Juridik eller arkiv?

Det här kommer att bli ett nördigt inlägg om arkivfrågor eftersom arkivfrågor per se är nördigt eller hur? För läsaren ska kunna sätta inlägget i ett sammanhang ska jag bekänna min bakgrund och därmed även antyda sambandet mellan informationssäkerhet och arkiv.

Min ingång till informationssäkerhet gick via arkiven. Under ett antal år arbetade jag som arkivarie, först på arkivinstitutioner och därefter som landstingsarkivarie. Som så många andra arkivarier hamnade jag i skrået via studier i historia, själv påbörjade jag en forskarutbildning i ekonomisk historia efter att ha läst politisk historia, förvaltningshistoria, naturvetenskapernas idéhistoria o.s.v., o.s.v.  Synsättet att arkivvetenskap (i den mån något sådant ens kan sägas existera) var en stödvetenskap för historieämnet föreföll därför inledningsvis logiskt även för mig. Sedan hände två saker: jag blev väldigt intresserad av metoder för att strukturera information och jag blev tvungen att börja tillämpa detta i en pågående verksamhet, inte bara i avställda arkiv. Jag skrev om proveniensprincipen sett ur det industrihistoriska perspektivet men insåg allt tydligare verksamhetsbehovet i att strukturera information. Det kändes egendomligt att betrakta detta verksamhetsbehov kikande ut från en arkivinstitution och dess behov som är helt annorlunda än verksamhetens. Jag fortsatte att skriva om dessa frågor och vikten av att arkivväsendet omorienterar sig och inte ser sig som en historiens hjälpvetenskap. Istället borde vi vända på processen och se att om arkivarierna specialiserar sig på informationshantering och stödjer verksamheten kommer behovet av långsiktigt bevarande också att hanteras. Däremot gäller inte det omvända. Jag kan väl inte säga att jag fick särskilt mycket gehör för detta utan blev istället betraktad som en arkivvärldens gossen Ruda som en riksarkivarie vänligt uttryckte det.

Nu har jag inte arbetat som arkivarie på många år men interagerar med arkivfrågor nästan dagligen då jag arbetar med informationssäkerhet vilket är naturligt då arkiven kan sägas att jämte krypton vara de informationssäkerhetsåtgärder som förekommit ända sedan antiken. OK, vi kan väl säga signering också så blir det tre antika åtgärdstyper. I vilket fall så sett ur mitt limbo-tillstånd där jag halvvägs utanför, halvvägs innanför arkivvärldens gränser uppfattar jag det som att den desorientering som funnits ända sedan sjuttiotalet fortfarande lever kvar. Jag ska inte här närmare gå in på hur denna desorientering mellan att delta i att utveckla myndigheternas informationshantering år ena sidan och å andra sidan ha blicken fäst vid det historiska materialet. Vad som är glädjande är att regeringen initierat en översyn av arkivområdet under Lars Ilshammars kompetenta ledning. Översynen ska bland annat analysera hur samhällsutvecklingen påverkat kraven på arkivsektorn, se över arkivlagstiftningen och Riksarkivet roll i förhållande till andra myndigheter. Det kan bli spännande!

Inspirerad av detta kommer här tre frågeställningar som kan förtjäna att tas med som faktorer då översynen genomförs och som dessutom är sammankopplade. Först en disclaimer:  i det följande kommer jag liksom som många andra som diskuterar arkivfrågor att strunta i de privata aktörernas behov och praxis gällande dessa frågor och endast ägna mig åt den offentliga sektorn och arkivväsendet i stat, kommun och landsting. Detta är en nästan oförlåtlig avgränsning men eftersom jag här kommer att ta upp några frågeställningar som i första läget framförallt berör det offentliga arkivväsendet finns det en viss logik i detta. Det kan dock inte nog understrykas vikten av att det offentliga arkivområdet idag måste ta mycket större hänsyn till privata aktörer eftersom allt större del av den offentligt finansierade verksamheten utförs av privata aktörer. Ta till exempel inom vården som i efterkrigstiden i all väsentlighet ombesörjdes av offentliga utförare men som sedan nittiotalet alltmer utförs av privata vårdgivare. Vårdinformationen som har ett mycket stort värde under lång tid för den enskilde patienten och ett stort forskningsvärde men lever idag ett osäkert liv eftersom det faktiskt inte längre är tydligt reglerat hur den ska hanteras långsiktigt.

