Avfallsregistret för tillsynsmyndigheter
Tillsynsmyndigheter har tillgång till avfallsregistret för farligt avfall. Myndigheterna kan nå de uppgifter som behövs för tillsyn. Uppgifterna går att hämta ut till det egna verksamhetsstödsystemet med en API-lösning för tillsynsmyndigheter. Då krävs utveckling av det egna systemet.
Sidan vänder sig till
Tillsynsmyndigheter.
Bra att veta
Naturvårdsverkets nuvarande vägledningar om API:erna riktar sig främst till it-utvecklare och verksamhetsutövare. Informationen går i nuläget att använda för att komma igång med utvecklingsarbetet för tillsynsmyndigheter.
Ansluta till Avfallsregistret via API
För att tillsynsmyndigheter ska kunna ansluta sina verksamhetsstödsystem till avfallsregistret med hjälp av API:et, behöver tillsynsmyndigheten och dess utvecklare gå via Naturvårdsverkets E-tjänst för API-anslutning.
Att nå uppgifterna utan API
En tillsynsmyndighet kan begära ut uppgifter från avfallsregistret genom att mejla till registrator@naturvardsverket.se och ange vilka uppgifter som eftersöks. Informationen kommer då som en excelfil.
För att Naturvårdsverket ska kunna verifiera avsändaren bör tillsynsmyndigheter använda en mejladress som tydligt visar att den tillhör en behörig tillsynsmyndighet.
Teknisk guide för Tillsynsmyndigheternas API för Tillsyn
Här finns information om anslutning och beskrivning av Tillsynsmyndigheternas API för att få ut data som rapporterats in till Avfallsregistret, kallat API för Tillsyn. API för Tillsyn är ett publikt REST-baserat API som Naturvårdsverket erbjuder för att kunna hämta rapporter från avfallsregistret.
Verksamheter som hämtar uppgifter från Avfallsregistret från sitt eget verksamhetsstödsystem behöver först ingå ett avtal med Naturvårdsverket för att ansluta till API:et. När avtal har ingåtts sker en så kallad teknisk onboarding.
Teknisk onboarding - steg för steg
Ansök om anslutning via E-tjänsten ”API -anslutning”. Läs mer om hur det går till där som passar din situation.
Teknisk information
Service style
REST
Datautbytesformat
JSON
Transport security
Tvåvägsautentisering (mTLS) används varför det krävs ett klientcertifikat från en godkänd utfärdare.
Autentisering
OAuth2 Bearer används och i samband med anslutning får verksamhetsutövaren en access token med en ettårsgräns.
URL:er
- Produktionsmiljö
https://api.naturvardsverket.se/btfa/tillsyn/v1/[resource name]... - Testmiljö
https://api-test.naturvardsverket.se/btfa/tillsyn/v1/[resource name]... - Sandbox finns ej tillgängligt i dagsläget.
Språk
De flesta datafält är namngivna på svenska.
Request headers
NV-Client-System-ID (obligatoriskt) ska innehålla namn och version avseende det anslutande systemet.
NV-Client-Tracking-ID (frivilligt) returneras alltid i svaret och kan användas för att spåra förfrågan med ett valfritt id. Om man inte gör något val så kommer ett slumpmässigt UUID (Universal unique identifier, unik identifierare) att inkluderas i svaret.
Swagger-fil, uppdaterad 2024-04-29 (zip)
Observera att Swagger-filen innehåller allt ni kan tänkas behöva under hela implementationsarbetet, så som design och dokumentation till implementation och test. Mer information om hur du använder Swagger kan du hitta på https://swagger.io/about/
Beskrivning av metoder och resurser
| Metoder | Resurs | Beskrivning |
|---|---|---|
| GET | /anteckningar/{}anteckningsid | Anrop för att hämta en anteckning med anteckningsid. |
| GET | /anteckningar/ | Anrop för att hämta en anteckning med avfallid. |
| GET | /anteckningstyper | Värdeförråd för anteckningstyper |
| GET | /anteckningar/transportplanering | Hämtar anteckningar gällande uppkomst av farligt avfall och planerad transport av detta enligt SFS 2020:614 Kap 6 § 1. Obligatoriskt att ange år. |
| GET | /anteckningar/transport | Hämtar anteckningar gällande transport av farligt avfall enligt SFS 2020:614 Kap 6 § 2. Obligatoriskt att ange år. |
| GET | /anteckningar/insamlingsmottagning | Hämtar anteckningar gällande mottagning av farligt avfall för insamling och sortering enligt SFS 2020:614 Kap 6 § 3.1. Obligatoriskt att ange år. |
| GET | /anteckningar/insamlingsborttransport | Hämtar anteckningar gällande transport av farligt avfall efter insamling och sortering enligt SFS 2020:614 Kap 6 § 3.2. Obligatoriskt att ange år. |
| GET | /anteckningar/handel | Hämtar anteckningar gällande handel med farligt avfall enligt SFS 2020:614 Kap 6 § 4. Obligatoriskt att ange år och organisationsnummer. |
| GET | /anteckningar/behandlingsmottagning | Hämtar anteckningar gällande mottagning av farligt avfall för behandling enligt SFS 2020:614 Kap 6 § 5.1. Obligatoriskt att ange år. |
| GET | /anteckningar/behandlingsresultat | Hämtar anteckningar gällande resultat av behandling farligt avfall enligt SFS 2020:614 Kap 6 § 5.2. Detta rapporteras kvartalsvis. Obligatoriskt att ange år. |
| GET | /anteckningar/behandlingstransport | Hämtar anteckningar gällande transport av farligt avfall som uppstått efter behandling enligt SFS 2020:614 Kap 6 § 5.3. Obligatoriskt att ange år. |
Vanligaste felen och orsaker till dessa
{
"Title": "InputValidationException",
"StatusCode": 400,
"Message": "Ett eller flera valideringsfel har inträffat.",
"TraceId": "8000024d-0000-c000-b63f-84710c7967bb",
"Errors": [
{
"Message": "Verksamhetsutövare saknas",
"Code": 1021
}
]
}
- Anropet saknar obligatorisk parameter.
