Särskild rapport
01 2023

Verktyg för att underlätta resor inom EU under covid-19-pandemin Relevanta initiativ – vissa framgångsrika, andra knappt använda

Om rapporten:Syftet med vår revision var att bedöma om kommissionen hade utvecklat ändamålsenliga verktyg för att underlätta resor inom EU under covid19-pandemin. På det hela taget är vår bedömning är att kommissionen, trots sin begränsade behörighet inom folkhälsopolitiken, agerade snabbt och föreslog lämpliga tekniska lösningar för att underlätta resor. Men medlemsstaternas användning av verktygen varierade stort, med följden att effekterna blev ojämna när det gäller att underlätta resor i EU. I vissa fall blev verktygen framgångsrika, i andra användes de knappast alls. Våra rekommendationer är inriktade på behovet av att analysera och ta itu med orsakerna till att vissa verktyg knappt användes, effektivisera kommunikationen om incidenter som rör EU:s digitala covidintyg och förbereda relevanta EU-verktyg för framtida kriser.

Revisionsrättens särskilda rapport i enlighet med artikel 287.4 andra stycket i EUF-fördraget.

Denna publikation finns på 24 språk och i följande format:
PDF
PDF Särskild rapport: Underlättande av resor under pandemin

Sammanfattning

I Efter upptäckten av de första covid-19-fallen i EU började medlemsstaterna i mars 2020 införa reseförbud och andra restriktioner för medborgarnas fria rörlighet. För att underlätta resor och spåra covid-19-fall har kommissionen utvecklat fyra verktyg:

  • Den europeiska samordnade nätslusstjänsten, som säkerställer EU-omfattande interoperabilitet mellan nationella kontaktspårningsappar.
  • EU:s digitala formulär för lokalisering av passagerare, som ersätter pappersformulär som används för att samla in kontaktspårningsinformation under resor.
  • EU:s digitala covidintyg, som bekräftar vaccination mot covid-19, tillfrisknande eller ett negativt test.
  • PLF-utbytesplattformen, som gör att nationella myndigheter i olika medlemsstater kan utbyta kontaktspårningsuppgifter.

II Syftet med vår revision var att bedöma om kommissionen hade utvecklat ändamålsenliga verktyg för att underlätta resor inom EU under covid-19-pandemin. Vårt mål var därför att hitta exempel på god praxis och områden som kan förbättras i kommissionens sätt att utveckla it-verktyg för fri rörlighet under en hälsokris. Denna revision kompletterar vår särskilda rapport 13/2022, där vi bedömde om kommissionen hade vidtagit ändamålsenliga åtgärder för att värna rätten till fri rörlighet under covid-19-pandemin.

III På det hela taget drar vi slutsatsen att kommissionen, trots sin begränsade behörighet inom folkhälsopolitiken, agerade snabbt och föreslog lämpliga tekniska lösningar för att underlätta resor inom EU under covid-19-pandemin. Medlemsstaternas användning av dessa verktyg varierade dock avsevärt, så verktygens effekt när det gäller att underlätta resor var ojämn.

IV Kommissionen mobiliserade snabbt 71 miljoner euro för att utveckla verktygen genom att kombinera flera finansieringskällor och använda befintliga ramavtal i stället för offentliga anbudsförfaranden. Nätslusstjänsten för kontaktspårning blev tillgänglig strax efter att pandemin bröt ut och EU:s digitala covidintyg när vaccinationsinsatserna intensifierades över hela kontinenten. Det tekniska och rättsliga arbetet med dessa verktyg gick snabbt. Flera medlemsstater hade dock redan utvecklat egna digitala formulär för lokalisering av passagerare innan EU:s lösning för passagerarlokalisering blev tillgänglig.

V Vid utformningen av verktygen tog kommissionen hänsyn till dataskyddskrav och god praxis för it-säkerhet. Kommissionen har dock inte befogenhet att kontrollera att de länder som använder EU:s digitala covidintyg uppfyller it-säkerhetskraven.

VI EU:s digitala covidintyg var ändamålsenligt för att underlätta resor och förbättra informationsutbytet och samordningen när det gäller reserestriktioner. Medlemsstaterna och många länder utanför EU använde EU:s digitala covidintyg i stor utsträckning, och i mars 2022 hade över 1,7 miljarder intyg utfärdats i EU- och EES-länderna. Dessutom hade medlemsstaterna i hög grad harmoniserat sina reserestriktioner inom en månad efter det att förordningen om EU:s digitala covidintyg trädde i kraft. Vi konstaterade dock att det var tidskrävande för länderna att informera varandra om incidenter som krävde brådskande åtgärder (t.ex. falska intyg), på grund av svårigheter att identifiera rätt motparter i andra länder.

VII De andra verktyg vi granskade fick inte avsedd effekt, eftersom de användes i begränsad omfattning. EU:s digitala formulär för lokalisering av passagerare användes bara av fyra medlemsstater, medan andra länder fortsatte att förlita sig på nationella lösningar. Såväl PLF-utbytesplattformen som nätslusstjänsten för kontaktspårning användes endast i begränsad omfattning.

VIII På grundval av dessa slutsatser rekommenderar vi att kommissionen

  • analyserar och tar itu med orsakerna till att EU:s digitala formulär för lokalisering av passagerare inte användes så mycket,
  • effektiviserar kommunikationen om incidenter med koppling till EU:s digitala covidintyg,
  • tar fram relevanta EU-verktyg för framtida kriser.

Inledning

01 Den fria rörligheten för personer innebär att unionsmedborgare och deras familjemedlemmar har rätt att fritt röra sig och uppehålla sig inom medlemsstaternas territorier. Den är (tillsammans med den fria rörligheten för varor, tjänster och kapital) en av EU:s fyra grundläggande friheter och har stått i centrum för det europeiska projektet sedan starten1. I direktivet om fri rörlighet2 fastställs tillämpliga villkor och begränsningar.

02 Folkhälsoskyddet är en nationell befogenhet3. Europeiska kommissionen har därför begränsad behörighet inom hälsopolitiken och fokuserar främst på samordning4. Den kan stödja och komplettera de åtgärder som vidtas av medlemsstaterna som har stora befogenheter att fastställa sin egen hälsopolitik5.

03 Efter upptäckten av de första covid-19-fallen började medlemsstaterna i mars 2020 införa gränskontroller och restriktioner för medborgarnas fria rörlighet i ett försök att begränsa pandemins spridning. Kommissionen ansvarade dock för att övervaka huruvida dessa restriktioner var förenliga med EU-lagstiftningen om fri rörlighet. För att begränsa de covid-19-relaterade åtgärdernas effekt på den fria rörligheten tog kommissionen olika initiativ i syfte att främja samordningen mellan medlemsstaterna.

04 Kommissionen utvecklade också följande verktyg för att underlätta resor och hjälpa till att spåra positiva covid-19-fall (i bilaga I finns en detaljerad beskrivning av verktygen):

  • En gemensam nod för olika kontaktspårningssystem: den europeiska samordnade nätslusstjänsten.
  • EU:s digitala formulär för lokalisering av passagerare.
  • EU:s digitala covidintyg.
  • PLF-utbytesplattformen.

05 Kontaktspårningsappar, som anonymt informerar användarna om att de kan ha varit i kontakt med en smittad person, var bland de första verktygen som gjordes tillgängliga. Kommissionen kopplade samman olika medlemsstaters kontaktspårningsappar för att underlätta resor inom EU.

06 Under pandemin uppmanades passagerarna att tillhandahålla kontakt- och lokaliseringsuppgifter via formulär för lokalisering av passagerare, som skickades till berörda nationella myndigheter för att underlätta kontaktspårning vid resor. Vid ett positivt provresultat använde myndigheterna formulären för att kontakta passagerare som satt nära den personen och uppmana dem att testa sig och vidta försiktighetsåtgärder. Kommissionen tog fram EU:s digitala formulär för lokalisering av passagerare för att förenkla användningen av nationella formulär vid gränsöverskridande hälsokriser, såsom covid-19. EU:s tredje hälsoprogram (2014–2020) omfattade den gemensamma åtgärden Healthy Gateways, som redan före covid-19-pandemins utbrott hade börjat ta fram pappersformulär för sjö- och marktransporter enligt internationella mallar. Den gemensamma åtgärden Healthy Gateways användes senare för digitaliseringen av formulär för lokalisering av passagerare.

07 Kommissionen utvecklade också EU:s digitala covidintyg, ett kontrollerbart och ömsesidigt accepterat bevis på att innehavaren hade vaccinerats mot, nyligen testats negativt för eller tillfrisknat från covid-19. Medlemsstaterna är skyldiga att godta dessa intyg om de i samband med covid-19-pandemin beslutar att kräva bevis på att resenärer är vaccinerade, har testat negativt eller redan har haft sjukdomen.