Den första fråga jag tänkte lyfta är frågan är den utpräglade juridifiering som råder gällande arkivhanteringen. I Sverige har arkivväsendet en mycket nära koppling till statsmakten sedan lång tid och numera även en stark koppling i lagstiftningen mellan arkivlagen och offentlighetslagstiftningen. Detta kan ses som en välsignelse och jag tror inte det finns en idag levande arkivarie som inte hämtat legitimitet ur detta faktum och det är självklart att detta ger arkivverksamheten en potentiellt stark ställning i offentliga organisationer (nu blir det ju inte alltid så i praktiken). Men för att travestera femte Moseboken: en välsignelse kan samtidigt vara en förbannelse. Förbannelsen ligger i att samtidigt som offentlighetslagstiftningen definierar arkivens innehåll så definierar den arkivens avgränsning. I arkivlagen sägs att:

3 § En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering.

Vad som utgör en myndighets arkiv är alltså en juridisk definition, inte en arkivvetenskaplig. Detta är i sig värt att uppmärksamma men det får även djupgående praktiska konsekvenser. Det måste understrykas att vad som kan utgöra en allmän handling inte är übertydligt. Formuleringar som att ”handlingen ska vara upprättad eller inkommen till myndigheten” leder tankarna till information som liknar pappersdokument och som är vagt relaterade till postgång (detta är också vad som avspeglas i de heliga diarierna som ofta uppfattas som det som definierar vad som är myndighetens allmänna handlingar). Men detta är ju inte den enda information myndigheten använder. Om man jämför dokumenthanteringsplaner med vilka informationsmängder som en myndighet eller kommun verkligen använder för att utföra sina uppgifter är skillnaden ofta stor. Detta blir ganska uppenbart om man gör en processorienterad informationskartläggning där det, vågar jag hävda, alltid kan identifieras betydligt fler informationsmängder än vad som finns redovisat i dokumenthanteringsplanen. Det finns, tror jag, en outtalad föreställning om vad som ska räknas som allmänna handlingar som inte är uppdaterad så att den går att omsätta i en modern myndighets faktiska informationshantering där Skype, molntjänster och även mer traditionella it-system står för merparten av transaktioner. Och när kartan inte stämmer med verkligheten förefaller kartan vinna över verkligheten. Riksarkivet säger även på sina ställen att man jämställer arkivförteckning (som endast ska innehålla allmänna handlingar) och dokumenthanteringsplan:

Här hittar du svar på frågor som rör den andra delen av arkivredovisningen, den som beskriver vilken information som uppstår i myndighetens verksamhet och hur informationen förvaras. Traditionellt kallas denna redovisning för arkivförteckning eller dokumenthanteringsplan. De element som förekommer här är handlingsslag och handlingstyper samt förvaringsenheter.

Det finns också ofta en stark vilja att göra så litet information som möjligt till allmänna handlingar eftersom det uppfattas som negativt att allmänheten ska få tillgång till information som myndigheten vill ha för sig själv. Det kan både ske genom att man kallar information för ”arbetsmaterial” eller genom att man försöker dra ut på statusförändringen till allmän handling genom att kräva exempelvis att ett ”ärende” (detta fullständigt intetsägande begrepp i de flesta icke-exekutiva verksamheter) ska vara avslutat innan en enskild handling blir allmän.

Sammantaget menar jag att juridifieringen av arkivbegreppet, förutom att leda till att många arkivarier uppträder som någon slags barfotajurister istället för informationshanterare, får effekten att en stor diskrepans uppstår mellan det verkliga arkivet och det som kallas myndighetens arkiv. Med detta verkliga arkivet menar jag den information som myndigheten faktiskt använder för att bedriva sin verksamhet och som arkivteoretiskt borde ses som ”arkivet”. Jag tycker att arkivariekåren och arkivväsendet här sviker sin uppgift eftersom väsentlig information och väsentliga sammanhang här förloras.

Den andra frågan jag tänkte ta upp är gallring. Ingen vettig människa kan idag bortse från att det är ett stort problem att mängden information växer exponentiellt. Konsekvenserna blir bristande sökbarhet, bristande integritet, arbetsmiljöproblem, säkerhetsproblem eftersom det inte går att styra dessa gigantiska informationsmängder och faktiskt i slutändan ett miljöproblem. Arkivariens andra huvuduppgift måste därför att på ett professionellt sätt göra gallringsutredningar och sedan se till att information försvinner. Men trots att det i arkivlagen uttryckligen står att allmänna handlingar får gallras så sker detta inte alls med den fermitet som vore nödvändig, kanske beroende på att många arkivarier räds uppgiften och att det på olika sätt sägs att huvudregeln är att alla allmänna handlingar ska bevaras… Det finns också strukturella problem som att myndigheterna inte är sina egna arkivmyndigheter utan måste vänta på att Riksarkivet fattar gallringsbeslutet. Det mest utarbetade stödet för gallring som Riksarkivet tillhandahåller är såvitt jag kan se från 1999.