<ams:fault xmlns:ams="http://wso2.org/apimanager/security">
<ams:code>900901</ams:code>
<ams:message>Invalid Credentials</ams:message>
<ams:description>Access failure for API: /btfa/anteckning/v1, version: v1 status: (900901) - Invalid Credentials. Make sure you have provided the correct security credentials</ams:description>
</ams:fault>
- Dubbelkolla om du angivit rätt Token.
<head>
<title>502 Bad Gateway</title>
</head>
<body>
<center>
<h1>502 Bad Gateway</h1>
</center>
<hr>
<center>Microsoft-Azure-Application-Gateway/v2</center>
</body>
- Ditt certifikat har troligtvis gått ut. Dubbelkolla certifikatets giltighetstid och om det behöver förnyas.
Rutin för test av integration
TBD
Avtal om produktionsanslutning
När ett system är godkänt för anslutning till produktionsmiljön måste också ett avtal om produktionsanslutning upprättas med Naturvårdsverket för att möjliggöra uppgiftslämnande till avfallsregistret.
Verksamhetsutövare som avser ansluta till avfallsregistrets API för produktionsmiljö ska upprätta avtal med Naturvårdsverket enligt följande:
- Fyll i avtalsmallen.
- Skriv ut i ett exemplar.
- Avtalet undertecknas av behörig firmatecknare.
- Skanna avtalet och maila till kundtjanst@naturvardsverket.se eller via post till Naturvårdsverket, 106 48 Stockholm.
- Skicka med följande bilagor:
a) Registreringsbevis (ej äldre än tre månader) som styrker att undertecknande person är behörig.
b) Ev. klientcertifikat.
Naturvårdsverket granskar avtalet och returnerar det signerat med e-post till den kontaktperson som anges på avtalet. Då både avtal och klientcertifikat är godkända skickas inloggningsuppgifter och åtkomstnyckel till produktionsmiljö via Mina meddelanden eller krypterad e-post (se Checklista för anslutning).
Notera att som tumregel krävs ett avtal och klientcertifikat per juridisk person. Moderbolag kan dock agera som tjänsteleverantör för sina dotterbolag. Ta kontakt med kundtjanst@naturvardsverket.se för att få veta mer.
Om viss information som lämnats av verksamhetsutövaren i avtalet i efterhand ändras, som exempelvis att en verksamhet efter en viss tid byter kontaktperson, är det viktigt att verksamhetsutövaren kontaktar Naturvårdsverket med uppdaterad information.
Avtal om produktionsanslutning – BTFA och API för anteckning v. 3.0 (pdf 188 kB)
Allmänna villkor för anslutning till BTFA via API för anteckning
Så behandlar vi dina personuppgifter
Det är dataskyddsförordningen och övrig dataskyddslagstiftning som styr hur Naturvårdsverket ska behandla personuppgifter.
Naturvårdsverket är ansvarig för behandling av personuppgifter när uppgifter lämnas till avfallsregistret.
Ändamål och rättslig grund för behandling av dina personuppgifter
Naturvårdsverket behandlar dina personuppgifter i samband med att du identifierar dig med e-legitimation för att ansluta till e-tjänsten. När du loggar in vet Naturvårdsverket vem som lämnar in uppgifter för viss verksamhetsutövares räkning. Naturvårdsverket behandlar vidare dina personuppgifter vid förande av avfallsregistret.
