Υ.Α.Π. - Υπηρεσία Ανάπτυξης Πληροφορικής

Greek Dutch English French Italian Russian Spanish

Θεματικό εργαστήριο για το ΠΨΑ

Πλαίσιο Ηλεκτρονικής Διακυβέρνησης / Πλαίσιο Ψηφιακής Αυθεντικοποίησης

Ημερομηνία: 26-27/1/2012

Τόπος Διενέργειας: ΕΚΔΔΑ

Σύμφωνα με τον Ν. 3979/2011 (ΦΕΚ 138/Α/16.06.2011) «Για την ηλεκτρονική διακυβέρνηση και λοιπές διατάξεις» προβλέπεται η παροχή ηλεκτρονικών υπηρεσιών από τους δημόσιους φορείς προς κάθε ενδιαφερόμενο. Για τη μείωση του διοικητικού βάρους, την ταχύτερη και αποδοτικότερη λειτουργία των δημοσίων φορέων, απαιτούμενο δομικό στοιχείο είναι το Πλαίσιο Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης (ΠΗΔ).

Το ΠΗΔ τέθηκε σε ανοιχτή δημόσια διαβούλευση στο http://www.opengov.gr/minreform/?p=129 η οποία ολοκληρώθηκε στις 23 Ιανουαρίου 2012.

Για την επεξεργασία αυτών των σχολίων, την οριστικοποίηση του ΠΗΔ με τη συμμετοχή ευρύτερης ομάδας από φορείς της δημόσιας διοίκησης, τον ιδιωτκό τομέα και την ακαδημαϊκή κοινότητα διοργανώθηκε εργαστήριο από το Εθνικό Κέντρο Δημόσιας Διοίκησης και Αυτοδιοίκησης (ΕΚΔΔΑ) σε συνεργασία με το Υπουργείο Διοικητικής Μεταρρύθμισης και Ηλεκτρονικής Διακυβέρνησης στις 26 και 27 Ιανουαρίου 2012.

Τα αποτελέσματα του συγκεκριμένου εργαστηρίου συνεισφέρουν:

  1. Στην οριστικοποίηση του ΠΗΔ,
  2. Στην προετοιμασία έκδοσης σχετικής υπουργικής απόφασης για την κύρωση του (ΥΑΠ/Φ.40.4/1/989 (ΦΕΚ 1301/Β'/12-04-2012),
  3. Στον καθορισμό δράσεων για τη περαιτέρω εξειδίκευση του.

Την πρώτη ημέρα έγινε συνοπτική παρουσίαση του ΠΨΑ, έγιναν γενικές τοποθετήσεις των συμμετεχόντων για το ΠΨΑ και συζητήθηκαν τα πρώτα δύο σχόλια της ανοιχτής διαβούλευσης.

Την δεύτερη ημέρα ολοκληρώθηκε η συζήτηση επί των θεμάτων της ανοιχτής διαβούλευσης και συζητήθηκαν εκτενώς τόσο το κυρίως σώμα του Παραρτήματος ΙΙΙ, όσο και οι Κανόνες που αναφέρονται. Τέλος, η συζήτηση ολοκληρώθηκε με σύνοψη των συμπερασμάτων και ειδικότερες τοποθετήσεις των συμμετεχόντων στα θέματα του Πλαισίου.

Τοποθετήσεις για τους Κανόνες του ΠΨΑ

Κατά την διάρκεια του θεματικού εργαστηρίου, δόθηκε η ευκαιρία στους συμμετέχοντες να τοποθετηθούν και να εκφράσουν τις απόψεις τους. Οι παρατηρήσεις για τους σημερινούς κανόνες του ΠΨΑ ήταν οι εξής:

1.Ο ΚΥ.1 προτάθηκε να συγχωνευθεί με τα ΚΠ.1 και ΚΠ.2 για λόγους απλότητας, κατανόησης και σύντμησης. Συγκεκριμένα, η διατύπωση θα μπορούσε να έχει ως: ΚΥ.1: Ο Φορέας που προσφέρει την υπηρεσία ΠΡΕΠΕΙ ΝΑ συμμορφώνεται με το ισχύον θεσμικό-κανονιστικό ΠΨΑ. Συγκεκριμένα:

Α) ΠΡΕΠΕΙ ΝΑ συνταχθούν έντυπα για την παροχή και λήψη συγκατάθεσης, τα οποία θα δίδονται στους αιτούμενους της εγγραφής είτε με έγγραφο τρόπο είτε με ηλεκτρονικό. Στην περίπτωση της ηλεκτρονικής συγκατάθεσης ΠΡΕΠΕΙ ΝΑ αναγράφονται οι σχετικοί όροι στο δικτυακό τόπο της ενημέρωσης και να επισημαίνονται στον εγγραφόμενο – ηλεκτρονικά συναλλασσόμενο.