Även vad gäller gallring leder den ovan beskrivna juridifieringen till principiella problem med mycket stora konsekvenser. Gallring innebär att allmänna handlingar destrueras, när arbetsmaterial förstörs kallas det rensning. Om dokumenthanterings- och gallringsplaner endast omfattar allmänna handlingar innebär det att det i varje myndighet och kommun finns stora mängder av information där styrning saknas och där informationen inte ens är identifierad. Detta hävdar jag är det reella läget vilket är högst bekymmersamt inte minst ur säkerhetssynpunkt där kontroll av informationen är a och o.

Punkt tre på dagens lista (ja, jag hotar med att komma tillbaka till ämnet) är otidsenligheten och bristen på strategi i arkivområdet. Som ändå hyfsat insatt kan jag inte utläsa vad Riksarkivets strategi för långtidsbevarandet är mer än att man gör allt för att statliga myndigheter inte ska komma och försöka dumpa sina arkiv:

  • Leveranser bör inte innehålla handlingar yngre än 10 år. Leveranser med handlingar 10–20 år gamla övervägs särskilt noga med hänsyn till frekvens, sekretesstyngd och andra handläggningsfrågor.

  • Leverans från en och samma arkivbildare bör inte ske tätare än vart tionde år vad gäller pappershandlingar. Digitalt material bedöms utifrån egna, specifika förutsättningar.

På något sätt tycks man helt leva kvar i en pappersverklighet där arkivhandlingar inte fick levereras förrän efter 50 år och då helst inbundna. I en digital verklighet skulle vore den mest rimliga lösningar att man genom tydlig styrning överförde den information som ska bevaras för framtiden till Riksarkivet i samma stund som den skapas. Naturligtvis skulle detta kräva en massiv höjning av informationssäkerheten i Riksarkivets lagring och kommunikation men det skulle samtidigt vara den mest rationella hanteringen av en digital arkivbildning.

Det är möjligt att Riksarkivet har en mängd spännande strategiska diskussioner men dessa måste i så fall föras ut till de myndigheter och kommuner som idag sliter sitt hår och försöka räkna ut vad som förväntas att de ska göra. Och, don´t get me started, det handlar inte om de s.k. e-arkiv som nu försäljs.

Förhoppningsvis kan en klok översyn leda till att desorienteringens dimmor litet börjar upplösas och att en riktning tas ut.

Att svära i kyrkan

I mina funderingar om en tänkbar nationell styrmodell för informationssäkerhet slås jag av vilket i mitt tycke oproportionerligt intresse incidentrapportering fått som säkerhetsåtgärd.

För att ge en snabb bild av nuläget så har MSB sedan snart två år en särskild föreskrift angående obligatorisk it-incidentrapportering för statliga myndigheter. Till detta kommer dataskyddsförordningens krav och förslaget på NIS-direktivets tillämpning i Sverige som båda framför starka krav på incidentrapportering. Dataskyddsförordningen kommer att träda i kraft i maj 2018, samma månad som även utredningens förslag rörande NIS-direktivet sannolikt kommer att sjösättas.

MSB:s incidentrapportering är alltså inriktad enbart på statliga myndigheter och gäller uttryckligen endast it-incidenter. MSB:s definition handlar inte om störning på verksamhetens processer utan vilken typ av, framförallt teknisk, orsak som lett till störningen samt i vissa fall konsekvenser för informationshantering:

  1. störning i mjuk- eller hårdvara,

  2. störning i driftmiljö,

  3. informationsförlust eller informationsläckage,

  4. informationsförvanskning,

  5. hindrad tillgång till information,

  6. säkerhetsbrist i en produkt,

  7. angrepp,

  8. handhavandefel

  9. oönskad eller oplanerad störning i kritisk infrastruktur, eller

  10. annan plötslig oförutsedd händelse som lett till skada (3 §).

Det är alltså ett tämligen icke-stringent incidentbegrepp (lägg märke till att begreppet ”plötslig” överraskande kommer in under punkt 10) som används. Att notera är också att bristande spårbarhet inte nämns som en incidenttyp.