08 Det sista verktyget som kommissionen tog fram var en plattform där medlemsstaterna kunde utbyta formulär för lokalisering av passagerare. Plattformen gjorde det möjligt för kontaktspårningsgrupper att utbyta formulär elektroniskt med varandra direkt, vilket minskade den tid det tog att informera resenärer som varit utsatta för risk.

09 Flera av kommissionens avdelningar deltog i utvecklingen av verktygen. Generaldirektoratet för hälsa och livsmedelssäkerhet var tillsammans med generaldirektoratet för kommunikationsnät, innehåll och teknik systemägare till nätslusstjänsten för kontaktspårning. Dessa två generaldirektorat ledde också utvecklingen av EU:s digitala covidintyg tillsammans med generaldirektoratet för rättsliga frågor och konsumentfrågor och generaldirektoratet för migration och inrikes frågor. Dessutom tillhandahöll generaldirektoratet för informationsteknik den nödvändiga it-infrastrukturen.

10 Medlemsstaterna deltog i utvecklingen av dessa verktyg främst genom nätverket för e-hälsa (se ruta 1). EU-organ som Europeiska centrumet för förebyggande och kontroll av sjukdomar och Europeiska läkemedelsmyndigheten bidrog också. Utvecklingen av verktygen för lokalisering av passagerare samordnades av medlemsstaterna, som en gemensam åtgärd som finansierades genom EU:s tredje hälsoprogram, Europeiska unionens byrå för luftfartssäkerhet och generaldirektoratet för transport och rörlighet.

Ruta 1

Nätverket för e-hälsa

Genom 2011 års direktiv om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård6 lanserades nätverket för e-hälsa, ”ett frivilligt nätverk som kopplar ihop nationella myndigheter som är ansvariga för e-hälsa, utsedda av medlemsstaterna”. Arbetet i nätverket för e-hälsa sker genom särskilda arbetsgrupper. Kommissionen är medordförande för mötena och tillhandahåller sekretariatstjänster. Nätverket var avgörande för utvecklingen av EU:s verktyg för att underlätta resor och utgjorde ett forum för insamling av synpunkter direkt från medlemsstaterna. I juni 2020 hade nätverket för e-hälsa hållit mer än 30 möten med anknytning till covid-19-pandemin. Nätverket för e-hälsa höll 96 möten under 2020 och 285 under 2021.

11 EU-verktygen hade ett unikt syfte, vilket innebar att det inte fanns några andra jämförbara system vid tidpunkten för deras utveckling. För att de EU-verktyg som beskrivs ovan skulle fungera så ändamålsenligt som möjligt och underlätta resor under covid-19-pandemin var det viktigt att alla medlemsstater införde dem, så att de kunde hantera hälsouppgifter i samband med resor i EU konsekvent och samordna sina reserestriktioner.

12 Utöver att anslå 71 miljoner euro till stöd för utvecklingen av it-verktygen ställde kommissionen 100 miljoner euro till medlemsstaternas förfogande för att hjälpa dem att bära den ekonomiska bördan av covid-19-testerna. Ökad testning och vaccinering ökade i sin tur antalet utfärdade digitala EU-covidintyg. Vissa av eller alla dessa verktyg kan användas vid gränsöverskridande resor inom EU, såsom beskrivs i figur 1.

Figur 1 – Användning av EU-verktyg för flygresor mellan medlemsstater

Källa: Revisionsrätten.

Revisionens inriktning och omfattning samt revisionsmetod

13 Denna revision kompletterar vår tidigare särskilda rapport7, där det bedömdes om kommissionen hade vidtagit ändamålsenliga åtgärder för att värna rätten till fri rörlighet för personer under covid-19-pandemin. Den första rapporten avsåg kommissionens granskning av kontrollerna vid de inre Schengengränserna, reserestriktionerna och samordningsinsatserna på EU-nivå.

14 Syftet med denna andra revision var att bedöma om kommissionen hade utvecklat ändamålsenliga verktyg för att underlätta resor inom EU under covid-19-krisen. Genom denna revision ville vi hitta exempel på god praxis och områden som kan förbättras i kommissionens sätt att utveckla it-verktyg för fri rörlighet under hälsokriser. För att besvara den övergripande revisionsfrågan formulerade vi följande två delfrågor:

  • Utvecklade kommissionen EU:s verktyg på rätt sätt?
  • Utnyttjade medlemsstaterna EU:s verktyg ordentligt och ledde detta till bättre samordning och utbyte av information om deras reserestriktioner?

15 Denna revision omfattar perioden mellan oktober 2020 och juni 2022 och fokuserar på de fyra EU-verktyg som anges i punkt 04 och tillhörande EU-finansiering. Den omfattar inte EU-finansieringen för covid-19-vaccinering, som vi bedömt tidigare i vår särskilda rapport om EU:s upphandling av covid-19-vaccin8.

16 Vi genomförde revisionen genom skrivbordsgranskningar, skriftliga frågeformulär och intervjuer med relevanta intressenter. Vi granskade och analyserade

  • tillämplig EU-lagstiftning, för att fastställa de viktigaste lagstiftningskraven och de olika aktörernas ansvar,
  • interna kommissionsdokument om den tekniska utvecklingen och det rättsliga antagandet av EU:s digitala covidintyg, den europeiska samordnade nätslusstjänsten, det digitala formuläret för lokalisering av passagerare och PLF-utbytesplattformen,
  • kommissionens publikationer om resor i samband med covid-19-pandemin, såsom riktlinjer, meddelanden, förslag till rekommendationer eller förslag till lagstiftningsakter,
  • verktygens tekniska specifikationer, säkerhets- och riskbedömningar, penetrationstestrapporter och it-säkerhetsplaner, så att våra it-experter kunde kontrollera om verktygen uppfyllde säkerhetskraven.

17 För att inhämta bevis, bekräfta fakta och bestyrka uppgifter från andra källor genomförde vi revisionsintervjuer med

  • kommissionens generaldirektorat för rättsliga frågor och konsumentfrågor, transport och rörlighet, hälsa och livsmedelssäkerhet samt kommunikationsnät, innehåll och teknik,
  • Europeiska centrumet för förebyggande och kontroll av sjukdomar, vars ansvarsområden omfattar riskkartor och riktlinjer för covid-19,
  • hälsomyndigheter i medlemsstater och länder utanför EU,
  • representanter för flygbolag, resebranschen och konsumentorganisationer.

18 Vi genomförde också en undersökning om användningen av den här typen av verktyg i varje medlemsstat. Av de 27 delegater från medlemsstaterna som ingår i EU:s arrangemang för integrerad politisk krishantering (IPCR) svarade 13 på vår undersökning. Detta motsvarar en svarsfrekvens på 48 %. Vi använde denna undersökning som underlag för analysen och för att bekräfta iakttagelserna.

Iakttagelser

Kommissionen utvecklade lämpliga tekniska lösningar, men de användes inte alltid av medlemsstaterna

19 I detta avsnitt undersöks om kommissionen utvecklade verktygen för underlättande av resor under covid-19-pandemin på rätt sätt, och särskilt om den

  1. snabbt mobiliserade EU-medel efter pandemins början,
  2. tillhandahöll verktygen i tid,
  3. beaktade medlemsstaternas behov och vilja att använda verktygen,
  4. tog hänsyn till it-säkerhets- och integritetsproblem i samband med känsliga hälsouppgifter.

20 Vi undersökte om kommissionens val av finansieringskällor och tjänsteleverantörer gjorde det möjligt att påbörja utvecklingen av verktygen direkt efter att pandemin bröt ut. Vi granskade också samrådsförfarandet för att bedöma om verktygen var anpassade till medlemsstaternas prioriteringar. Slutligen bedömde vi om verktygen följde bästa praxis när det gäller skydd av personuppgifter och it-säkerhet.

Kommissionen mobiliserade snabbt EU-medel för verktygen

21 Kommissionen mobiliserade EU-finansiering från olika källor, såsom instrumentet för krisstöd och programmet för ett digitalt Europa. EU anslog 71 miljoner euro till utveckling av verktygen. I figur 2 finns en översikt över EU:s finansiering av verktygen.

Figur 2 – Översikt över EU:s finansiering per verktyg

Källa: Revisionsrätten.

22 EU-finansieringen av EU:s digitala covidintyg uppgick till totalt 50 miljoner euro (43 miljoner euro från instrumentet för krisstöd och ytterligare 7 miljoner euro från programmet för ett digitalt Europa). I mars 2022 hade 77 % av denna budget avsatts för att utveckla och anpassa nationella lösningar och koppla dem till EU:s nätsluss: 21,9 miljoner euro anslogs till en privat entreprenör och 16,7 miljoner euro betalades ut i bidrag till medlemsstaterna.

