...
För att sätta rätt kontext bör nämnas att det i 8 § Förvaltningslagen (2017:900) står att läsa "En myndighet ska inom sitt verksamhetsområde samverka med andra myndigheter. En myndighet ska i rimlig utsträckning hjälpa den enskilde genom att själv inhämta upplysningar eller yttranden från andra myndigheter".
Som myndighet hit myndighet räknas statliga myndigheter, kommuner och regioner.
Detta Skrivningen i förvaltningslagen medför en samverkansskyldighet dem emellan, som egentligen är oberoende av om tillit etablerats eller ej.
...
- Ansvar för lagefterlevnad ligger på respektive part som samverkar via Samordnad identitet och behörighet och på parter i övrigt som bidrar till att realisera sådan samverkan.
- Specifikt gäller all applicerbar lagstiftning som möjliggör eller begränsar delning och behandling av identiteter och behörighetsgrundande information - främst GDPR, dataskyddslagen, samt offentlighets- och sekretesslagen.
- Integritetsskyddsmyndigheten (IMY) utför tillsyn i syfte att säkerställa att människors grundläggande fri- och rättigheter skyddas vid behandling av personuppgifter. Detta innefattar alla organisationers hantering av identiteter och behörighetsgrundande information.
Avtalsuppfyllnad
- Åtaganden och skyldigheter utöver grundläggande lagefterlevnad i relation till Samordnad identitet och behörighet regleras i Samordnad identitet och behörighets avtal
- mellan ledningsaktör och federationsoperatör,
- mellan federationsoperatör och anslutningsoperatör, samt
- mellan federationsoperatör och anslutna parter.
- Ledningsaktör, federationsoperatörer, anslutningsaktörer, och anslutna parter ansvarar för att krav regleras även gentemot underleverantörer.
...
- Åtaganden och skyldigheter utöver det som regleras i lagar eller ingångna avtal för Samordnad identitet och behörighet kan regleras i form av regelverk för specifika egenskapsintyg.
- Sådana regelverk kan omfatta både specifika krav på tekniska komponenter, och på de organisationer som ansvarar för dessa komponenter.
- Man kan reglera efterlevnadskontroll, men sådan reglering får i sig får inte omöjliggöra hindra samverkan där samverkansskyldighet föreligger.
- Grunden för efterlevnadskontroll bör alltid vara självdeklarerad efterlevnad, kompletterad med granskning av underlag för sådan självdeklaration - exempelvis intern revisionsrapport.
- Myndigheter som inte är tillsynsmyndigheter får för kvalificering för egenskapsintyg endast begära efterlevnadskontroll baserad på självdeklarerad efterlevnad av andra myndigheter om inte annan efterlevnadskontroll explicit krävs av lag, förordning eller föreskrift (t.ex. NMI, MDR, eIDAS)
- Samverkande parter som samverkar på ett sätt som inte grundas i en samverkansskyldighet enligt förvaltningsrätten får för kvalificering av egenskapsintyg avkrävas efterlevnadskontroll utöver självdeklarerad efterlevnad.
- Omfattning av efterlevnadskontroller bör hållas på en för samverkan rimlig nivå då kontroller i regel är kostnadsdrivande och i slutändan alltid finansieras av skattekollektivet.
...