Dataskyddsförordningen, som i princip kommer att gälla i alla offentliga och privata organisationer som hanterar personuppgifter, har ett incidentbegrepp som är helt inriktat på personuppgifter:

personuppgiftsincident: en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats,

Det är framför allt obehörig åtkomst (konfidentialitet) men även förlust eller förvanskning (riktighet) av personuppgifter som ska ses som incidenter i detta perspektiv. Det bör dock understrykas att för att kunna efterleva dataskyddsförordningens övriga krav är både positiv och negativ spårbarhet en central faktor. Däremot kan en personuppgiftsincident lika gärna ske i icke-digitala som digitala medier – det är alltså inte enbart it-incidenter som är aktuella (vilket särskilt bör beaktas med tanke på att den s.k. missbruksregeln i PuL försvinner).

I författningsförslaget gällande NIS-direktivet slutligen är definitionen av incident:

incident: en händelse med en faktisk negativ inverkan på säkerheten i nätverk eller informationssystem

Precis som i MSB:s och Dataskyddsförordningens definitioner lyser verksamhetspåverkan med sin frånvaro, det är nätverken och informationssystemen som är objektet för regleringen som gäller både offentliga och privata aktörer i följande samhällsviktiga branscher:

  • Energi (elektricitet, olja, gas)
  • Transporter (lufttransporter, järnvägstransporter, sjöfart, vägtransport)
  • Bankverksamhet
  • Finansmarknadsinfrastruktur
  • Hälso- och sjukvård (hälso- och sjukvårdsmiljöer [inklusive sjukhus och privata kliniker])
  • Leverans och distribution av dricksvatten
  • Digital infrastruktur

En självklar fråga är om den bristande samordning som av de tre olika regleringarna är acceptabel. Det förefaller inte finnas några planer för att förenkla för de som kommer att behöva rapportera samma incident i två eller i värsta fall tre olika stuprör. Gissningsvis måste MSB:s befintliga inrapportering och den som följer av NIS samordnas eftersom de båda ska ske i MSB:s regi men då kvarstår ändå personuppgiftsincidenterna. Och i författningsförslaget för NIS-direktivet finns det en antydan om att är bra om tillsynsmyndigheterna samarbetar:

med Datainspektionen när den handlägger incidenter som medfört personuppgiftsincidenter och innan ett åtgärdsföreläggande meddelas,

så det finns kanske hopp om en praktisk samverkan.

Jag ska inte fördjupa mig ytterligare i samordningsproblemen även om de är nog så intressanta för alla som kommer att drabbas av dem. Istället tänker jag svära litet i den nationella säkerhetskyrkan och ifrågasätta om det verkligen är rimligt att satsa så mycket intresse och resurser på just incidentrapportering. Man kan göra den inte helt rimliga analogin till en enskild organisation som ska förbättra sin informationssäkerhet och då satsar större delen av sitt krut på incidentrapportering – skulle vi då tycka att det är en ändamålsenlig satsning? Den kritiske kan här invända att författningsförslaget för informationssäkerhet i samhällsviktiga och digitala tjänster innehåller litet vaga krav på säkerhetsåtgärder:

14 § Leverantörer av digitala tjänster ska utarbeta och vidta ändamålsenliga och proportionella tekniska och organisatoriska åtgärder för att hantera risker som hotar säkerheten i nätverk och informationssystem som de använder när de tillhandahåller internetbaserade marknadsplatser, internetbaserade sökmotorer eller molntjänster inom unionen. Med beaktande av den senaste tekniska utvecklingen ska dessa åtgärder säkerställa en nivå på säkerheten i nätverk och informationssystem som är lämplig i förhållande till den föreliggande risken, varvid hänsyn ska tas till 1. säkerheten i system och anläggningar, 2. incidenthantering, 3. hantering av driftskontinuitet, 4. övervakning, revision och testning och 5. efterlevnad av internationella standarder.

Samt även ett system för tillsyn med ett antal tillsynsmyndigheter (varav ett par redan tackat nej till uppdraget i sina remissvar). Huvudpunkten är ändå incidentrapportering vill jag hävda. Är detta då den mest effektiva åtgärden för att förbättra säkerheten?