23 EU-finansieringen av nätslusstjänsten för kontaktspårning uppgick till ungefär 16,8 miljoner euro (varav 13 miljoner euro från instrumentet för krisstöd). Kommissionen ansåg att denna finansiering krävdes för att underlätta utbytet av uppgifter mellan länder och göra det möjligt för nationella appar att underrätta användare som exponerats för någon med en annan nationell app som testat positivt för covid-19.

24 PLF-utbytesplattformen och EU:s digitala passagerarformulär krävde mycket mindre EU-finansiering: till utbytesplattformen anslogs ungefär 2,9 miljoner euro (främst från instrumentet för krisstöd) och till de digitala formulären 1,3 miljoner euro (med finansiering från EU:s hälsoprogram). Den finansiering som avsatts för utbytesplattformen användes till ett pilotprojekt för att testa plattformens genomförbarhet och för att utöka den till fler medlemsstater och transportsätt. Finansieringen av den digitala versionen av formulären för lokalisering av passagerare användes för utveckling, molntjänster och överföring av verktyget till kommissionens it-miljö.

25 Efter lanseringen av EU:s digitala covidintyg ställde EU dessutom 100 miljoner euro till förfogande för covid-19-tester i medlemsstaterna9. Denna finansiering följde den politiska överenskommelsen mellan Europaparlamentet och rådet från den 20 maj 2021 om förordningen om EU:s digitala covidintyg. Medlemsstaterna använde det allra mesta (90 %) av detta anslag, vilket gjorde det möjligt att utfärda ytterligare intyg baserade på tester för att underlätta resor.

26 Vi konstaterade att kommissionen hade mobiliserat denna finansiering snabbt och tillämpat en pragmatisk strategi för utveckling av verktygen som utgick från behovet av snabb leverans. Verktygen utvecklades under tidspress, utan att anbud begärdes från olika entreprenörer. I stället för att använda konkurrensutsatta upphandlingar för att anskaffa licenser och utveckla nätslusstjänsten för kontaktspårning, EU:s digitala covidintyg och PLF-utbytesplattformen använde kommissionen ramavtal som den redan hade undertecknat med en leverantör av it-tjänster den 30 oktober 2019 och den 24 februari 2020. I ramavtal fastställs de allmänna villkoren för en affärsförbindelse som utgör grunden för undertecknandet av specifika kontrakt för enskilda leveranser. För EU:s digitala formulär för lokalisering av passagerare mobiliserades den första finansieringen i juli 2020 inom ramen för EU:s gemensamma åtgärd Healthy Gateways, genom att medel omfördelades från verksamheter som inte var möjliga på grund av pandemin.

27 När det gäller EU:s digitala covidintyg valde kommissionen ut leverantören genom ett ramavtal som tilldelades efter ett förhandlat förfarande 2019, utan något meddelande om upphandling. Enligt kommissionen hade den utvalda leverantören erfarenhet från utvecklingen av nätslusstjänsten för kontaktspårning och var den enda som hade nödvändiga sakkunskaper om den programvara som skulle användas för EU:s digitala covidintyg.

Kommissionen utvecklade nätslusstjänsten för kontaktspårning och systemet för EU:s digitala covidintyg i god tid, men nationella formulär för lokalisering av passagerare fanns tillgängliga tidigare än EU:s formulär

28 När Världshälsoorganisationen i mars 2020 förklarade covid-19 som en pandemi började medlemsstaterna införa restriktioner för den fria rörligheten10 och kommissionen började utfärda riktlinjer för att underlätta samordningen mellan länderna11. Nätslusstjänsten för kontaktspårning togs i drift sju månader efter förklaringen av pandemin och EU:s digitala covidintyg och formuläret för lokalisering av passagerare efter 15 månader. I figur 3 finns en kronologisk översikt över utformningen och införandet av verktygen. Med beaktande av de rättsliga och tekniska krav som beskrivs nedan anser vi att nätslusstjänsten för kontaktspårning och EU:s digitala covidintyg utvecklades i god tid, men inte verktygen för lokalisering av passagerare.

Figur 3 – Kronologisk översikt över utformningen och införandet av EU:s verktyg

Källa: Revisionsrätten.

29 Det verktyg som utvecklades först var nätslusstjänsten för kontaktspårning, ett EU-omfattande system för interoperabilitet mellan nationella kontaktspårningsappar. Den 13 maj 2020 utfärdade kommissionen en uppsättning riktlinjer och rekommendationer för att gradvis häva de reserestriktioner12 som medlemsstaterna infört. I riktlinjerna uppmuntrades användningen av teknik för detta ändamål. Nätslusstjänsten togs i drift i oktober 2020, fem månader efter det att kommissionen offentliggjorde riktlinjerna.

30 I slutet av april 2020, bara en månad efter de första restriktionerna, lämnade den gemensamma åtgärden EU Healthy Gateways ett förslag till kommissionen om digitalisering av formulären för lokalisering av passagerare. Diskussionerna mellan kommissionen och medlemsstaterna tog dock flera månader och förslaget godkändes i augusti 2020. I oktober 2020 rekommenderade rådet13 att ett gemensamt digitalt formulär för lokalisering av passagerare skulle tas fram. Vid denna tidpunkt hade flera medlemsstater redan kommit långt med sina egna nationella lösningar (se tabell 1).

31 Efter rådets rekommendation inledde kommissionen i november 2020 arbetet med PLF-utbytesplattformen. Kommissionens genomförandebeslut14 om utbyte av formulär antogs dock först den 27 maj 2021. Och medlemsstaterna kunde börja utbyta digitala formulär på plattformen först i juli 2021.

Tabell 1 – Exempel på elektroniska formulär för lokalisering av passagerare som användes i medlemsstaterna

Land Datum för införande
Nationell lösning – Spanien juli 2020
Nationell lösning – Grekland juli 2020
Nationell lösning – Irland augusti 2020
EU-verktyg – Italien maj 2021
EU-verktyg – Malta juli 2021
EU-verktyg – Slovenien augusti 2021
EU-verktyg – Frankrike december 2021

Anm.: De länder som införde EU:s lösningar anges med fetstil.

Källa: Revisionsrätten.

32 EU:s digitala covidintyg var det fjärde verktyget som kommissionen utvecklade. Arbetet med detta inleddes senare än med de andra verktygen, eftersom det var nära kopplat till EU:s vaccinationsprocess. Kommissionen och medlemsstaterna hade diskuterat ett vaccinationsintyg i nätverket för e-hälsa sedan november 202015 (se ruta 1), där Estland lade fram det första digitalt kontrollerbara pilotintyget.

33 Den 21 december 2020 rekommenderade Europeiska läkemedelsmyndigheten det första vaccinet för godkännande, och några dagar senare inleddes de första vaccinationerna i hela EU. En månad senare, den 28 januari 2021, antog EU-länderna grundläggande riktlinjer för ett interoperabelt vaccinationsbevis för medicinska ändamål16, en unik identifierare för intyg och principerna för ett tillitsramverk.

34 Enligt Europaparlamentets och rådets politiska överenskommelse från den 20 maj 2021 om förordningen om EU:s digitala covidintyg skulle systemet vara genomfört senast i slutet av juni. Kommissionen var därför tvungen att arbeta med den tekniska utvecklingen parallellt med lagstiftningsarbetet om förordningen17. Vid utformningen av den tekniska arkitekturen beaktades de tidigare erfarenheterna med nätslusstjänsten för kontaktspårning, vilket påskyndade verktygets utveckling. Den 17 mars 2021 var kommissionens lagstiftningsförslag klart18. Den 1 juni 2021, en månad innan förordningen trädde i kraft, började sju länder använda EU:s digitala covidintyg vilket gjorde det möjligt för EU:s medborgare och invånare att få sina intyg utfärdade, kontrollerade och godkända i hela EU. Den 1 juli var alla medlemsstater i EU/EES anslutna till EU:s nätsluss för digitala covidintyg (utom Irland, som anslöt sig den 14 juli 2021 efter att dess nationella hälso- och sjukvårdsmyndighet i maj 2021 hade utsatts för en cyberattack).

35 Europaparlamentet och rådet antog förordningen den 14 juni 2021, mindre än tre månader efter det ursprungliga förslaget19. Detta var mycket snabbt, med tanke på att det brukar ta i genomsnitt nästan 18 månader att anta ny EU-lagstiftning vid första behandlingen20. Detta innebar att EU:s digitala covidintyg kunde lanseras precis när semesterperioden inleddes och vaccinationsinsatserna intensifierades över hela kontinenten: den 10 juli 2021 hade EU tillräckligt med vacciner för 71 % av sin vuxna befolkning.

