Forvaltning: Kan en offentlig etat opptre som beskrevet?

[Gjest 6f64f...a5e]

Spørsmål til jurister/juridisk kyndige på forumet i en sak som vel mest gjelder forvaltningsrett 

Har en e-postkonto hos tutanota. Som en del kjenner til er disse krypterte fra avsender til mottaker, likeså fra mottaker tilbake til avsender så lenge mottaker svarer på e-posten mottatt, men ikke om det opprettes en ny e-post av avsender. Krypteringen krever ingen dekryptering av mottaker, dette skjer automatisk når vedkommende åpner, men krypteringen forhindrer at e-post kan forhåndsvises uten å åpnes når dette er satt opp. 

Til offentlig etat er nå sendt en e-post med svarfrist for etaten fastsatt ihht lov/regelverk. E-posten inneholder ingen sensitiv informasjon, tilsvarende e-poster sendes offentlige etater i stort anbtall fra private, særlig en bransje og en fortolkning hos Justisdepartementet for 10-15 år siden legger alt da til grunn at slike saker sendes mer og mer pr e-post til fordel for brev, uten at dette kommenteres nærmere i fortolkningen.

E-posten sendt fra meg nekter nå mottaker/saksbehandler på etatens vegne å åpne/besvare med begrunnelse slik (understrekningen/uthevingen er min):  “Til informasjon så er det ikke noen krypteringsløsninger hos [mottakeretat] som godkjente for å formidle personsensitiv informasjon. Det betyr at vi ikke kan åpne denne e-posten fra deg. Personsensitiv informasjon skal heller ikke sendes per e-post. Følgelig vil ikke fremtidige e-post som inneholder vedlegg eller personsensitiv informasjon bli besvart.”

Verdt å notere seg: E-posten er altså satt opp slik at den ikke kan forhåndsvises, så dette kan vi utelukke. "Ikke kan åpne kan vi også utelukke, da åpning skjer automatisk straks mottaker utfører aktiv handling for å åpne den. Mottaker legger på etatens vegne her dermed til grunn at en mottatt e-post inneholder personsensitiv informasjon uten å faktisk åpne mottatt e-post og se innholdet, noe vedkommende er kjent med vil medføre automatisk sending av en "åpnet"-bekreftelse vedkommende ikke kan overstyre, men er satt opp slik for hele avdelingen. Samtidig legger vedkommende - uten verken begrunnelse eller lovhjemmel oppgitt - ned et forbud mot e-post som inneholder vedlegg, noe jeg positivt vet så vel etat som vedkommende saksbehandler selv mer enn en gang har sendt ut selv (og med personsensitiv informasjon i vedlegget også).

Kan en offentlig etat lovlig opptre på denne måten og uten verken begrunnelse eller hjemmel regelrett nekte lesing av e-post fra tutanota -  og evt andre e-postsystemer som krypterer eller er dette hva jeg selv oppfatter saken som: Svært så dårlig forsøk fra etaten på – uten lovhjemmel - å vinne seg selv tid  i en sak der svarfrist er fastsatt ved lov,.dette gjennom direkte usannhet mht gjeldende rett?

Jeg har gode holdepunkter ellers for å anta  at etaten generelt og vedkommende saksbehandler som svarer på etatens vegne spesielt helst ikke vil ta i saken e-posten gjelder med ildtang, og årsak til det, min teori: Å bli kjent med saken og dermed måtte forta seg noe vil medføre arbeid vedkommende selv absolutt ikke ønsker, særlig ikke under tidspress. Å måtte foreta seg noe i slik situasjon vil dersom arbeidet skal overlates andre i etaten også gi noen forklaringsproblemer mht utført (les: ikke utført, men skulle vært utført) arbeid for vedkommende personlig. 

Så lenge tidsfristen ihht lov står vil jeg ikke opplyse mer enn dette offentlig, da for at saken ikke skal være sikkert identifiserbar selv om vedkommende saken gjelder skulle lese den.  Når tidsfristen er ute en gang  i kommende uke kan jeg evt utdype med flere punkter om de skulle være relevante.

