de offentlige virksomhetene som skal ha tilgangspunkter til OOTS. Andre relevante offentlige organer vil være de som har tjenester med tilhørende prosedyrer som nevnt i forordning (EU) 2018/1724 vedlegg II og som vil fungere som dokumentasjonsanmodere og -tilbydere.
Realisering av OOTS krever både videreutvikling av eksisterende fellesløsninger og etablering av nye komponenter. Mesteparten av dette arbeidet vil måtte gjøres i Digdir. Kostnader avhenger av arkitekturvalg som gjøres i 2023. Det er foreløpig identifisert to analyser som bør gjennomføres allerede nå: Utredning og konseptvalg av hvordan man skal gjennomføre OOTS og utredning av hvordan man skal løse identitetsmatching. Videre er det flere større komponenter som identitetshåndtering, meldingsutveksling og en ev. tilkoblingsplattform må etableres. Det vil også tilkomme kostnader for tilrettelegging av datakilder som bevisene baseres på; dette vil blant annet kunne gjelde Folkeregisteret, Lånekassen og vitnemålsportalen. Analyser av hvilke bevis som er nødvendig for de forskjellige tjenestene pågår nå i koordineringsgruppen. Digdir vil fortsette å jobbe med dette i 2023.
Utviklingen av OOTS som vil omfatte endringer i ID-porten, eFormidling, Folkeregisteret og etablering av en ny tilkoblingsplattform, vil antakelig ha et omfang som tilsier at Digdir, og trolig også de andre ansvarlige, må benytte ekstern bistand. Ressursbruken knyttet til dette antas å bli betydelig, og dette vil utredes nærmere av Digdir. Kostnadene vil måtte bli fordelt på Digdir og de øvrige aktørene som har ansvar for realisering av OOTS.
Sakkyndige instansers merknader
EØS-notat har vært behandlet i spesialutvalget for indre marked. Utenriksdepartementet vil bli holdt orientert om KDDs vurdering av eventuelle horisontale problemstillinger.
Vurdering
EØS-relevans
Hjemmelsforordningen er vurdert som EØS-relevant og akseptabel av KDD og ble innlemmet i EØS-avtalen 9. desember 2022 sammen med gjennomføringsrettsakt (EU) 2020/1121. Det er tatt forbehold om Stortingets samtykke ved innlemming av hjemmelsforordningen. Videre er det tatt forbehold om at konstitusjonelt forbehold er løftet før gjennomføringsforordning (EU) 2020/1121 trer i kraft. Det samme forbeholdet bør tas for gjennomføringsforordning (EU) 2022/1463.
Gjennomføringsforordningen fastsetter de tekniske og operasjonelle spesifikasjonene for det tekniske systemet for automatisert utveksling av dokumentasjon over landegrensene og anvendelse av "kun-en-gang-prinsippet" i samsvar med (EU) 2018/1724 art. 14.
Art. 23 i gjennomføringsforordningen reiser horisontale utfordringer ved at den omtaler organer/avtaler Norge ikke er medlem av og som antatt ikke er omfattet av EØS-avtalen protokoll 1. Videre er det ikke klart på dette tidspunkt hvilke organer som kan være relevante under art. 23, da det også kan være internasjonale avtaler utenfor EU-systemet og som ikke nødvendigvis er EØS-relevante. I tillegg til at Norge kan delta i koordineringsgruppen etter SDG-forordningen art. 29, vil det også være ønskelig med deltakelse i undergruppene etter gjennomføringsforordningen art. 19. Departementet vil arbeide videre med dette i det pågående arbeidet.
KDD anser gjennomføringsforordning (EU) 2022/1463 som EØS-relevant. Hvorvidt den er akseptabel er under vurdering av departementet.
Status
Rettsakten ble vedtatt av Kommisjonen 5. august 2022. Teksten ble publisert i Official Journal of the European Union 6. September 2022. Etter art. 54 (1) trådte rettsakten i kraft 20 dager etter publisering, det vil si 26. september 2022. Gjennomføringsforordningen vil gjelde i EU fra 12. desember 2023.
EFTA har sendt standardark til Norge, Island og Liechtenstein. Gjennomføringsforordningen er under vurdering i EØS-/EFTA-statene.