Låt oss då först titta på syftet med incidentrapportering. I en organisation är incidentrapportering inte en lösryckt aktivitet utan del i en incidenthantering där den fyller flera olika syften:

  • Initiera akut felavhjälpning
  • Inleda återställelsearbete (kontinuitetshantering)
  • Ge underlag för långsiktig förbättring
  • Rapportering internt och externt
  • Indirekt: försörja riskanalys och informationssäkerhetsarbetet i stort

Behovet av informationskvalitet i rapporteringen är olika för de olika syftena. För att inleda akut felavhjälpning krävs mycket snabb kommunikation, däremot kan inte den som anmäler felet förväntas kunna redogöra för orsaken. För att inleda kontinuitetshanteringen måste en koppling kunna göras mellan de drabbade informationsbärarna och verksamhetsprocesser för att rätt prioriteringar av återställelse respektive reservrutiner ska kunna göras. Underlaget för långsiktig förbättring måste vara av mer analytisk karaktär men också bygga på en konsistent tillämpning av begrepp för att mönsterigenkänning ska kunna göras. Kravet på god informationskvalitet gäller även för rapportering, riskanalysen och för informationssäkerhetsarbetet i mer vida termer.

Hur har man då resonerat i dessa frågor när det gäller den nationella rapporteringen. Inte alls vad jag kan se, det är till och med svårt att utläsa vad syftet med den befintliga incidentrapporteringen egentligen är även om den dåvarande inrikesministern Ygeman 2015 så följande då beslutet att införa rapporteringen togs:

Syftet med ett sådant system är att möjliggöra en förbättrad lägesbild över informationssäkerheten i statlig förvaltning. Förmågan att förebygga, upptäcka och hantera it-angrepp mot statliga informationssystem ska också bli bättre. Sådana it-incidenter kan röra exempelvis störningar i mjukvara, hårdvara eller driftmiljö eller förlust av data i olika sammanhang. It-incidenter kan orsakas av bland annat externa attacker, säkerhetsbrister i it-produkter eller felaktigt handhavande.

Det är alltså inte incidenthantering som eftersträvas utan ”en förbättrad lägesbild”. För mig förefaller det torftigt att ha en lägesbild som består av tekniska incidentbeskrivningar men jag tror också att inrapporteringsmoralen påverkas i starkt negativ riktning med tanke på att den svaga möjligheten till payoff eftersom det inte handlar om incidenthantering. Egentligen inte ens om rapportering utan endast om incidentanmälan eftersom meddelande om att något hänt ska ske innan någon djupare analys har hunnit ske. Samma oklarhet gäller även rapporteringen av personuppgiftsincidenter och rapportering enligt NIS-direktivet – det enda som kan hända är att man får ett besök av tillsynsmyndigheten för att uttrycka sig raljant. Att både MSB och Datainspektionen hävdar att det finns ett starkt behov av att sekretessbelägga rapporteringen gör att den lägesbild som uppges vara huvudsyftet för åtminstone MSB kommer att vara tillgänglig i mycket begränsade kretsar. Erafarenhetsåtervinningen på nationell nivå är därmed inget som kan locka fler att rapportera.

Att det sannolikt kommer att saknas ett starkt driv att rapportera incidenter påverkar kvaliteten i lägesbilden. Ytterligare en aspekt som påverkar kvaliteten är den svaga begreppsmodelleringen av vad som ska inrapporteras samt att det saknas kriterier för verksamhetspåverkan i rapporteringen. Här hade stora lärdomar kunnat hämtas från exempelvis smittskyddsområdet och överhuvudtaget från ett mer vetenskapligt förhållningssätt. Att resonemang i denna riktning helt saknas både i dataskyddsförordning och i NIS-direktivet talar för sig själv.

Att incidentrapporteringen ändå fått ett så stort genomslag som universalmedel beror förmodligen på att den har en USP. Det går nämligen att förklara vad incidentrapportering är för politiker och andra makthavare medan många andra säkerhetsåtgärder på systemnivå kräver betydligt mer i pedagogik. Incidenter kan också kopplas till mer actioninriktad kommunikation som kan leda fram till snabba beslut än en diskussion om hur informationssäkerhet ska bli en normal del av förvaltningen. Men, som alla vet, är det inte alltid det som är lätt att sälja som är det vi bäst behöver.