När kommissionen utvecklade några av verktygen lyckades den inte övertyga vissa medlemsstater

36 Behovet av att tillhandahålla verktygen snabbt och underlätta resor under covid-19-pandemin fick kommissionen att börja utveckla dem utan att genomföra konsekvensbedömningar i förväg. Sådana bedömningar används för att fastställa de sannolika effekterna av den offentliga politiken och huruvida det finns ett behov av EU-åtgärder. Enligt EU:s riktlinjer för bättre lagstiftning21 ska kommissionen under normala omständigheter genomföra en konsekvensbedömning av politiken innan ny lagstiftning antas. Det erkänns dock också att det under extraordinära omständigheter, såsom en nödsituation som kräver snabba insatser, kanske inte är möjligt eller lämpligt att följa alla steg i riktlinjerna.

37 Kommissionen genomförde inte någon konsekvensbedömning, men den samrådde med medlemsstaterna om nätslusstjänsten för kontaktspårning och EU:s digitala covidintyg genom arbetsgrupper. Redan i december 2020 analyserade en teknisk undergrupp inom nätverket för e-hälsa olika alternativ för att stödja digitala vaccinationsintyg och underlätta utbytet av denna information mellan medlemsstaterna. Kommissionen genomförde inte sådana detaljerade samråd innan den började utveckla de andra verktygen. Vår undersökning bekräftade att inte alla medlemsstater var intresserade av att använda alla de berörda EU-verktygen.

38 Enligt vår undersökning var nästan hälften av de elva medlemsstater som rapporterade att de inte hade använt verktygen för lokalisering av passagerare ovilliga att göra det på grund av dataskyddet och andra rättsliga problem. Tre medlemsstater påpekade att de redan hade utvecklat sina egna nationella formulär för lokalisering av passagerare, anpassade till sina individuella behov, och de såg ingen fördel med att byta till EU:s lösningar.

39 I Healthy Gateways samråd i oktober 2021 och mars 2022 var dessutom medlemsstaternas åsikter delade när det gäller hur användbara verktygen för lokalisering av passagerare var. Fem EU-medlemsstater använde åtminstone ett av verktygen och tio uttryckte intresse för att göra det, men tolv uppgav att det var osannolikt att de skulle göra det, däribland två (Danmark och Sverige) som uppgav att de inte var intresserade av att använda dem.

40 När det gäller nätslusstjänsten för kontaktspårning anslöt sig inte alla medlemsstater när lösningen blev tillgänglig i september 2020. Medlemsstaterna anslöt sig gradvis, beroende på om de ville göra det och om deras applikationer var klara. I mitten av november 2020 hade sex medlemsstater anslutit sina applikationer. Andra tillkom successivt fram till juli 2021, då 19 medlemsstater var anslutna.

Kommissionen tog hänsyn till dataskyddsproblem och tillämpade god praxis för it-säkerhet

41 Två viktiga risker som måste beaktas vid utvecklingen av verktyg för hantering av hälsouppgifter22 är följande:

  1. Dataskydd: Hälsouppgifter är mycket känsliga och erkänns som en särskild uppgiftskategori i EU:s allmänna dataskyddsförordning23. Därför måste verktygen för hantering av sådana uppgifter omfatta särskilda skyddsåtgärder och kontroller för att skydda information som lagras och skickas. Vi undersökte konsekvensbedömningarna avseende dataskydd för verktygen och huruvida de befintliga processerna minimerade hanteringen av personuppgifter.
  2. It-säkerhet: Digitalisering av hälso- och sjukvårdstjänster och tillgång till digitala patientjournaler ökar risken för it-säkerhetsincidenter, eftersom it-brottslingar kan få nya åtkomstpunkter. Därför bedömde vi om verktygen hade utvecklats och använts i enlighet med god säkerhetspraxis24.

42 Ur ett dataskyddsperspektiv är de deltagande medlemsstaterna ”gemensamt personuppgiftsansvariga” (i den mening som avses i den allmänna dataskyddsförordningen) för EU-omfattande applikationer, såsom nätslusstjänsten för kontaktspårning och vissa funktioner avseende EU:s digitala covidintyg. De har delat ansvar för att besluta om hur och för vilka ändamål personuppgifter ska behandlas och för att införa lämpliga kontroller. De måste var och en utarbeta konsekvensbedömningar avseende dataskydd för att identifiera och minska riskerna med behandlingen av personuppgifter genom sådana applikationer. Kommissionen, som fungerar som ”personuppgiftsbiträde”, bistod medlemsstaterna med dokumentation och mallar25 vid utarbetandet av deras konsekvensbedömningar avseende dataskyddet för verktygen. Användningen av dessa mallar var frivillig och kommissionen var inte ansvarig för att övervaka om medlemsstaterna använde dem eller inte.

43 Både EU:s digitala covidintyg och nätslusstjänsten för kontaktspårning gavs en teknisk arkitektur som minimerade insamlingen av personuppgifter via EU:s centrala nätslussar. När det gäller EU:s digitala covidintyg stannade EU-medborgarnas personuppgifter i de nationella systemen, under den respektive medlemsstatens ansvar. Den centrala nätslussen mottog endast kryptografisk information (och senare förteckningar över återkallade intyg) som nationella myndigheter behövde för att kontrollera intygens giltighet. När det gäller nätslusstjänsten för kontaktspårning behandlade den endast pseudonyma personuppgifter i form av slumpmässiga identifierare, så kallade nycklar, som genererats av kontaktspårningsapparna. Detta tillvägagångssätt minskade avsevärt dataskyddsriskerna.

44 I förordningen om EU:s digitala covidintyg föreskrevs inte någon standardprocess för att återkalla intyg om de till exempel visade sig vara falska. De deltagande länderna kunde genomföra valfri teknisk lösning. Kommissionen var inte ansvarig för att bedöma dessa lösningar ur ett dataskyddsperspektiv.

45 För att säkerställa att ett återkallat intyg kunde identifieras i andra länder skulle medlemsstaterna ha behövt utbyta information bilateralt i form av förteckningar över återkallade intyg. Ett problem som togs upp under revisionen var den bristande effektiviteten i ett sådant bilateralt utbyte med olika aktörer och lösningar för återkallande, särskilt när de nya intygen blev fler.

46 För att avhjälpa dessa problem offentliggjorde kommissionen den 30 mars 2022, åtta månader efter införandet av EU:s digitala covidintyg, tekniska specifikationer och regler för en effektivare mekanism för utbyte av förteckningar över återkallade intyg genom den centrala nätslussen. I specifikationerna rekommenderades också tre typer av teknik för att distribuera förteckningarna från nationella databaser till applikationerna för kontroll av intyg. Om de föreslagna lösningarna tillämpas korrekt kan de anses skydda privatlivet, även om en av dem (bloomfilter) klarade integritetsproblem mycket bättre än de andra två26. Det var dock frivilligt att använda dessa lösningar, och kommissionen hade inte behörighet att övervaka om medlemsstaterna tillämpade dem.

47 It-säkerhetsrisker kan hanteras och minskas genom en strukturerad ram för it-säkerhet27. Denna har normalt flera inslag, såsom styrformer, säkerhetspolicy, krav och standarder. Den omfattar också god praxis, såsom att aktivt söka efter svagheter (”sårbarhetskontroller”) och aktivt testa försvar (”penetrationstestning”).

48 Kommissionen har en egen ram för it-säkerhet28 som gäller för alla informationssystem i dess datacentraler, däribland nätslusstjänsten för kontaktspårning och nätslussen för EU:s digitala covidintyg. Ramen följer internationella standarder29. Den kräver att kommissionen gör en riskbedömning för varje it-system, tar itu med relevanta risker genom en it-säkerhetsplan och tillämpar en uppsättning formella säkerhetspolicyer och säkerhetsnormer.

49 Kommissionen vidtog rimliga åtgärder för att säkerställa it-säkerheten i nätslusstjänsten för kontaktspårning. Ett specialistföretag genomförde en säkerhetsutvärdering av nätslusstjänstens utformning och källkod när systemet togs i drift (oktober 2020) och hittade inga relevanta svagheter. Tre utvärderingar genom etisk hackning genomfördes för att ytterligare försäkra sig om nätslusstjänstens säkerhet.

50 Kommissionen fastställde också minimisäkerhetskrav för nationella kontaktspårningsappar som är anslutna till nätslusstjänstens utbytesplattform. Vår analys av säkerhetsarkitekturen och medlemsstaternas svar på enkäten visade att den tekniska processen för att ansluta nationella system till EU:s nätsluss (”onboarding”) hade varit strukturerad och tagit hänsyn till it-säkerhetsaspekter.

51 När det gäller EU:s digitala covidintyg genomförde generaldirektoratet för informationsteknik sårbarhetsbedömningar av nätslussen, och en oberoende entreprenör utförde ytterligare penetrationstester. Testerna bekräftade att den centrala nätslussen hade utformats på ett sätt som garanterar en hög säkerhetsnivå. De flesta av de identifierade problemen gällde infrastrukturen snarare än källkoden. De identifierade säkerhetsproblemen följdes upp. De konsulter som utförde penetrationstesterna av nätslussen rekommenderade en fullständig revision av fler komponenter, även de som kan användas på nationell nivå, såsom tjänsten för utfärdande av intyg eller mobilapplikationer. Denna ytterligare revision avslutades i april 2022 och ifrågasatte inte verktygets säkerhetsstruktur.