Β) Κατά την αίτηση για εγγραφή σε διάφορες υπηρεσίες ΘΑ ΠΡΕΠΕΙ ΝΑ καθίσταται σαφές στους αιτούντες, ποια δεδομένα είναι αναγκαία για την εγγραφή

Γ) Η συγκατάθεση των αιτούμενων εγγραφής σε μία υπηρεσία ΠΡΕΠΕΙ ΝΑ είναι σαφής, ρητή, ειδική και «ενημερωμένη».

2.Στον ΚΠ.3 προτάθηκε η αντικατάσταση των συγκεκριμένων προθεσμιών με τον όρο συγκεκριμένων διαδικασιών και ο κανόνας να γίνει υποχρεωτικός.

ΚΥ.2: Τα προσωπικά δεδομένα ΠΡΕΠΕΙ ΝΑ είναι ακριβή και να γίνεται επικαιροποίηση των δεδομένων με συγκεκριμένες διαδικασίες.

3.Ο ΚΥ.2 όσον αφορά την ιδιωτικότητα των χρηστών προτάθηκε να μεταφερθεί στους Διαδικτυακούς τόπους αν αντιμετωπιστούν και τα υπόλοιπα θέματα της ιδιωτικότητας των δεδομένων για λόγους συνέχειας και πληρότητας.

4.Στον ΚΥ.3 προτάθηκε να αφαιρεθεί ο όρος «ιδιωτικούς» και αλλάξει να αντί της προσφυγής να χρησιμοποιηθεί ο όρος συνεργασίας. Ο κανόνας προτείνεται να διαμορφωθεί ως εξής: «

ΚΥ.3: Σε περίπτωση συνεργασίας με εξωτερικούς φορείς για την αποθήκευση και πρόσβαση σε προσωπικά δεδομένα χρηστών ΘΑ ΠΡΕΠΕΙ ΝΑ περιλαμβάνονται στη σχετική σύμβαση όροι για τη συλλογή και επεξεργασία των δεδομένων.

5.Ο ΚΥ.4 προτάθηκε να τροποποιηθεί και να αλλάξει η διατύπωση προκειμένου να γίνεται παραπομπή στην κατηγοριοποίηση της Αρχής Προστασίας Προσωπικών Δεδομένων (απλά => Μη προσωπικά, ευαίσθητα => Ευαίσθητα προσωπικά) και να προστεθεί η κατηγορία Οικονομικά δεδομένα (να γίνει έλεγχος και διασταύρωση στο νόμο 2472/1997 και την τροποποίηση του (Ιούνιος 2013) για τους συγκεκριμένους όρους). Ο συγκεκριμένος νόμος είναι διαθέσιμος και στην αγγλική έκδοση.

6.Στους ΚΥ.7 και ΚΥ.8 προτάθηκε να προστεθεί ο όρος «τουλάχιστον». Οι κανόνες προτείνεται να διαμορφωθούν ως εξής:

ΚΥ.7: Υπηρεσίες που έχουν ενταχθεί στο Επίπεδο Εμπιστοσύνης 1 ΘΑ ΠΡΕΠΕΙ ΝΑ υιοθετήσουν: α. Επίπεδο Εγγραφής 1 και β. Επίπεδο αυθεντικοποίησης τουλάχιστον 1.

ΚΥ.8: Υπηρεσίες που έχουν ενταχθεί στο Επίπεδο Εμπιστοσύνης 2 ΘΑ ΠΡΕΠΕΙ ΝΑ υιοθετήσουν: α. Επίπεδο Εγγραφής 2 και β. Επίπεδο αυθεντικοποίησης τουλάχιστον 1.