Sammantaget tror jag följande. Den nationella incidentrapporteringen kommer inte att ge de enskilda organisationerna något stöd i det egna informationssäkerhetsarbetet och kvaliteten i de rapporter som faktiskt sker kommer att vara låg. Den gemensamma lägesbilden som summa kommer inte ha högre kvalitet än de ingående delarna och kommer därför att ha ett värde som inte är i paritet med fokus och de resurser som läggs på incidentrapporteringen. Vore det då inte bättre att försöka göra en något djupare analys och försöka reda ut vilka åtgärder som skulle ha en reellt säkerhetshöjande effekt på nationell nivå? Eller åtminstone sätta in incidentrapporteringen i ett sammanhang som redovisas och som kan vara del av en större styrmodell?

 

 

Frånvaron av den goda offentlighetsstrukturen

Den goda offentlighetsstrukturen, eller bristen på sådan, är värd ett blogginlägg till. För att sammanfatta mitt förra inlägg så är det inte bara kraven i OSL som gör att offentlighetsstrukturen inom myndigheter, kommuner och landsting bör prioriteras. Den transparens som ingen politiker, högre tjänsteman eller konsult någonsin missar att närmast religiöst lyfta fram på konferenser och i strategier som en förutsättning för en fungerande demokrati borde innebära att insyn är en central fråga.

Ett annat högaktuellt skäl är att god tillgång till korrekt information från källan är ett av de mest verksamma sätten att bekämpa den farsot av informationspåverkan som bedrivs av både politiska och kommersiella intressen.

Ytterligare en anledning som kanske är mer av motiverande karaktär är att om kravet på systematik och sökbarhet i informationshanteringen (som en god offentlighetsstruktur förutsätter)  realiseras skulle det innebära enorma effektivitetsvinster för den offentliga förvaltningen. Då skulle ju nämligen även medarbetarna på myndigheten eller i kommunen helt plötsligt få arbetsverktyg och en överblick som är  revolutionerande jämfört med i dag. Något som borde ligga helt i linje med de officiella digitaliseringssträvandena. I en kommentar till mitt förra blogginlägg i frågan framkom också att myndigheter ibland får anlita konsulter för att söka fram allmänna handlingar hos andra myndigheter, ett tydligt tecken på bristande insynsmöjligheter även mellan myndigheter.

Trots alla dessa goda anledningar i heta områden är ändå inte offentlighetsstrukturen god och de finns få indicier på att andra än enstaka torra bloggare intresserar sig för frågan. Och när man ändå närmar sig frågan så fastnar man i diarieföringen vilket jag ser som den återvändsgränd vi sprungit i sedan 1970-talet utan att någonsin bromsa in och fundera vad vi håller på med.

Innan jag tittar vidare på några myndigheters mer eller mindre ambitiösa insatser på området ska jag därför skriva litet om diarieföring som fenomen och dess roll som ett klent substitut för en god offentlighetsstruktur. Vad som måste noteras är att det inte finns någon skyldighet för myndigheter att diarieföra information utan skyldigheten är att allmänna handlingar ska vara registrerade. Däremot är kravet på god offentlighetsstruktur obligatoriskt. Varför är det här intressant? Jo, därför att diarieföring inte på något sätt borgar för en god offentlighetsstruktur – snarare tvärtom. Diarieföring är från början ett sätt att dagligen lista in- och utgående korrespondens (därav ordet diarium som litet slarvigt kan översättas som ”dagbok”). Sedan medeltiden och ännu tidigare har detta varit ett sätt för hov, kyrkliga institutioner och en begynnande förvaltning att hålla ordning på korrespondensen. I Sverige finns exempel från bruk och proto-industri där man redan tidigt började föra diarium – eftersom jag ordnade arkivet minns jag med särskild kärlek Långvinds bruk och dess diarium från 1600-talet.

Problemet är bara att diarieföringen sedan 1600-talet inte på något sätt utvecklats i samma takt som övrig informationshantering utan utgör en slags museal kvarleva i dagens förvaltning. Trots att myndigheter har både en och två registratorer (även kommuner och landsting) så ger inte diarieföring vare sig insyn utifrån eller möjlighet till styrning av informationshanteringen internt i myndigheten. Ingen tycks heller ställa krav på att det ska kunna gå att söka information eller registrera den utan personlig hjälp av en registrator. Att diariet omfattar endast en bråkdel av de allmänna handlingar som finns i myndigheten (d.v.s. att endast vissa typer av korrespondens samt dokument som ser ut som pappershandlingar) verkar inte heller väcka oro. Istället lever diarieföringen kvar som en ritual som blir allt mer tom år för år. Fossiliseringen har pågått under årtionden vilket också visar sig vid en snabb sökning på Libris. Sökningen renderar inte i en enda längre text som på djupet analyserar hur diarieföring i traditionell utformning skulle kunna ersättas av sökverktyg som bättre uppfyller andemening i OSL de senaste 30 åren.  En DIVA-sökning är ungefär lika nedslående.