Ett ytterligare ändamål är behandling av verksamhetsutövares eller dennes ombuds personuppgifter är för att sköta administration och avtalshantering med anledning av vederbörandes anslutning till Naturvårdsverkets API för bastjänst farligt avfall.
Personuppgifter kan även komma att behandlas vid Naturvårdsverkets framställande av statistik. I de fall arkivering behöver ske kommer personuppgifter även att behandlas för arkivändamål.
Rättslig grund för personuppgiftsbehandlingen är uppgift av allmänt intresse.
Vilka personuppgifter samlar Naturvårdsverket in?
Naturvårdsverket samlar in för- och efternamn avseende företrädare för verksamhetsutövare, behöriga företrädares namnteckning och namnförtydligande vid undertecknande av avtal, telefonnummer och e-postadress samt personnummer om det är en enskild näringsidkare (enskild firma) som lämnar uppgifter till avfallsregistret. Personnummer behandlas även i samband med inloggning i e-tjänsten.
Vilka kan vara mottagare av personuppgifter som lämnas till Naturvårdsverket?
Naturvårdsverkets leverantörer av it-drift, it-förvaltning och utveckling samt ärendehanteringssystem kommer att ha tillgång till dina personuppgifter för att utföra sina uppdrag.
Uppgifter som lämnas in till Naturvårdsverket blir allmänna handlingar hos myndigheten och kan därmed begäras ut enligt tryckfrihetsförordningen. Om personuppgifter finns i en allmän handling kan de som begär ut denna ta del av dessa personuppgifter om personuppgifterna inte omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400). Naturvårdsverket gör alltid en sekretessprövning innan myndigheten lämnar ut allmänna handlingar.
Hur länge sparar Naturvårdsverket personuppgifter?
Personuppgifter i allmänna handlingar bevaras och gallras i enlighet med arkivlagstiftningen, Riksarkivets föreskrifter och myndighetens beslut om tillämpning av dessa föreskrifter.
Dina rättigheter
Du har ett antal rättigheter enligt dataskyddförordningen när dina personuppgifter behandlas. Du har rätt att begära tillgång till dina personuppgifter (registerutdrag), rättelse, radering eller begränsning av behandling av dina personuppgifter. Du kan även invända mot personuppgiftsbehandlingen.
Du har även rätt att inge klagomål till Integritetsskyddsmyndigheten som är tillsynsmyndighet på dataskyddsområdet.
Kontaktuppgifter till Naturvårdsverket och myndighetens dataskyddsombud: Tel: 010-698 10 00.
E-post: registrator@naturvardsverket.se
E-post: dataskyddsombud@naturvardsverket.se
Certifikat krävs för att identifiera anslutande system
Både offentliga och privata verksamheter kan ansluta sina verksamhetssystem till Naturvårdsverkets API:er för att lämna in information. För att det ska ske på ett säkert sätt används så kallade klient- och servercertifikat.
Ett certifikat fungerar som en e-legitimation mellan system och är en förutsättning för krypterad trafik, som förhindrar att informationen påverkas eller avlyssnas när den skickas mellan system. Med ett server-certifikat, som Naturvårdsverket har, kan anslutande part också vara säker på att anropet skickas till rätt tjänst och att det returnerade svaret är pålitligt. Ett klient-certifikat gör att Naturvårdsverket som erbjuder API-tjänsten kan vara säker på att information skickas från en betrodd part, vilket regleras genom avtal och kvalificeras genom tester.
Notera att det är det anslutande systemet som behöver kunna identifieras med hjälp av klientcertifikatet, inte den anslutande aktören. Se avsnittet Det här gäller för olika aktörer. Respektive anslutande organisation identifieras genom den tilldelade Inloggningsuppgifter och åtkomstnyckeln.
Certifikat för anslutning
Naturvårdsverket begär att organisationer och verksamheter som vill ansluta till myndighetens API:er utgår från EU:s lista över leverantörer av kvalificerade tjänster för eIDAS och skaffar ett kvalificerat certifikat av typen Qualified Certificate for Website Authentication (QWAC).
Leverantörerna på denna lista är certifierade enligt ETSI TS 102 042-standarden för elektroniska certifikat. Det är en europeisk certifiering baserat på ett EU-direktiv som syftar till att underlätta digital kommunikation mellan myndigheter, medborgare och företag i Europa.
QWAC kan användas både för identifiering av en webbplats (server) som en webbplats-användare (client). Notera att det är viktigt att ”client” finns med, leverantörerna har inte alltid detta som standard. Certifikatet ska användas för server- till serverkommunikation.
QWAC är en typ av certifikat som kommer bli standard för banker och andra finansiella institut inom EU genom PSD2-direktivet. Av den anledningen finns en utökning av certifikatet för PSD2. Naturvårdsverket har dock inga krav på att certifikaten ska kunna användas för finansiella tjänster inom Europa. PSD2 behöver inte ingå.