52 Medlemsstater och länder utanför EU som anslutit sig till EU:s system för digitala covidintyg utfärdade intygen i sina nationella system. Om någon hade hackat de nationella systemen och obehöriga parter gjort intrång, skulle användare med ont uppsåt ha kunnat utfärda giltiga men falska intyg. Och om de förfalskade intygen hade fått stor spridning skulle det ha kunnat påverka den fria rörligheten, eftersom det hade undergrävt förtroendet för EU:s digitala covidintyg och därmed ökat risken för att medlemsstaterna skulle återinföra ytterligare restriktioner. Därför var det viktigt att se till att de nationella systemen omfattade lämpliga säkerhetskontroller.

53 För säkerhetskontroller i deltagande staters system förlitade sig kommissionen också på självbedömningsformulär som fylldes i av länderna, men den hade inte befogenhet att kontrollera den faktiska efterlevnaden (exempelvis genom att granska rapporter om sårbarhetskontroller, revisionsrapporter, handlingsplaner eller internationella intyg). Detta begränsade tillförlitligheten när det gäller de nationella systemens säkerhetsstatus.

54 Våra intervjuer bekräftade att en it-säkerhetsincident hade inträffat i ett land utanför EU. Landets nationella lösning hade en sårbarhet, vilket gjorde att obehöriga användare kunde göra intrång i applikationen och utfärda olagliga intyg på nationell nivå tills incidenten upptäcktes och åtgärdades. Enligt incidentrapporten från landet i fråga berörde detta endast en handfull intyg.

55 Inga tekniska lösningar kan minska alla risker och inte ens toppmoderna säkerhetskontroller kan exempelvis förhindra att personal med legitim tillgång till nationella system missbrukar sina befogenheter och utfärdar falska intyg.

56 Rapporteringen och hanteringen av incidenter som rör falska intyg kräver därför snabbt informationsutbyte mellan behöriga myndigheter. De medlemsstater och länder utanför EU som vi rådfrågade uppgav att det tog tid att rapportera sådana problem på grund av svårigheter att hitta rätt motparter i andra länder.

57 För EU:s digitala formulär för lokalisering av passagerare och PLF-utbytesplattformen tillämpades följande rekommenderade it-säkerhetsmetoder30: tvåfaktorsautentisering, säkra kommunikationsprotokoll, brandväggar för webbapplikationer och åtkomstsäkerhetskontroller. Entreprenören gjorde också en it-riskbedömning och fastställde ett strukturerat förfarande för länders onboarding i systemet.

58 Det första penetrationstestet av detta system genomfördes dock först i mars 2022, ett år efter det att det första landet hade anslutits. Efter testet utarbetade den externa tjänsteleverantören en genomförandeplan för att åtgärda de problem som upptäckts. Detta innebär att systemet användes i ett år med oupptäckta säkerhetsproblem.

EU-verktygens effekt när det gäller att underlätta resor under covid-19-pandemin var ojämn

59 I detta avsnitt undersöks om EU-verktygen underlättade resor i EU under covid-19-pandemins första år. Vi bedömde särskilt om verktygen

  1. användes i stor utsträckning av medlemsstaterna, eftersom detta är nödvändigt för att de ska vara ändamålsenliga,
  2. förbättrade samordningen och informationsutbytet mellan medlemsstaterna när det gäller införandet av reserestriktioner, och därigenom tog itu med två problem som tidigare konstaterats försvåra resandet inom EU31.

60 Vi sammanställde och analyserade uppgifterna om medlemsstaternas användning av verktygen. Vi jämförde också de reserestriktioner som införts av medlemsstaterna före och efter införandet av EU:s digitala covidintyg.

EU:s verktyg för lokalisering av passagerare och nätslusstjänsten för kontaktspårning fick inte avsedd effekt, eftersom de användes mycket lite i medlemsstaterna

61 EU:s verktyg behövde användas i stor utsträckning för att få avsedd effekt. I tabell 2 sammanfattas varje medlemsstats användning av verktygen. Där framgår att EU:s digitala covidintyg var det enda verktyg som användes i alla medlemsstater.

Tabell 2 – Användningen av EU:s verktyg för fri rörlighet i medlemsstaterna

  Nätsluss­tjänsten för kontaktspårning EU:s digitala formulär för lokalisering av passagerare EU:s digitala covidintyg PLF-utbytesplattformen
Belgien        
Bulgarien        
Tjeckien        
Danmark        
Tyskland        
Estland        
Irland        
Grekland        
Spanien        
Frankrike        
Kroatien        
Italien        
Cypern        
Lettland        
Litauen        
Luxemburg        
Ungern        
Malta        
Nederländerna        
Österrike        
Polen        
Portugal        
Rumänien        
Slovenien        
Slovakien        
Finland        
Sverige        

Källa: Revisionsrätten.

62 EU:s digitala formulär för lokalisering av passagerare och PLF-utbytesplattformen användes inte tillräckligt av medlemsstaterna för att få en meningsfull effekt när det gäller att begränsa spridningen av covid-19 och underlätta säkra resor.

63 Endast fyra medlemsstater använde EU:s digitala formulär för lokalisering av passagerare32, medan 17 andra medlemsstater fortsatte att förlita sig på nationella lösningar. Av nästan 27 miljoner formulär som utfärdades fram till februari 2022 var 91,6 % (24,7 miljoner) italienska.

64 På samma sätt var användningen av PLF-utbytesplattformen mycket begränsad. Även om verktyget i teorin kunde användas för att utbyta information från vilken nationell plattform som helst, infördes det mestadels av de länder som också använde EU-formulären. Den sammantagna användningen av plattformen förblev obetydlig: endast tre formulär utbyttes under 2021 och 253 under de första två månaderna 2022. Alla utom ett av dessa 256 formulär kom från Spanien.

65 Användningen av kontaktspårningsappar varierade stort mellan medlemsstaterna. Vissa medlemsstater införde över huvud taget inte någon kontaktspårningsapp. I de länder som gjorde det var den faktiska användningen bland befolkningen begränsad. Kontaktspårningsapparna laddades ned totalt 74 miljoner gånger av EU-medborgarna (fram till oktober 2021). Det finns dock ingen statistik på EU-nivå om hur många som faktiskt använde dem.

66 Det totala antalet bekräftade covid-19-fall var över 522 miljoner33 den 22 maj 2022, då 55 miljoner nycklar hade laddats upp. Uppgifterna från nätslusstjänsten pekar på en ojämn användning av kontaktspårningsverktyg bland medlemsstaterna, och 83 % av nycklarna laddades upp enbart av användare från Tyskland (se bilaga II).

67 På det hela taget utvecklades de granskade verktygen för att tillgodose nya behov som uppstod, vilket gjorde det svårt att på ett konsekvent sätt skapa synergier mellan dem. Till exempel utvecklades EU:s digitala formulär för lokalisering av passagerare och plattformen för utbyte av sådana formulär separat (av EU:s gemensamma åtgärd Healthy Gateways respektive Europeiska unionens byrå för luftfartssäkerhet) trots att de var nära kopplade till varandra. På liknande sätt blev riktlinjerna för hur EU:s digitala covidintyg kunde kombineras med EU:s formulär för lokalisering av passagerare tillgängliga på EU-nivå först efter att de respektive systemen hade införts, och riktlinjerna har hittills inte tillämpats.

68 Verktygen utformades för att fungera på kort sikt, och det finns inga flexibla förfaranden för att förlänga användningen av dem eller återaktivera dem snabbt om det skulle behövas i framtiden. Till exempel löper giltighetstiden för den nuvarande rättsliga grunden för EU:s digitala covidintyg ut i juni 2023 och skulle behöva förnyas av Europaparlamentet och rådet på grundval av ett förslag från kommissionen. Under vår revision påpekade kommissionen att det skulle vara mycket svårt, både rättsligt och tekniskt, att återinföra intyget med kort varsel.

Medlemsstaterna använde EU:s digitala covidintyg i stor utsträckning, vilket underlättade resor

69 EU:s nätsluss för digitala covidintyg togs i drift den 1 juni 2021, med sju anslutna medlemsstater. Inom en och en halv månad var alla 27 EU-medlemsstater anslutna. Den lösning som kommissionen föreslog väckte också stort intresse utanför EU. I juli 2022 hade 45 länder och territorier utanför EU infört EU:s system för digitala covidintyg.

