Avfallsregistret för tillsynsmyndigheter
Tillsynsmyndigheter har tillgång till avfallsregistret för farligt avfall. Myndigheterna kan nå de uppgifter som behövs för tillsyn. Uppgifterna går att hämta ut till det egna verksamhetsstödsystemet med en API-lösning för tillsynsmyndigheter. Då krävs utveckling av det egna systemet.
Sidan vänder sig till
Tillsynsmyndigheter.
Bra att veta
Naturvårdsverkets nuvarande vägledningar om API:erna riktar sig främst till it-utvecklare och verksamhetsutövare. Informationen går i nuläget att använda för att komma igång med utvecklingsarbetet för tillsynsmyndigheter.
Överenskommelse mellan myndigheter
För att tillsynsmyndigheter ska kunna ansluta sina verksamhetsstödsystem till avfallsregistret med hjälp av API:et, behöver tillsynsmyndigheten skriva en överenskommelse med Naturvårdsverket. Ifylld överenskommelse e-postas till kundtjanst@naturvardsverket.se eller postas till Naturvårdsverket.
Mer om API för tillsyn
De flesta tillsynsmyndigheter kommer att använda tjänsteleverantörer som utvecklar det egna systemet. Om tillsynsmyndigheten utvecklar sitt eget verksamhetstödsystem behöver den också ett klientcertifikat.
Läs övergripande om anslutning till avfallsregistret med hjälp av API
Läs vad som gäller för tjänsteleverantörer
Här menas systemutvecklare som levererar verksamhetssystem till verksamhetsutövare i form av en tjänst. Tjänsteleverantören ansvarar för att verksamhetssystemet är identifierbart med hjälp av ett klientcertifikat. För att ansluta till API:et krävs att:
- Tjänsteleverantören har
- Skickat in en begäran om anslutning till API för testmiljö till Naturvårdsverket
- Ett klientcertifikat
- Inloggningsuppgifter och åtkomstnyckel till testmiljö (utfärdas av Naturvårdsverket)
- Verksamhetsutövare som köper tjänsten har
- Ett avtal för produktionsanslutning med Naturvårdsverket
- Inloggningsuppgifter och åtkomstnyckel till produktionsmiljö (utfärdas av Naturvårdsverket)
Begäran om åtkomst för testanslutning
Den aktör som utvecklar en integration mot avfallsregistrets API måste genomföra tester mot testmiljön innan systemet kan godkännas för produktionsanslutning. För att kunna genomföra dessa tester behövs åtkomst till testmiljön.
- Fyll i mall ”Begäran om anslutning till API för testmiljö”
- Maila till kundtjanst@naturvardsverket.se tillsammans med följande bilaga:
a. Klientcertifikat utställt på samma organisationsnummer som begäran avser.
Begäran om anslutning till API för testmiljö v. 2.0 (pdf 103 kb)
Användarvillkor API för testmiljö – Bastjänst Farligt Avfall
Avtal om produktionsanslutning
När ett system är godkänt för anslutning till produktionsmiljön måste också ett avtal om produktionsanslutning upprättas med Naturvårdsverket för att möjliggöra uppgiftslämnande till avfallsregistret.
Verksamhetsutövare som avser ansluta till avfallsregistrets API för produktionsmiljö ska upprätta avtal med Naturvårdsverket enligt följande:
- Fyll i avtalsmallen.
- Skriv ut i ett exemplar.
- Avtalet undertecknas av behörig firmatecknare.
- Skanna avtalet och maila till kundtjanst@naturvardsverket.seeller via post till Naturvårdsverket, 106 48 Stockholm.
- Skicka med följande bilagor:
a) Registreringsbevis (ej äldre än tre månader) som styrker att undertecknande person är behörig.
b) Ev. klientcertifikat.
Naturvårdsverket granskar avtalet och returnerar det signerat med e-post till den kontaktperson som anges på avtalet. Då både avtal och klientcertifikat är godkända skickas inloggningsuppgifter och åtkomstnyckel till produktionsmiljö via Mina meddelanden eller krypterad e-post (se Checklista för anslutning).
Notera att som tumregel krävs ett avtal och klientcertifikat per juridisk person. Moderbolag kan dock agera som tjänsteleverantör för sina dotterbolag. Ta kontakt med kundtjanst@naturvardsverket.se för att få veta mer.
Om viss information som lämnats av verksamhetsutövaren i avtalet i efterhand ändras, som exempelvis att en verksamhet efter en viss tid byter kontaktperson, är det viktigt att verksamhetsutövaren kontaktar Naturvårdsverket med uppdaterad information.
Avtal om produktionsanslutning – BTFA och API för anteckning v. 3.0 (pdf 188 kB)
Allmänna villkor för anslutning till BTFA via API för anteckning
Så behandlar vi dina personuppgifter
Det är dataskyddsförordningen och övrig dataskyddslagstiftning som styr hur Naturvårdsverket ska behandla personuppgifter.
Naturvårdsverket är ansvarig för behandling av personuppgifter när uppgifter lämnas till avfallsregistret.