Με την συγκεκριμένη προσθήκη δίνεται η δυνατότητα στους φορείς να προσφέρουν υπηρεσίες μεγαλυτέρου επιπέδου αυθεντικοποίησης.

7.Ο ΚΥ.9 προτείνεται να τροποποιηθεί ως εξής:

ΚΥ.9: Υπηρεσίες που έχουν ενταχθεί στο Επίπεδο Εμπιστοσύνης 3 ΘΑ ΠΡΕΠΕΙ ΝΑ υιοθετήσουν: α. Επίπεδο Εγγραφής 3 και β. Επίπεδο Αυθεντικοποίησης τουλάχιστον 1 ενώ συνίσταται Επίπεδο Αυθεντικοποίησης 2

8.Οι ΚΠ.4 και ΚΠ.5 για λόγους απλότητας και σύντμησης προτείνεται να συμψηφιστούν με τον ΚΥ.6. Η τελική διατύπωση του ΚΥ.6 προτείνεται να είναι η εξής:

ΚΥ.6: Υπηρεσίες που έχουν ενταχθεί στο Επίπεδο Εμπιστοσύνης 0 ΘΑ ΠΡΕΠΕΙ ΝΑ υιοθετήσουν: α. Επίπεδο Εγγραφής 0 και δεν προτείνεται κάποια συγκεκριμένη διαδικασία εγγραφής β. Επίπεδο Αυθεντικοποίησης 0 και δεν προτείνεται η αξιοποίηση κάποιου μηχανισμού αυθεντικοποίησης.

9.Στο ΚΥ.10 να προστεθεί ο όρος «ή συνδυασμός τους με τα ψηφιακά πιστοποιητικά μίας χρήσης». Ο ΚΥ.10 προτείνεται να τροποποιηθεί ως εξής:

ΚΥ.10: Υπηρεσίες που έχουν υιοθετήσει το Επίπεδο Αυθεντικοποίησης 1 ΘΑ ΠΡΕΠΕΙ ΝΑ αξιοποιήσουν ως μηχανισμό αυθεντικοποίησης τα «ΣΥΝΘΗΜΑΤΙΚΑ» ή συνδυασμό των «ΣΥΝΘΗΜΑΤΙΚΩΝ» με «ΣΥΝΘΗΜΑΤΙΚΑ ΜΙΑΣ ΧΡΗΣΗΣ» ή συνδυασμό των «ΣΥΝΘΗΜΑΤΙΚΩΝ» με «ΑΥΘΕΝΤΙΚΟΠΟΙΗΣΗ ΔΥΟ ΠΑΡΑΓΟΝΤΩΝ»

10.Στον ΚΥ.15 προτείνεται να συμπληρωθούν τα επίπεδα εγγραφής 1, 2 και 3 για μεγαλύτερη σαφήνεια. Συγκεκριμένα, ο κανόνας θα μπορούσε να διαμορφωθεί ως εξής:

ΚΥ.15: Ο Φορέας ΠΡΕΠΕΙ ΝΑ δημοσιοποιήσει τα απαραίτητα στοιχεία και έγγραφα που απαιτούνται για την εγγραφή των ενδιαφερόμενων στην υπηρεσία επιπέδου εγγραφής 1, 2 ή 3.

11.Ο ΚΜ.1 προτείνεται να γίνει υποχρεωτικός. Επίσης, να απαλειφθούν όλες οι αναφορές στην Πύλη ΕΡΜΗΣ καθώς επίσης και να διατυπωθεί ότι μεταξύ της Αρχής Εγγραφής και του εξυπηρετητή της υπηρεσίας είναι απαραίτητο να υπάρχει και να λειτουργεί αποτελεσματικά μία καλά ορισμένη σχέση εμπιστοσύνης. Ο συγκεκριμένος κανόνας θα μπορούσε να διατυπωθεί ως εξής:

ΚΥ. Μεταξύ της Αρχής Εγγραφής και του εξυπηρετητή της υπηρεσίας ΠΡΕΠΕΙ ΝΑ έχει εγκαθιδρυθεί και να λειτουργεί αποτελεσματικά μία καλά ορισμένη σχέση εμπιστοσύνης (trust relationship).