 

 

Diarieföringen sker idag med en stor arbetsinsats och i it-system som utformats för att i mesta mån efterlikna papperskartotek och slippar i tre färger. Det finns ingen formell utbildning till registrator (Mitthögskolan har haft enstaka kurser på arkivutbildningen) utan detta är ett yrke som traderats från kvinna till kvinna och idag är mer en konstform än en funktionell sökfunktion. Det räcker att titta på sökmöjligheten som erbjuds i ett diarieföringssystem för att förstå hur lång bort från en Google-sökning vi är och vilken omöjlig nivå av förförståelse som krävs för att göra en sökning ens inom en myndighet.

För att ge ytterligare ett par exempel på hur det i realiteten ser ut för den som söker på en myndighets webbplats och vill ha insyn, inte bara tillgång till tjänster, så ska jag här beskriva ett par myndigheter som borde ha särskilt intresse för de här frågorna.

Lantmäteriet

Lantmäteriet har varit mycket framgångsrika när det gäller digitalisering och öppna data. När jag gnällt över att öppna data (som ju är näringsinriktade tjänster) prioriterats framför insyn ur ett demokratiskt perspektiv har jag ibland fått det lugnande beskedet att de två frågorna hänger ihop. Den myndighet som satsar ambitiöst på öppna data kommer att vara lika ambitiös när det kommer till insynsperspektivet har varit tanken. Men stämmer det i verkligheten?

Lantmäteriet har visserligen en lockande flik under Om oss som heter Diariet och informationsredovisning. Kan man bli annat än sugen på att kika in där? Under Informationsredovisning  finns en redovisning över olika hjälpmedel som används inom Lantmäteriet som t.ex.:

Informationshanteringsplan, som innehåller upp
gifter hämtade från Arkivförteckningen. Denna sammanställs som ett stöd till verksamheten. Planen beskriver verksamhetens processer och dess handlingstyper. För varje handlingstyp finns beskrivande och styrande information som t ex format, gallring, lagring och förvaring.

Den skulle jag gärna vilja ta del eftersom den ju vore en första ingång för att förstå vilken information som Lantmäteriets processer hanterar. Detta verkar dock bara vara en teaser för planen är inte tillgänglig på webben och det finns heller ingen hänvisning till hur jag skulle kunna ta del av den. Däremot kan jag klicka mig i in informationsredovisningsverktyget Klara där jag kan få ta del av

Historik och information om Lantmäteriets föregångare hittas i informationsredovisningsprogrammet Klara på respektive arkivbildare.

Det är alltså själva arkivredovisningarna som ligger här. Märkligt nog är även det nya materialet ordnat enligt allmänna arkivschemat framtaget 1903 och sammantaget är detta inte ett sätt att presentera information för målgrupper utanför den snäva arkivariekretsen. För att ändå vara någorlunda rättvis kan  en högmotiverad utomstående få ett visst grepp om det historiska materialet men knappast en insyn i dagens verksamhet.

Att det står Diariet och informationsredovisning är missvisande; något diarium kan jag inte hitta utan vad som gäller är att ta personlig kontakt med registratorerna om man inte söker remisser och remissvar samt rapporter som presenteras under egna flikar.

Sammantaget är bedömningen att Lantmäteriet möjligen har en halvgod offentlighetsstruktur när det gäller arkivbildningen men knappast när det gäller pågående verksamhet. Tesen att en satsning på öppna data med automatik leder till samma engagemang i insynsfrågor finner inte särskilt mycket stöd här.

MSB

Det är kanske litet dumt att titta på en myndighet där jag själv arbetat eftersom jag då har en betydligt bättre förförståelse än den vanlige invånaren. Men eftersom MSB har en roll gällande psykologisk försvar (oklart exakt vilken) och i att motverka informationspåverkan tycker jag det är intressant att se om och hur myndigheten själv understödjer källkritik med en god offentlighetsstruktur.

Tyvärr finns inte ens ett diarium tillgängligt (remisser och remissvar finns utlagda). Tanken verkar vara att man ska ringa eller maila registraturen. Med min ”lokalkännedom” uppfattar jag det som att MSB:s webbplats är tämligen orörd sedan myndighetens tillblivelse 2009. Om något ska göras åt detta jungfruliga tillstånd bör en god offentlighetsstrukturen vara ett centralt mål med tanke på de budskap som lämnas till externa parter om vikten av källkritik.

