Statskontoret har nyligen släppt sin efterlängtade vägledning “Myndigheternas spamhantering”. En vägledning för offentlig sektor att bekämpa spam utan att man för den skull riskerar att bryta mot gällande lagstiftning. Främst är hänsyn tagen till tryckfrihetsförordningen, förvaltningslagen och arkivlagen. Statskontoret poängterar att det ytterst är varje myndighet som avgör hur lagstiftningen skall tolkas och tillämpas. Vägledningen innehåller intressanta resonemang och ett antal eleganta analogier. Vägledningen är klart läsvärd även utanför offentlig sektor.
Vägledningen saknar tyvärr två viktiga klarlägganden. Dels vad ett textmeddelande är och dels när ett mail är inkommet. Definitionen av ett textmeddelande är intressant, eftersom man i förarbetet till ändringen av §5 i förvaltningslagen säger att myndigheten skall acceptera textmeddelanden (se vidare min krönika i CS 26/11 2004). Definitionen när ett mail anses inkommet är också intressant, eftersom det är först vid den tidpunkten den berörs av den lagstiftning som rör inkomna handlingar.
Vägledningen gör ett försök med att definiera när ett mail anses inkommet men konstaterar samtidigt att definitionen är komplicerad eftersom lagstiftaren hittills haft pappershandlingar i åtanke. Statskontorets vägledning hänvisar bland annat till den definition som SAMSET-projektet gjorde 2002. Den definitionen säger att elektroniska handlingar skall anses som inkomna när de har nått den funktion för automatiserad behandling som myndigheten har anvisat som mottagningsställe.
Utanför offentlig sektor är det glasklart när ett mail anses inkommet. Det är när den eller de mailservers som angivits som mottagare för E-post för den aktuella domänen accepterat mailet med koden “250 OK” efter den avslutande punkten. Där har mottagarens mailserver, eller den part som mottagaren delegerat ansvaret till, accepterat det inkomna mailet och tagit ansvar för detta. Då det inte råder några tvivel att Statskontorets vägledning är begränsad till att avse SMTP (RFC2821, RFC2822) hade det varit rimligt att anamma samma princip för inkommen mail som gäller för alla andra och i enlighet med RFC2821. Det hade underlättat både tekniskt och juridiskt med en tydlig gräns när ett mail anses inkommet och tillika anses som inkommen handling.
Vägledningen öppnar upp för en metod som innebär att en kontroll av mail kan ske vid en tidpunkt efter det att ett mail accepterats med koden “250 OK” och innan det skickats till myndighetens mottagningsställe. Denna metod bör i möjligaste mån undvikas. Alla kontroller, allt från DNS-relaterade kontroller till virus- och spam-kontroller, skall så långt det är möjligt ske inom ramen för SMTP-dialogen och givetvis innan ett mail accepteras med koden “250 OK”. I de fall mail inte accepteras skall självfallet dialogen avslutas med en annan kod än 250. Det är fullt möjligt att bygga denna typ av lösningar och det görs redan idag så varför denna öppning görs i vägledningen är oklar. Den bidrar istället till att gränsen för ett inkommet mail fortsatt varierar från myndighet till myndighet. Den bidrar också till att definitionen när en elektronisk handling anses inkommen är fortsatt diffus, inte minst ur ett medborgarperspektiv.
© 2005 Thomas Nilsson, Certezza AB
Thomas Nilsson