70 Medlemsstaterna hade utfärdat 585 miljoner intyg fram till den 13 oktober 2021. Fem månader senare hade 1,7 miljarder intyg utfärdats, varav de flesta (1,1 miljarder) avsåg vaccination. Detta antal är högre än EU:s folkmängd, eftersom en person kan ha flera intyg (exempelvis kan någon få två testintyg före vaccinering). Ett digitalt EU-covidintyg utfärdades efter varje vaccindos, tillfrisknande eller test. Utöver att underlätta resor användes EU:s digitala covidintyg i medlemsstaterna för att kontrollera tillträdet till offentliga platser såsom restauranger eller teatrar. Figur 4 visar hur de 1,7 miljarder intygen var fördelade per medlemsstat.

Figur 4 – Totalt antal digitala EU-covidintyg som utfärdats av medlemsstaterna (i mars 2022)

Källa: Revisionsrätten, på grundval av uppgifter från kommissionen.

71 De verktyg som omfattas av denna rapport syftade till att underlätta säkra resor. På grund av pandemin hade många medlemsstater beslutat att införa olika reserestriktioner. I vår särskilda rapport om fri rörlighet i EU under covid-19-pandemin34 drog vi slutsatsen att medlemsstaterna i juni 2021 fortfarande hade många reserestriktioner som inte var samordnade, däribland PCR-testning, karantänkrav och inreseförbud.

72 Fram till dess att EU:s digitala covidintyg trädde i kraft baserades inreserestriktionerna för resenärer på hälsorisken i det geografiska område som de reste från. Detta ändrades i juli 2021 med införandet av förordningen om EU:s digitala covidintyg, då restriktionerna snart gick över till att gälla för enskilda personer snarare än geografiska områden och främst grundades på innehav av ett giltigt intyg.

73 Förutom att reserestriktionerna bytte karaktär infördes genom förordningen om EU:s digitala covidintyg också en ny formell mekanism för att förbättra informationsutbytet om gällande restriktioner. Sedan förordningen trädde i kraft har medlemsstaterna varit tvungna att informera kommissionen och de andra medlemsstaterna om de har för avsikt att införa nya restriktioner. Sådana anmälningar ska innehålla skälen till de ytterligare restriktionerna samt uppgift om deras omfattning och varaktighet. I mars 2022 hade 13 medlemsstater lämnat information i enlighet med denna bestämmelse.

74 I juli 2021 visade kommissionens samråd om reserestriktioner att alla medlemsstater (utom Grekland, Ungern och Italien, som svarade först senare) hade upphävt sina restriktioner för innehavare av EU:s digitala covidintyg. Figur 5 visar skillnaderna i reserestriktioner före och direkt efter införandet av intygen (juni och juli 2021). Av de 13 tillfrågade som svarade på vår undersökning instämde tolv i att EU:s digitala covidintyg hade gjort det lättare att samordna reserestriktionerna mellan medlemsstaterna.

Figur 5 – Förenklad översikt över de 27 EU-medlemsstaternas inreserestriktioner

Källa: Revisionsrätten, på grundval av information från kommissionen.

Slutsatser och rekommendationer

75 Vi drar slutsatsen att kommissionen, trots sin begränsade behörighet inom folkhälsopolitiken, agerade snabbt och föreslog lämpliga tekniska lösningar för att underlätta resor inom EU under covid-19-pandemin. Effekten av några av verktygen var dock beroende av medlemsstaternas vilja att använda dem. EU:s digitala covidintyg fick starkt stöd och underlättade resor, men effekten av de andra verktygen var blygsam på grund av deras begränsade användning.

76 Kommissionen mobiliserade snabbt 71 miljoner euro för att utveckla verktygen genom att kombinera flera finansieringskällor och använda befintliga ramavtal i stället för offentliga anbudsförfaranden. Verktygens syfte var unikt, vilket innebär att det inte går att göra jämförelser med några andra befintliga system (punkterna 2127).

77 Kommissionen levererade nätslusstjänsten för kontaktspårning och EU:s digitala covidintyg i god tid. Nätslusstjänsten, som skulle säkerställa interoperabilitet mellan kontaktspårningsappar, togs i drift i oktober 2020, sju månader efter det att Världshälsoorganisationen hade förklarat covid-19 som en pandemi. Den tekniska utvecklingen av EU:s digitala covidintyg byggde på de tidigare erfarenheterna med nätslusstjänsten för kontaktspårning och slutfördes innan medlemsstaterna hade genomfört sina vaccinationsplaner. Lagstiftningsprocessen för att anta EU:s digitala covidintyg var också mycket snabbare än vanligt (punkterna 2835).

78 Kommissionen lyckades inte övertyga vissa medlemsstater att använda EU:s lösningar för passagerarformulären, som levererades efter att flera medlemsstater redan hade tagit fram sina egna verktyg. Detta ledde till att EU-lösningarna endast användes av fem medlemsstater (punkterna 3640).

Rekommendation 1 – Ta itu med orsakerna till att EU:s digitala formulär för lokalisering av passagerare inte användes så mycket

Kommissionen bör ta itu med orsakerna till att EU:s digitala formulär för lokalisering av passagerare och PLF-utbytesplattformen inte användes så mycket samt främja en ökad användning av dessa verktyg av medlemsstaterna under covid-19-pandemins framtida faser.

Måldatum för genomförande: December 2023.

79 Vid utformningen av verktygen tog kommissionen i allmänhet hänsyn till dataskyddskrav och god praxis för it-säkerhet. EU:s verktyg minimerar användningen av personuppgifter (punkterna 42 och 43). Säkerhetsriskbedömningar och penetrationstester utfördes i allmänhet systematiskt – det enda undantaget var vissa försenade säkerhetstester av EU:s digitala formulär för lokalisering av passagerare, vilket innebar att verktyget användes i ett år med oupptäckta säkerhetsproblem (punkterna 4751, 57 och 58).

80 När det gäller EU:s digitala covidintyg var de deltagande länderna tvungna att utbyta förteckningar över falska intyg bilateralt genom olika kommunikationskanaler. Detta tillvägagångssätt gjorde blockeringen av falska intyg mindre effektiv. I mars 2022 hade kommissionen föreslagit genomförbara lösningar för att ta itu med problemet, men dessa var frivilliga (punkterna 4446). Det sätt på vilket länderna informerade varandra om incidenter som krävde brådskande åtgärder (exempelvis falska intyg) var också tidskrävande (punkterna 55 och 56).

Rekommendation 2 – Effektivisera kommunikationen om incidenter med koppling till EU:s digitala covidintyg

Kommissionen bör underlätta direkt kommunikation mellan officiella kontaktpersoner för varje land som deltar i EU:s system för digitala covidintyg, för att effektivisera kommunikationen vid nödsituationer som rör intygen.

Måldatum för genomförande: juni 2023.

81 Eftersom de koder som används i EU:s digitala covidintyg genererades av de deltagande ländernas nationella system var det viktigt att dessa system omfattade lämpliga säkerhetskontroller. Kommissionen förlitade sig på de deltagande ländernas självbedömningar av it-säkerheten, eftersom den inte har befogenhet att kontrollera att de faktiskt uppfyller säkerhetskraven. Detta begränsar tillförlitligheten när det gäller de nationella systemens säkerhetsstatus (punkterna 5254).

82 EU:s formulär för lokalisering av passagerare och nätslusstjänsten för kontaktspårning fick inte avsedd effekt, eftersom de bara användes i begränsad omfattning. EU:s digitala formulär för lokalisering av passagerare användes bara av fyra medlemsstater, medan andra länder fortsatte att förlita sig på nationella lösningar. Den sammantagna användningen av PLF-utbytesplattformen förblev obetydlig: endast tre formulär utbyttes under 2021 och 253 under de första två månaderna 2022. Användningen av nätslusstjänsten hämmades av medlemsstaternas begränsade införande av kontaktspårningsappar, och ett enda land stod för den största delen av trafiken (punkterna 6167).

83 De verktyg vi granskade utvecklades för att tillgodose nya behov och fungera oberoende av varandra. Detta, i kombination med de många olika nationella formulären för lokalisering av passagerare, gjorde det svårare att införa EU:s verktyg över hela linjen. Verktygen utformades också för att fungera på kort sikt som svar på hälsokrisen. Det finns inga specifika förfaranden för att använda dem på längre sikt eller återaktivera dem snabbt om de skulle behövas i framtiden. Den nuvarande rättsliga grunden för EU:s digitala covidintyg upphör att gälla i juni 2023 och skulle behöva förnyas genom EU:s normala lagstiftningsförfarande (punkt 68).