Ändamål och rättslig grund för behandlingen av dina personuppgifter
Naturvårdsverket behandlar dina personuppgifter i samband med att du identifierar dig med e-legitimation för att ansluta till e-tjänsten. När du loggar in vet Naturvårdsverket vem som lämnar in uppgifter för viss verksamhetsutövares räkning. Naturvårdsverket behandlar vidare dina personuppgifter vid förande av avfallsregistret.
Ett ytterligare ändamål är behandling av verksamhetsutövares eller dennes ombuds personuppgifter är för att sköta administration och avtalshantering med anledning av vederbörandes anslutning till Naturvårdsverkets API för bastjänst farligt avfall.
Personuppgifter kan även komma att behandlas vid Naturvårdsverkets framställande av statistik. I de fall arkivering behöver ske kommer personuppgifter även att behandlas för arkivändamål.
Rättslig grund för personuppgiftsbehandlingen är uppgift av allmänt intresse.
Vilka personuppgifter samlar Naturvårdsverket in?
Naturvårdsverket samlar in för- och efternamn avseende företrädare för verksamhetsutövare, behöriga företrädares namnteckning och namnförtydligande vid undertecknande av avtal, telefonnummer och e-postadress samt personnummer om det är en enskild näringsidkare (enskild firma) som lämnar uppgifter till avfallsregistret. Personnummer behandlas även i samband med inloggning i e-tjänsten.
Vilka kan vara mottagare av personuppgifter som lämnas till Naturvårdsverket?
Naturvårdsverkets leverantörer av it-drift, it-förvaltning och utveckling samt ärendehanteringssystem kommer att ha tillgång till dina personuppgifter för att utföra sina uppdrag.
Uppgifter som lämnas in till Naturvårdsverket blir allmänna handlingar hos myndigheten och kan därmed begäras ut enligt tryckfrihetsförordningen. Om personuppgifter finns i en allmän handling kan de som begär ut denna ta del av dessa personuppgifter om personuppgifterna inte omfattas av sekretess enligt offentlighets- och sekretesslagen (2009:400). Naturvårdsverket gör alltid en sekretessprövning innan myndigheten lämnar ut allmänna handlingar.
Hur länge sparar Naturvårdsverket personuppgifter?
Personuppgifter i allmänna handlingar bevaras och gallras i enlighet med arkivlagstiftningen, Riksarkivets föreskrifter och myndighetens beslut om tillämpning av dessa föreskrifter.
Dina rättigheter
Du har ett antal rättigheter enligt dataskyddförordningen när dina personuppgifter behandlas. Du har rätt att begära tillgång till dina personuppgifter (registerutdrag), rättelse, radering eller begränsning av behandling av dina personuppgifter. Du kan även invända mot personuppgiftsbehandlingen.
Du har även rätt att inge klagomål till Integritetsskyddsmyndigheten som är tillsynsmyndighet på dataskyddsområdet.
Kontaktuppgifter till Naturvårdsverket och myndighetens dataskyddsombud: Tel: 010-698 10 00.
E-post: registrator@naturvardsverket.se
Certifikat krävs för att identifiera anslutande system
Både offentliga och privata verksamheter kan ansluta sina verksamhetssystem till Naturvårdsverkets API:er för att lämna in information. För att det ska ske på ett säkert sätt används så kallade klient- och servercertifikat.
Ett certifikat fungerar som en e-legitimation mellan system och är en förutsättning för krypterad trafik, som förhindrar att informationen påverkas eller avlyssnas när den skickas mellan system. Med ett server-certifikat, som Naturvårdsverket har, kan anslutande part också vara säker på att anropet skickas till rätt tjänst och att det returnerade svaret är pålitligt. Ett klient-certifikat gör att Naturvårdsverket som erbjuder API-tjänsten kan vara säker på att information skickas från en betrodd part, vilket regleras genom avtal och kvalificeras genom tester.
Notera att det är det anslutande systemet som behöver kunna identifieras med hjälp av klientcertifikatet, inte den anslutande aktören. Se avsnittet Det här gäller för olika aktörer. Respektive anslutande organisation identifieras genom den tilldelade Inloggningsuppgifter och åtkomstnyckeln.
Certifikat för anslutning
Naturvårdsverket begär att organisationer och verksamheter som vill ansluta till myndighetens API:er utgår från EU:s lista över leverantörer av kvalificerade tjänster för eIDAS och skaffar ett kvalificerat certifikat av typen Qualified Certificate for Website Authentication (QWAC).
Leverantörerna på denna lista är certifierade enligt ETSI TS 102 042-standarden för elektroniska certifikat. Det är en europeisk certifiering baserat på ett EU-direktiv som syftar till att underlätta digital kommunikation mellan myndigheter, medborgare och företag i Europa.
QWAC kan användas både för identifiering av en webbplats (server) som en webbplats-användare (client). Notera att det är viktigt att ”client” finns med, leverantörerna har inte alltid detta som standard. Certifikatet ska användas för server- till serverkommunikation.