Anonymous poster hash: 6f64f...a5e

[krikkert]

For de fleste offentlige organer gjelder reglene i eForvaltningsforskriften, men ikke for alle. Påtalemyndigheten, domstolene, og Stortingets organer er eksempler på organer som forvaltningsloven ikke gjelder for, og dermed heller ikke eForvaltningsforskriften. Forvaltningsloven gjelder heller ikke for behandlingen av skattesaker, men her bestemmer skatteforvaltningsloven § 1-3 at reglene gjelder tilsvarende. 

At eForvaltningsforskriften gjelder følger av forvaltningsloven § 15a annet ledd, som bestemmer at enhver har rett til å henvende seg til et offentlig organ via elektronisk kommunikasjon "dersom forvaltningsorganet har lagt til rette for dette, det skjer på den anviste måten, og ikke annet følger av lov eller forskrift til lov". 

Hvordan krypterte meldinger skal håndteres er regulert i eForvaltningsforskriften § 26. Der bestemmer forskriften at en melding skal dekrypteres når den mottas, og at forvaltningsorganet straks skal gi tilbakemelding om at organet ikke får tilgang til meldingens innhold dersom meldingen "ikke lar seg dekryptere". Organet skal ellers behandle saken etter § 7 som gir regler om hva organet skal gjøre hvis noen henvender seg på uriktig måte. 

Forvaltningsorganet kan selv bestemme hvilke sikkerhetstjenester og -produkter som skal kunne brukes ved henvendelse til et forvaltningsorgan, jf. forskriften § 4. Det er også gitt spesielle bestemmelser om hvordan man skal gjennomføre kryptering når man sender taushetsbelagte opplysninger og personopplysninger til forvaltningsorganet. Disse finnes i forskriften § 5 fjerde og femte ledd: 

Sitat

Ved kryptering av melding til forvaltningen skal forvaltningsorganets krypteringsnøkkel eller krypteringsnøkkel til en nærmere angitt enhet ved forvaltningsorganet benyttes. Hvis forvaltningsorganet benytter ekstern databehandler i henhold til personopplysningsloven § 15, kan databehandlerens krypteringsnøkkel benyttes hvis det godtgjøres, eller er alminnelig kjent, at databehandleren opptrer på vegne av forvaltningsorganet.

Kryptering med en enkeltpersons krypteringsnøkkel kan bare benyttes dersom forvaltningsorganet har lagt spesielt til rette for det.

Slik jeg leser Tutanotas spesifikasjoner av hvordan de håndterer E2EE-epost så er vilkårene for denne fremgangsmåten ikke oppfylt. Forvaltningsorganet mottar ingen kryptert henvendelse, men en lenke til et sted på Tutanotas servere hvor de må legge inn et passord for så å få tilgang til den krypterte henvendelsen. Dette faller utenfor eForvaltningsforskriften § 26, og man har heller ikke gått frem etter § 4. Meldingen forvaltningsorganet har fått er "gå hit og last ned en melding". Dette plikter ikke forvaltningsorganet å gjøre - og IT-instruksen i alle statlige etater går ut på at man ikke skal gå til ukjente lenker, særlig ikke for å laste ned filer, ettersom dette omgår virusskanning og andre sikkerhetstiltak som er innebygd i etatens e-postmottak. Hvis en henvendelse er kryptert er det ikke feil å anta at den inneholder taushetsbelagt informasjon eller personopplysninger, selv uten å lese den. 

Forvaltningsorganet skal i slike tilfeller falle tilbake på eForvaltningsforskriften § 7, som bestemmer at organet skal gi avsender beskjed om at det er gjort feil. 

I og med at du henviser til en tidsfrist som du selv har fastsatt, men som er utløst av en henvendelse fra deg, kan det også vært greit å påpeke at forvaltningslovforskriften kapittel 9 (hjemlet i forvaltningsloven § 11b) bestemmer at frister som utløses av henvendelse fra en part begynner å løpe når henvendelsen er mottatt. Ref. over er det ikke mottatt noen henvendelse.