Statskontoret har nyligen släppt sin efterlängtade
vägledning "Myndigheternas spamhantering". En vägledning för
offentlig sektor att bekämpa spam utan att man för den skull
riskerar att bryta mot gällande lagstiftning. Främst är hänsyn
tagen till tryckfrihetsförordningen, förvaltningslagen och
arkivlagen. Statskontoret poängterar att det ytterst är varje
myndighet som avgör hur lagstiftningen skall tolkas och tillämpas.
Vägledningen innehåller intressanta resonemang och ett antal
eleganta analogier. Vägledningen är klart läsvärd även utanför
offentlig sektor.
Vägledningen saknar tyvärr två viktiga klarlägganden. Dels vad ett
textmeddelande är och dels när ett mail är inkommet. Definitionen
av ett textmeddelande är intressant, eftersom man i förarbetet till
ändringen av §5 i förvaltningslagen säger att myndigheten skall
acceptera textmeddelanden (se vidare min krönika i CS 26/11 2004).
Definitionen när ett mail anses inkommet är också intressant,
eftersom det är först vid den tidpunkten den berörs av den
lagstiftning som rör inkomna handlingar.
Vägledningen gör ett försök med att definiera när ett mail anses
inkommet men konstaterar samtidigt att definitionen är komplicerad
eftersom lagstiftaren hittills haft pappershandlingar i åtanke.
Statskontorets vägledning hänvisar bland annat till den definition
som SAMSET-projektet gjorde 2002. Den definitionen säger att
elektroniska handlingar skall anses som inkomna när de har nått den
funktion för automatiserad behandling som myndigheten har anvisat
som mottagningsställe.
Utanför offentlig sektor är det glasklart när ett mail anses
inkommet. Det är när den eller de mailservers som angivits som
mottagare för E-post för den aktuella domänen accepterat mailet med
koden "250 OK" efter den avslutande punkten. Där har mottagarens
mailserver, eller den part som mottagaren delegerat ansvaret till,
accepterat det inkomna mailet och tagit ansvar för detta. Då det
inte råder några tvivel att Statskontorets vägledning är begränsad
till att avse SMTP (RFC2821, RFC2822) hade det varit rimligt att
anamma samma princip för inkommen mail som gäller för alla andra
och i enlighet med RFC2821. Det hade underlättat både tekniskt och
juridiskt med en tydlig gräns när ett mail anses inkommet och
tillika anses som inkommen handling.
Vägledningen öppnar upp för en metod som innebär att en kontroll
av mail kan ske vid en tidpunkt efter det att ett mail accepterats
med koden "250 OK" och innan det skickats till myndighetens
mottagningsställe. Denna metod bör i möjligaste mån undvikas. Alla
kontroller, allt från DNS-relaterade kontroller till virus- och
spam-kontroller, skall så långt det är möjligt ske inom ramen för
SMTP-dialogen och givetvis innan ett mail accepteras med koden "250
OK". I de fall mail inte accepteras skall självfallet dialogen
avslutas med en annan kod än 250. Det är fullt möjligt att bygga
denna typ av lösningar och det görs redan idag så varför denna
öppning görs i vägledningen är oklar. Den bidrar istället till att
gränsen för ett inkommet mail fortsatt varierar från myndighet till
myndighet. Den bidrar också till att definitionen när en
elektronisk handling anses inkommen är fortsatt diffus, inte minst
ur ett medborgarperspektiv.
© 2005 Thomas Nilsson, Certezza AB