QWAC är en typ av certifikat som kommer bli standard för banker och andra finansiella institut inom EU genom PSD2-direktivet. Av den anledningen finns en utökning av certifikatet för PSD2. Naturvårdsverket har dock inga krav på att certifikaten ska kunna användas för finansiella tjänster inom Europa. PSD2 behöver inte ingå.
Kostnad för certifikat och hur lång tid det tar att få ett certifikat varierar mellan certifikatutfärdarna. Normalt kan det ta ett par veckor att få sitt certifikat på plats, och ibland kan det krävas det ett fysiskt besök hos leverantörerna för att verifiera sin identitet.
EU:s lista över eIDAS Trust service providers
Naturvårdsverket har inte några samarbeten med enskilda leverantörer eller återförsäljare av klientcertifikat, utan rekommenderar att man utgår från kraven ovan och gärna tar hjälp av EU:s lista.
Att nå uppgifterna utan API
En tillsynsmyndighet kan begära ut uppgifter från avfallsregistret genom att mejla till registrator@naturvardsverket.se och ange vilka uppgifter som eftersöks. Informationen kommer då som en excelfil.
För att Naturvårdsverket ska kunna verifiera avsändaren bör tillsynsmyndigheter använda en mejladress som tydligt visar att den tillhör en behörig tillsynsmyndighet.
Mer svar och information
Vi ser att implementeringen av avfallsregistret kommer att ta ytterligare en tid. Både Naturvårdsverket och tillsynsmyndigheter bör fortsätta att prioritera kunskapsspridning om förändringarna.
Frågor och svar
Här samlar vi vanliga frågor och svar kring tillsyn och avfallsregistret.
Varför kan Naturvårdsverket inte svara på frågor om hur just min verksamhet ska anteckna och rapportera?
Naturvårdsverket har på ett stort antal miljörättsliga områden, även i fråga om bestämmelserna om antecknings- och rapporteringsskyldighet i avfallsförordningen, rollen som tillsynsvägledande myndighet. Som tillsynsvägledande myndighet ska vi ge råd och stöd till de operativa tillsynsmyndigheterna, bland annat genom att ta fram tillsynsvägledning för tillämpningen av till exempel bestämmelserna om antecknings- och rapporteringsskyldighet. Vi har också en serviceskyldighet som innebär att vi ska ge upplysningar, vägledning, råd och annan sådan hjälp till enskilda i frågor som rör vårt verksamhetsområde, genom att till exempel redogöra för bestämmelser i gällande författningar (lagar, förordningar och föreskrifter). Vi kan däremot inte ta ställning till hur bestämmelser ska tillämpas i det enskilda fallet och kan inte ställa krav eller medverka i beslutsfattandet gällande enskilda verksamheter/ärenden.
Ansvaret för att kontrollera hur en enskild verksamhet lever upp till avfallsförordningens bestämmelser ligger hos tillsynsmyndigheten. Det är alltså tillsynsmyndigheten som i det enskilda fallet kan besluta om att en verksamhet inte uppfyller sina skyldigheter eller att verksamheten behöver vidta särskilda åtgärder för att se till att reglerna följs.
Om Naturvårdsverket skulle ta ställning till exempel i fråga om hur en enskild verksamhet ska leva upp till sina skyldigheter skulle vi agera tillsynsmyndighet och därmed gå utöver vårt mandat som tillsynsvägledande myndighet.
Utöver detta kan nämnas att Naturvårdsverket har ett särskilt ansvar för att tillhandahålla det elektroniska avfallsregistret som uppgifter om farligt avfall rapporteras i. Vi har också rätt att meddela vissa föreskrifter.
Får tillsynsmyndigheten tillgång till alla uppgifter som verksamhetsutövarna lämnar in?
Tillsynsmyndigheterna har rätt att få ut de uppgifter från avfallsregistret som de behöver för sin tillsyn. Möjligheten att begära ut uppgifter ur avfallsregistret är anpassad till kraven i GDPR.
Kommer tillsynsmyndigheter få automatiska meddelanden via avfallsregistret om rapportering inte skett i samband med till exempel överlämnande av farligt avfall?
Nej, tillsynsmyndigheterna kommer inte i dagsläget att kunna få några notifieringar om inlämnade anteckningar. Däremot kan de ta del av anteckningarna som görs inom deras tillsynsområde.
Vad händer om min verksamhet inte rapporterar i systemet?
Naturvårdsverket arbetar för att alla berörda aktörer ska känna till och kunna följa de nya kraven. Tillsynsmyndigheterna ska se till att reglerna följs och kan vidta åtgärder när det behövs. Åtgärderna ska vara rimliga och proportionella. I vissa fall räcker det med information eller rådgivning. I andra situationer kan mer ingripande åtgärder som förelägganden behövas.
Från och med 1 januari 2022 gäller en bestämmelse om en ny miljösanktionsavgift. Den verksamhet som rapporterar in uppgifter om sitt farliga avfall försent till avfallsregistret kan behöva betala en miljösanktionsavgift om 5000 kronor. Bestämmelsen följer av 11 kap 8 b § i förordning (2012:259) om miljösanktionsavgifter.