Stockholms universitet har av Regeringskansliet (Finansdepartementet) anmodats att inkomma med yttrande över betänkandet Juridik som stöd för förvaltningens digitalisering
(SOU 2018:25). Universitetet har följande att anföra. 

Allmänna synpunkter

Ämnet är omfattande och betänkandet ger en bred och gedigen genomgång av en komplex materia. Författningsförslagen framstår som välgrundade och Stockholms universitet har i sak inga invändningar, däremot några kommentarer och önskemål om förtydliganden
.  
Universitetet delar uppfattningen (s. 23) att det ”finns ett väsentligt större förändringsbehov i lagstiftningen än vad vi inom ramen för denna utredning haft i uppdrag att ta omhand” och ser positivt på förslaget att ett rättsligt beredningsorgan får i uppdrag att under de närmaste åren ta fram löpande underlag för anpassning av gällande rätt som stöds av såväl befintliga som nya former av digital informationsförsörjning (avsnitt 12.1.3, s. 446). Ett sådant framtida arbete också bör fokusera på mer övergripande företeelser som kan komplettera analysen av framtida regleringsbehov. Tanken bakom detta är att ett mer generellt synsätt kan underlätta identifikation av problem och möjligheter om inte är bundna till befintliga regleringar eller etablerade förvaltningsrutiner/-strukturer.  

Några sådana företeelser behandlas i det nu aktuella betänkandet (t.ex. spårbarhet, avsnitt 7.7.3, ss. 202f.) men annat berörs sporadiskt och en samlad analys saknas. Exempel på frågor som förefaller rimliga att analysera utifrån ett förvaltningsrättsligt perspektiv är nätneutralitet, skydd mot diskriminering/ojämlik behandling, risker för manipulation, bevisfrågor, nya ansvarsfördelningar, behov att balansera effektivitetsstävanden mot integritet och etiska överväganden.

Stockholms universitet menar att det hade varit naturligt om förslaget om att den offentliga förvaltningens skyldighet att lämna uppgifter om IT-kostnader (avsnitt 13.5.2, s. 510) hade utformats som en skyldighet att genomföra kostnads-/intäktsanalyser, följa upp faktiska utfall och rapportera avvikelser.  Något som saknas i betänkandet är reflektioner över konsekvenserna av ”outsourcing”, dvs att en myndighet eller förvaltning låter ett externt företag eller organisation ansvara för driften av hela eller delar av sin IT-miljö. 

Specifika synpunkter på förslag i betänkandet

Avsnitt 1.1, §1, s. 31: Begreppet ”privat leverantör” är möjligen alltför oprecist då andra än privata företag kan tänkas som uppdragstagare, exempelvis stiftelser och andra organisationer. §4, s. 32: Formuleringen avser enbart enskilda personer men skulle kunna omfatta även företag och organisationer.

Avsnitt 5.3.4, ss. 79f: Stockholms universitet instämmer i att digital signering är viktigt att kunna hanteras av myndigheter, liksom att det idag är oklart vilken typ av digital signering som är tillåten är möjlig i olika sammanhang. Det hade varit önskvärt om betänkandet givit mer konkreta förslag om att digitala signaturer ska kunna användas av alla svenska myndigheter och förvaltningar, samt förslag avseende vilken typ av digital signatur som kan vara att föredra.  

Avsnitt 7.3.2, ss. 149f.: Universitetet är frågande inför beskrivningen av artificiell intelligens (AI) där det anges att AI kan fås att ”själv förstå samband mellan datapunkter”. Det ska understrykas att datasystem inte kan tänka själva utan är baserade på i förhand skapade algoritmer. Alla datasystem kan också relativt enkelt programmeras så att hela den process som ligger till grund för systemets rekommendationer kan följas. Angående den ”träning” av systemen som diskuteras ska påtalas att system ofta behöver ”omtränas” med nya och större datamängder för att förbli reliabelt.  

Avsnitt 7.5.2, ss. 158ff.: Även här ger skrivningar intryck att datorsystem kan utvecklas självständigt efter att initialt ha programmerats av människor. Universitetet vill understryka att det alltid är  människor som utvecklar programmen, och därmed är det människor som ska se till att de automatiska besluten görs på ett rättssäkert sätt. Datorbaserade automatiska beslut ska alltid kunna härledas i detalj och kunna överklagas.

Avsnitt 8.3.5, ss. 260ff.: Stockholms universitet menar att det skulle underlätta om det preciserades vilken typ av ärenden eller meddelanden som avses. Om det skulle inbegripa t.ex. epost som sänds in till en myndighet medför det ett mycket stort merarbete för den enskilda tjänstemannen vid myndigheten om det inte går att automatisera på ett intelligent sätt. Och om man t.ex. automatiserar ett svar till den som sänt epost till myndigheten att meddelandet inkommit, är det ändå inte samma sak som att den enskilde tjänstemannen faktiskt öppnat och läst meddelandet (vilket torde vara andemeningen med denna typ av underrättelser).

Kapitel 9, ss. 305ff.: Stockholms universitet vill betona vikten av att ta fram en för olika förvaltningar så långt som möjligt gemensam informationspolicy och att de lösningar som rekommenderas eller införs är samordnade mellan så många förvaltningar som möjligt.

Avsnitt 10.6.5, ss. 377ff.: Betänkandet bedömer att det är tillräckligt för myndigheten att genom en informationsklassificering avgöra vilka typer av handlingar som inte kan lämnas ut. Stockholms universitet konstaterar emellertid att uppgifter som är skyddsvärda kan flöda in från olika håll, t.ex. genom epost, och myndigheten kan knappast på förhand bedöma vilken informationstyp som innehåller uppgifter som omfattas av undantagsregeln. Tillämpningen av undantagsregeln kommer att, trots den goda tanken att myndigheten inte ska behöva göra bedömningar i det enskilda fallet, även fortsatt vålla svårigheter. En möjlig lösning skulle kunna vara att formulera regeln som t.ex. ”Myndigheter ska organisera sin verksamhet på sådant sätt att risken för att enskilda eller myndigheter som utför uppdrag för enbart teknisk bearbetning eller teknisk lagring för den utlämnande myndighetens räkning tar del av information som i sammanhanget är olämplig eller utsätter en enskild för onödigt stor risk för kränkning inte är större än vad som motiveras av omständigheterna i övrigt”.