84 Vi konstaterade att EU:s digitala covidintyg hade underlättat resor under covid‑19-pandemin. Medlemsstaterna och flera länder utanför EU använde i stor utsträckning intygen, och i mars 2022 hade över 1,7 miljarder digitala EU-covidintyg utfärdats i EU- och EES-länderna. Dessutom konstaterade vi att medlemsstaterna i hög grad hade harmoniserat sina reserestriktioner inom en månad efter det att förordningen om EU:s digitala covidintyg trädde i kraft. I praktiken hade alla medlemsstater slopat reserestriktionerna för EU-medborgare med ett digitalt EU-covidintyg som visade att de var fullvaccinerade mot, nyligen hade testats negativt för eller hade tillfrisknat från covid-19.

85 Dessutom förbättrade EU:s digitala covidintyg informationsutbytet och samordningen när det gäller reserestriktioner, eftersom medlemsstaterna måste rapportera och motivera reserestriktioner enligt den tillämpliga förordningen (punkterna 6974).

Rekommendation 3 – Ta fram relevanta EU-verktyg för framtida kriser

Kommissionen bör

  1. fastställa vilka EU-verktyg från covid-19-pandemin som har varit mest användbara för medborgarna och medlemsstaterna samt utarbeta förfaranden för att snabbt återaktivera dem vid framtida nödsituationer,
  2. genom synergier eller förenklingar se till att de EU-verktyg som används för att underlätta gränsöverskridande kontaktspårning i krissituationer blir mer lättillgängliga för EU:s invånare,
  3. tillsammans med medlemsstaterna analysera behovet av ytterligare verktyg för att hantera eventuella framtida kriser.

Måldatum för genomförande: september 2023 för rekommendationerna a och c och september 2024 för rekommendation b.

Denna rapport antogs av revisionsrättens avdelning III, med ledamoten Bettina Jakobsen som ordförande, i Luxemburg den 22 november 2022.

 

För revisionsrätten

Tony Murphy
ordförande

Bilagor

Bilaga I – Beskrivning av EU-verktyg för att underlätta säkra resor under covid-19-pandemin

Den europeiska samordnade nätslusstjänsten

Den europeiska samordnade nätslusstjänsten är ett system som möjliggör interoperabilitet mellan nationella kontaktspårningsappar. De nationella kontaktspårningsapparna togs fram för att informera medborgarna om potentiella riskkontakter och bidra till att bryta smittkedjorna för covid-19.

En kontaktspårningsapp registrerar kontinuerligt kontakter med andra i närheten som använder appen. Den genererar en nyckel (en identifierare) för användaren var 15:e minut för att skydda den personliga integriteten. Applikationen använder Bluetooth för att identifiera andra smarttelefoner i närheten och utbyta nycklar. Varje möte med en annan användare resulterar i ett utbyte av nycklar mellan användarna. Dessa nycklar lagras på de båda användarnas telefoner.

När en användare får ett positivt provsvar för covid-19 anger han/hon det i applikationen, som skickar alla användarens nycklar från de senaste 14 dagarna till den nationella backendservern i användarens land. Servern skickar den smittade användarens nycklar till alla andra användares applikationer, där de jämförs med nycklarna som finns lagrade på telefonen. Om de stämmer överens har användaren varit i närheten av den smittade personen och varnas därför.

De flesta medlemsstater använder denna decentraliserade lösning, där smittade personers nyckelkombinationer skickas till användarnas applikationer och jämförelsen görs på användarens telefon. Några medlemsstater har valt en mer centraliserad lösning, där jämförelsen av nycklar och matchningen med användarnas enheter görs på centrala nationella servrar.

Nationella kontaktspårningsplattformar som tillämpar decentraliserade lösningar och kompatibla tekniska moduler kan utbyta smittade personers anonymiserade nycklar med varandra via EU:s nätslusstjänst. Nätslusstjänsten gör det därför möjligt att använda en nationell kontaktspårningsapp under resor i andra länder som är anslutna till EU:s nätslusstjänst.

Digitala formulär för lokalisering av passagerare

Folkhälsomyndigheterna använder formulär för lokalisering av passagerare för kontaktspårning när resenärer exponeras för en infektionssjukdom under sina resor med flygplan, tåg, fartyg eller buss. Världshälsoorganisationen och Internationella civila luftfartsorganisationen hade redan börjat utveckla dessa formulär under tidigare sjukdomsutbrott (särskilt ebola).

Länder som kräver att formulär för lokalisering av passagerare fylls i har ofta brukat använda pappersformulär. Pappersformulär har dock stora begränsningar – de kan vara svåra att läsa och uppgifterna måste föras in manuellt i datasystem för automatisk behandling. Dessa begränsningar fick många länder att utveckla elektroniska versioner. EU:s digitala formulär för lokalisering av passagerare är en webbapplikation som ska förenkla användningen av formulären vid gränsöverskridande hälsohot, såsom covid‑19.

Resenären fyller i formuläret med uppgifterna om sin resa och får en unik qr-kod. Denna kod kan skannas av de behöriga myndigheterna i destinationsländerna för att kontrollera att passagerarna har lämnat den information som krävs. Det digitala formatet syftar till att underlätta och påskynda datainsamlingen och datautbytet mellan berörda parter, med målet att göra kontaktspårningen effektivare och ändamålsenligare.

PLF-utbytesplattformen

När en resenär får ett positivt provsvar för covid-19 kan uppgifter för lokalisering av passagerare som samlats in av ett land behöva tillhandahållas på ett säkert sätt till andra berörda länder för kontaktspårningsändamål. På grund av det befintliga europeiska systemets begränsning när det gäller utbyte av hälsoinformation (systemet för tidig varning och reaktion) beslutade kommissionen att utveckla en särskild plattform för utbyte av uppgifter mellan olika nationella system.

PLF-utbytesplattformen möjliggör säker krypterad dataöverföring mellan behöriga nationella myndigheter och lagrar inte några uppgifter. Medlemsstaternas myndigheter kan ansluta sig via antingen EU:s eller nationella system med digitala formulär för lokalisering av passagerare.

EU:s digitala covidintyg

EU:s digitala covidintyg är ett bevis på att en person har vaccinerats mot, testats negativt för eller tillfrisknat från covid-19. Dessa intyg utfärdas av de behöriga nationella myndigheterna.

Intygen kan utfärdas både i pappersform och i elektronisk form. I båda fallen innehåller de en qr-kod som skyddar dem mot förfalskning. Lösningens säkerhet baseras på öppna och privata krypteringsnycklar. Det finns två typer av nycklar: privata nycklar som används för att signera QR-koden digitalt och öppna nycklar som gör att den digitala signaturen kan verifieras.

Varje utfärdande myndighet har sin egen privata nyckel och motsvarande öppna nyckel. De privata nycklarna lagras säkert och de öppna nycklarna delas i den centrala nationella databasen. Myndigheten ger berörda hälso- och sjukvårdsaktörer (t.ex. sjukhus och testcentrum) auktoriserad tillgång till utfärdandesystemet så att de kan signera intygen digitalt.

De applikationer som används för att kontrollera att EU:s digitala covidintyg är äkta hämtar de öppna nycklarna från de nationella databaserna. De nationella databaserna utbyter öppna nycklar med andra länder genom EU:s nätsluss för digitala covidintyg. Nätslussen möjliggör därför ömsesidig kontroll av intygen i olika länder.

Bilaga II – Användningen av kontaktspårningsappar i EU

Kontaktspårningsappar användes inte i samma utsträckning i hela EU. Endast i två medlemsstater översteg antalet nedladdningar 50 % av folkmängden. I nedanstående figur visas situationen i de medlemsstater som använde decentraliserade kontaktspårningsappar.

Antal nedladdningar av kontaktspårningsappar i procent av folkmängden

Källa: Revisionsrätten, på grundval av offentligt tillgängliga uppgifter från kommissionen och utvalda medlemsstater.

Att applikationen laddas ned innebär inte att kontaktspårningen faktiskt används, eftersom det krävs att applikationerna är aktiva och att medborgarna frivilligt lämnar information om positiva provsvar för covid-19. När användarna meddelar att de är positiva laddas de relevanta nycklarna upp i nätslusstjänsten för kontaktspårning. Uppgifterna från nätslusstjänsten visar att användningen av kontaktspårning varierade mellan medlemsstaterna. Antalet nycklar som laddats upp till nätslusstjänsten visar att de allra flesta kom från ett enda land.

Andel av de totala nyckeluppladdningarna till EU:s nätslusstjänst för kontaktspårning

Källa: Revisionsrätten, baserat på offentligt tillgängliga uppgifter från nätslusstjänsten för kontaktspårning (oktober 2020–maj 2022).

Ordlista

gränskontroll: kontroller och övervakning vid en gräns av personer som passerar eller avser att passera gränsen.

penetrationstest: metod för att bedöma ett it-systems säkerhet genom att försöka ta sig igenom säkerhetsskyddet med hjälp av de verktyg och tekniker som vanligtvis används av fiender.

personuppgiftsansvarig: enligt EU:s allmänna dataskyddsförordning, person eller organisation som bestämmer hur och för vilka ändamål personuppgifter ska behandlas.