12.Στον KY.16 όλες οι αναφορές για την πύλη ΕΡΜΗΣ να αλλάξουν σε Αρχή Εγγραφής ή εξυπηρετητής της υπηρεσίας. Πιο συγκεκριμένα:

ΚΥ.16: Κατά την εκτέλεση της υπηρεσίας, η Αρχή Εγγραφής ή ο εξυπηρετητής της υπηρεσίας ΠΡΕΠΕΙ ΝΑ αποθηκεύουν ασφαλώς στοιχεία που να αφορούν το ιστορικό κάθε επικοινωνίας (λήψη αιτήσεων, αποστολή απαντήσεων, χρόνος διενέργειας της επικοινωνίας κλπ) με το χρήστη και τον εξυπηρετητή της αντίστοιχης υπηρεσίας, αποκλειστικά και μόνον για σκοπούς διασφάλισης της δυνατότητας ελέγχου (auditing).

13.Ομοίως, στον KY.17 όλες οι αναφορές για την πύλη ΕΡΜΗΣ να αλλάξουν σε Αρχή Εγγραφής ή εξυπηρετητής της υπηρεσίας. Πιο συγκεκριμένα:

ΚΥ.17: ΠΡΕΠΕΙ ΝΑ λαμβάνονται τα κατάλληλα μέτρα ασφάλειας ώστε να ικανοποιούνται οι απαιτήσεις ασφάλειας που τίθενται από το Επίπεδο Εμπιστοσύνης στο οποίο έχει ενταχθεί η υπηρεσία. Οι απαιτήσεις ασφαλείας ΠΡΕΠΕΙ ΝΑ ικανοποιούνται τόσο στο τμήμα επικοινωνίας μεταξύ της Αρχής Εγγραφής και του εξυπηρετητή υπηρεσίας, όσο και στο τμήμα επικοινωνίας μεταξύ Αρχής Εγγραφής και χρήστη.

14.Οι ΚΥ.18, 19, 20 να τροποποιηθούν κατάλληλα και να συντμηθούν στον ακόλουθο κανόνα:

ΚΥ.18: H Αρχή Πιστοποίησης θα ΠΡΕΠΕΙ ΝΑ τηρεί το νομικό πλαίσιο όπως προβλέπεται από την κείμενη σχετική νομοθεσία

 Το ΠΗΔ εντάσσεται στο συνολικό σχεδιασμό της Ελληνικής Δημόσιας Διοίκησης για την παροχή υπηρεσιών Ηλεκτρονικής Διακυβέρνησης σε φορείς, επιχειρήσεις και πολίτες.

Η Υπουργική Απόφαση ΥΑΠ/Φ.40.4/1/989 (ΦΕΚ 1301/Β'/12-04-2012) κύρωσης του ΠΗΔ ρυθμίζει τις αρχές κάτω από τις οποίες θα λειτουργούν οι ηλεκτρονικές υπηρεσίες του Δημοσίου, ώστε να επιτευχθούν οικονομίες κλίμακας προς όφελος των φορέων αλλά και να γίνει ευχερέστερη η πρόσβαση του πολίτη σε αυτές.

Στην απόφαση περιλαμβάνονται:

  • Κανόνες και πρότυπα για το σχεδιασμό, την ανάπτυξη και τη λειτουργία των διαδικτυακών τόπων της Δημόσιας Διοίκησης.
  • Αρχές για την υλοποίηση και την ανάπτυξη πληροφοριακών συστημάτων της Δημόσιας Διοίκησης και την παροχή ολοκληρωμένων ηλεκτρονικών υπηρεσιών από τους φορείς του δημοσίου.
  • Κανόνες και πρότυπα για τη διαλειτουργικότητα, σε οργανωτικό, σημασιολογικό και τεχνολογικό επίπεδο, και για την ανταλλαγή δεδομένων μεταξύ πληροφοριακών συστημάτων των φορέων του δημόσιου τομέα.
  • Κανόνες και πρότυπα για την εγγραφή, ταυτοποίηση και ηλεκτρονική αναγνώριση πολιτών και επιχειρήσεων σε ηλεκτρονικές υπηρεσίες του δημόσιου τομέα.
  • Διαδικασίες διαχείρισης του Μητρώου Διαλειτουργικότητας, για την καταχώρηση των παρεχομένων υπηρεσιών από φορείς της Δημόσιας Διοίκησης.