Kostnad för certifikat och hur lång tid det tar att få ett certifikat varierar mellan certifikatutfärdarna. Normalt kan det ta ett par veckor att få sitt certifikat på plats, och ibland kan det krävas det ett fysiskt besök hos leverantörerna för att verifiera sin identitet.
EU:s lista över eIDAS Trust service providers
Naturvårdsverket har inte några samarbeten med enskilda leverantörer eller återförsäljare av klientcertifikat, utan rekommenderar att man utgår från kraven ovan och gärna tar hjälp av EU:s lista.
Naturvårdsverket accepterar även klientcertifikat Steria AB EID CA v2 med 2 års giltighet utfärdat av Expisoft förutom QWAC.
Villkor för API
Särskilda villkor gäller för Naturvårdsverkets API. Se separat information för testmiljö respektive anslutning för tillsyn.
Mer svar och information
Vi ser att implementeringen av avfallsregistret kommer att ta ytterligare en tid. Både Naturvårdsverket och tillsynsmyndigheter bör fortsätta att prioritera kunskapsspridning om förändringarna.
Frågor och svar
Här samlar vi vanliga frågor och svar kring tillsyn och avfallsregistret.
Varför kan Naturvårdsverket inte svara på frågor om hur just min verksamhet ska anteckna och rapportera?
Naturvårdsverket har på ett stort antal miljörättsliga områden, även i fråga om bestämmelserna om antecknings- och rapporteringsskyldighet i avfallsförordningen, rollen som tillsynsvägledande myndighet. Som tillsynsvägledande myndighet ska vi ge råd och stöd till de operativa tillsynsmyndigheterna, bland annat genom att ta fram tillsynsvägledning för tillämpningen av till exempel bestämmelserna om antecknings- och rapporteringsskyldighet. Vi har också en serviceskyldighet som innebär att vi ska ge upplysningar, vägledning, råd och annan sådan hjälp till enskilda i frågor som rör vårt verksamhetsområde, genom att till exempel redogöra för bestämmelser i gällande författningar (lagar, förordningar och föreskrifter). Vi kan däremot inte ta ställning till hur bestämmelser ska tillämpas i det enskilda fallet och kan inte ställa krav eller medverka i beslutsfattandet gällande enskilda verksamheter/ärenden.
Ansvaret för att kontrollera hur en enskild verksamhet lever upp till avfallsförordningens bestämmelser ligger hos tillsynsmyndigheten. Det är alltså tillsynsmyndigheten som i det enskilda fallet kan besluta om att en verksamhet inte uppfyller sina skyldigheter eller att verksamheten behöver vidta särskilda åtgärder för att se till att reglerna följs.
Om Naturvårdsverket skulle ta ställning till exempel i fråga om hur en enskild verksamhet ska leva upp till sina skyldigheter skulle vi agera tillsynsmyndighet och därmed gå utöver vårt mandat som tillsynsvägledande myndighet.
Utöver detta kan nämnas att Naturvårdsverket har ett särskilt ansvar för att tillhandahålla det elektroniska avfallsregistret som uppgifter om farligt avfall rapporteras i. Vi har också rätt att meddela vissa föreskrifter.
Får tillsynsmyndigheten tillgång till alla uppgifter som verksamhetsutövarna lämnar in?
Tillsynsmyndigheterna har rätt att få ut de uppgifter från avfallsregistret som de behöver för sin tillsyn. Möjligheten att begära ut uppgifter ur avfallsregistret är anpassad till kraven i GDPR.
Kommer tillsynsmyndigheter få automatiska meddelanden via avfallsregistret om rapportering inte skett i samband med till exempel överlämnande av farligt avfall?
Nej, tillsynsmyndigheterna kommer inte i dagsläget att kunna få några notifieringar om inlämnade anteckningar. Däremot kan de ta del av anteckningarna som görs inom deras tillsynsområde.
Vad händer om min verksamhet inte rapporterar i systemet?
Naturvårdsverket arbetar för att alla berörda aktörer ska känna till och kunna följa de nya kraven. Tillsynsmyndigheterna ska se till att reglerna följs och kan vidta åtgärder när det behövs. Åtgärderna ska vara rimliga och proportionella. I vissa fall räcker det med information eller rådgivning. I andra situationer kan mer ingripande åtgärder som förelägganden behövas.
Från och med 1 januari 2022 gäller en bestämmelse om en ny miljösanktionsavgift. Den verksamhet som rapporterar in uppgifter om sitt farliga avfall försent till avfallsregistret kan behöva betala en miljösanktionsavgift om 5000 kronor. Bestämmelsen följer av 11 kap 8 b § i förordning (2012:259) om miljösanktionsavgifter.