Schengenområdet: en grupp med 26 europeiska länder som har avskaffat pass- och inresekontroller vid de gemensamma gränserna.

sårbarhetskontroll: process där man kontrollerar nätverksenheter, datasystem och applikationer för att hitta eventuella problem och svaga punkter.

Vi som arbetat med revisionen

I revisionsrättens särskilda rapporter redovisar vi resultatet av våra revisioner av EU:s politik och program eller av förvaltningsteman som är kopplade till specifika budgetområden. För att uppnå så stor effekt som möjligt väljer vi ut och utformar granskningsuppgifterna med hänsyn till riskerna när det gäller prestation eller regelefterlevnad, storleken på de aktuella intäkterna eller kostnaderna, framtida utveckling och politiskt intresse och allmänintresse.

Denna effektivitetsrevision utfördes av revisionsrättens avdelning III yttre åtgärder, säkerhet och rättvisa, där ledamoten Bettina Jakobsen är ordförande. Revisionen leddes av revisionsrättens ledamot Baudilio Tomé Muguruza med stöd av Daniel Costa De Magalhães (kanslichef), Ignacio García de Parada Miranda (attaché), Alejandro Ballester-Gallardo (förstachef), Piotr Senator (uppgiftsansvarig) samt João Coelho, Mirko Iaconisi, Ioanna Topa och Andrej Minarovic (revisorer). Michael Pyper gav språkligt stöd.

Från vänster: Daniel Costa De Magalhães, Andrej Minarovic, Ignacio García de Parada Miranda, João Coelho, Ioanna Topa, Piotr Senator, Baudilio Tomé Muguruza, Mirko Iaconisi och Michael Pyper.

Slutnoter

1 Artiklarna 20.2 a och 21.1 i fördraget om Europeiska unionens funktionssätt.

2 Direktiv 2004/38/EG.

3 Artikel 168.7 i fördraget om Europeiska unionens funktionssätt.

4 Artikel 17 i fördraget om Europeiska unionen (EU-fördraget).

5 Artiklarna 4.2 k, 6 a och 168 i EUF-fördraget.

6 Direktiv 2011/24/EU om tillämpningen av patienträttigheter vid gränsöverskridande hälso- och sjukvård.

7 Särskild rapport 13/2022.

8 Särskild rapport 19/2022.

9 Kommissionens uttalande av den 15 juni 2021.

10 Se figur 4 i särskild rapport 13/2022.

11 Riktlinjer för gränsförvaltningsåtgärder för att skydda folkhälsan och säkerställa tillgången på varor och viktiga tjänster, C(2020) 1753 final, EUT C 86I, 16.3.2020.

12 Kommissionens meddelanden C(2020) 3250, C(2020) 3251 och C(2020) 3139.

13 Rådets rekommendation (EU) 2020/1475.

14 Kommissionens genomförandebeslut (EU) 2021/858.

15 E-hälsa och covid-19, Europeiska kommissionens webbplats.

16 Nätverket för e-hälsa, Guidelines on verifiable vaccination certificates - basic interoperability elements, 12.3.2021.

17 Förordning (EU) 2021/953.

18 Förslag till förordning, COM(2021) 130 final.

19 Förfarande 2021/0068/COD.

20 Verksamhetsrapporten Development and Trends of the Ordinary legislative Procedure, Europaparlamentet.

21 Riktlinjerna för bättre lagstiftning, SWD(2017) 350, 7 juli 2017.

22 Enisa, Taking Care of Health Data.

23 Europaparlamentets och rådets förordning (EU) 2016/679.

24 Isaca, Certified Information System Auditor review manual, 2019; Internationella standardiseringsorganisationens / Internationella elektrotekniska kommissionens standard 27001.

25 Draft Data Protection Risk Assessment (DPRA-DRAFT).

26 Nätverket för e-hälsa, EU DCC RevocationB2A Communication between the Backend and the Applications, avsnitt 4.6.3.

27 Isaca, Certified Information System Auditor review manual, 2019.

28 Kommissionens beslut (EU, Euratom) 2017/46 om säkerheten i Europeiska kommissionens kommunikations- och informationssystem samt genomförandebestämmelserna C(2017) 8841 final.

29 Internationella standardiseringsorganisationens / Internationella elektrotekniska kommissionens standarder 27001, 27002, 27005 och 27035.

30 Internationella standardiseringsorganisationens / Internationella elektrotekniska kommissionens standard 27001.

31 Punkterna 69–75 i särskild rapport 13/2022.

32 EU:s digitala formulär för lokalisering av passagerare.

33 Weekly epidemiological update on COVID-19 – 25 May 2022, Världshälsoorganisationen.

34 Särskild rapport 13/2022.

Kontakt

EUROPEISKA REVISIONSRÄTTEN
12, rue Alcide De Gasperi
1615 Luxemburg
LUXEMBURG

Tfn +352 4398-1
Frågor: eca.europa.eu/sv/Pages/ContactForm.aspx
Webbplats: eca.europa.eu
Twitter: @EUAuditors

En stor mängd övrig information om Europeiska unionen är tillgänglig på internet via Europa-servern (https://europa.eu).

Luxemburg: Europeiska unionens publikationsbyrå, 2023

PDF ISBN 978-92-847-9240-5 ISSN 1977-5830 doi:10.2865/112991 QJ-AB-22-027-SV-N
HTML ISBN 978-92-847-9217-7 ISSN 1977-5830 doi:10.2865/936794 QJ-AB-22-027-SV-Q

UPPHOVSRÄTT

© Europeiska unionen, 2023

Europeiska revisionsrättens policy för vidareutnyttjande av handlingar fastställs i Europeiska revisionsrättens beslut nr 6-2019 om öppen datapolitik och vidareutnyttjande av handlingar.

Om inget annat anges (t.ex. i enskilda meddelanden om upphovsrätt) omfattas revisionsrättens innehåll som ägs av EU av den internationella licensen Creative Commons Erkännande 4.0 Internationell (CC BY 4.0). Det innebär att det är tillåtet att återanvända innehållet under förutsättning att ursprunget anges korrekt och att det framgår om ändringar har gjorts. Om du återanvänder revisionsrättens innehåll får du inte förvanska den ursprungliga innebörden eller det ursprungliga budskapet. Revisionsrätten ansvarar inte för eventuella konsekvenser av återanvändningen.

När enskilda privatpersoner kan identifieras i ett specifikt sammanhang, exempelvis på bilder av revisionsrättens personal, eller om verk av tredje part används, måste ytterligare tillstånd inhämtas.

Om ett sådant tillstånd beviljas upphävs och ersätts det allmänna godkännande som nämns ovan, och eventuella begränsningar av materialets användning måste tydligt anges.

För användning eller återgivning av innehåll som inte ägs av EU kan tillstånd behöva inhämtas direkt från upphovsrättsinnehavarna.

Programvara eller handlingar som omfattas av immateriella rättigheter, till exempel patent, varumärkesskydd, mönsterskydd samt upphovsrätt till logotyper eller namn, omfattas inte av revisionsrättens policy för vidareutnyttjande.

EU-institutionernas webbplatser inom domänen europa.eu innehåller länkar till webbplatser utanför den domänen. Eftersom revisionsrätten inte har någon kontroll över dem uppmanas du att ta reda på vilken integritets- och upphovsrättspolicy de tillämpar.

Användning av revisionsrättens logotyp

Revisionsrättens logotyp får inte användas utan revisionsrättens förhandsgodkännande.

KONTAKTA EU

Besök
Det finns hundratals Europa direkt-kontor i hela EU. Hitta ditt närmaste kontor på nätet (european-union.europa.eu/contact-eu/meet-us_sv).

Ring eller skriv
Tjänsten Europa direkt svarar på dina frågor om EU. Kontakta tjänsten på något av följande sätt:

EU-INFORMATION

På nätet
På webbplatsen Europa finns det information om EU på alla officiella EU-språk (european-union.europa.eu).

EU-publikationer
Läs eller beställ EU-publikationer på nätet (op.europa.eu/sv/publications). Om du behöver flera kopior av en gratispublikation kan du kontakta Europa direkt eller ditt lokala dokumentationscentrum (european-union.europa.eu/contact-eu/meet-us_sv).

EU-lagstiftning och andra rättsliga handlingar
Rättsliga handlingar från EU, inklusive all EU-lagstiftning sedan 1951, finns på alla officiella EU-språk på EUR-Lex (eur-lex.europa.eu).

Öppna EU-data
Portalen data.europa.eu ger tillgång till öppna datamängder från EU:s institutioner, organ och byråer. De kan laddas ned och användas fritt för kommersiella och andra ändamål. Portalen ger också tillgång till en stor mängd data från EU-länderna.