Efter detta tappar jag litet motivationen att närgranska fler myndigheters webbplatser. Jag bläddrar igenom eSams övriga medlemmar, d.v.s. myndigheter som uttryckt ett stort intresse för digitalisering: Migrationsverket, Statens Servicecenter, Arbetsförmedlingen, Kronofogden…  Det ser ungefär likadant ut hos de flesta, i korthet hänvisar man till att ta kontakt med registrator. Det verkar ha formats en icke-uttalad standard för hur liten ansträngning myndigheter tillåts göra för att skapa insyn.

För mig är det förvånande att omvärlden, och då kanske allra mest journalister, finner sig i den dåliga insynen i myndigheters verksamhet och att kritiken som riktas då riktas nästan enbart mot bristande diarieföring och rutiner för utlämnande. Exempel på detta är när Peter Wolodarski idag (15 oktober) riktar en helsida med i och för sig mycket välmotiverad kritik mot UD för att man tar alldeles för lång tid på sig att lämna ut handlingar. Wolodarski utvecklar den kritik som redan framförts av JO om brister i diarieföring och utlämnande. Självklart är detta brister som måste tas på stort allvar och i sitt svar på Facebook säger Margot Wallström att hon ska göra det:

I DN i dag den 15 oktober tar Peter Wolodarski upp de anmärkningar som Utrikesdepartementet fått från Justitieombudsmannen för att inte skyndsamt nog ha lämnat ut information om mejl om Sveriges kampanj till FN:s säkerhetsråd.

Det ska inte råda något tvivel om att jag delar Wolodarskis syn på värdet i offentlighetsprincipen. Öppenhet och transparens är värden som Sverige förknippas med och främjar över hela världen.

I det aktuella fallet begärdes information om drygt 74 000 mejl ut. För vart och ett måste vi ta ställning till om någon uppgift omfattas av sekretess i enlighet med offentlighets- och sekretesslagen. Det är ingen liten uppgift: grovt skattat bedöms detta ärende ta ungefär ett och ett halvt års arbetstid.

JO bedömer att UD inte har handlagt ärendet tillräckligt skyndsamt. I vissa fall har UD, enligt JO, inte heller tagit ställning löpande till registrering av mejl i ärendet. Som departementschef för UD ser jag allvarligt på JO:s anmärkningar. UD har sedan år 2014 sett över och förändrat rutinerna för hur vi hanterar utlämning av handlingar. Förfrågningar om att få ta del av allmänna handlingar är arbetsuppgifter som ska hanteras skyndsamt och gå före annan verksamhet, och vi tillsätter extra resurser vid arbetstoppar. Vi fortsätter nu vårt arbete för att förbättra dessa rutiner

Men även om diarieföringen och utlämnandet skulle fungera oklanderligt enligt de normer som gäller idag menar jag att detta inte på något sätt är tillräckligt för att skapa en god offentlighetsstruktur på det sätt som OSL kräver, bl.a:

2 § Varje myndighet ska upprätta en beskrivning som ger information om
1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar,
2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar,
3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar,

Jag hävdar att det med dagens teknik är fullt möjligt att ge offentlighetsprincipen ett reellt innehåll, ge insyn, ge möjlighet till förståelse för vilken information som finns och ge tillgång till allmänna handlingar utan onödiga dröjsmål. Men istället för god offentlighetsstruktur fortsätter vi med en fullständigt obsolet diarieföring.

Varför nöjer vi oss med så litet?  Varför låter vi inte digitaliseringens omvandlande kraft användas här där det är så angeläget?

Nya roller vid outsourcing

Sällan har uttrycket ”på förekommen anledning” förefallit så relevant som när en promemoria angående Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet  presenterades och skickades på remiss i veckan. Den konspiratoriskt lagde funderar naturligtvis vid vilken tidpunkt promemorian initierades och hur diskussionen gick då . Nu är den i alla fall lagd och det är naturligtvis intressant att se på det faktiska innehållet. Redan här bör det dock poängteras att promemorian endast gäller statliga myndigheter och därför saknar relevans i den senaste veckans diskussioner om kommunernas säkerhetsskydd till exempel.

Såvitt jag kan se innehåller den egentligen bara tre förslag på förändringar i säkerhetsskyddsförordningen som innebär konkreta förändringar. För det första kompletteras rubriken för 16 § till att omfatta även utkontraktering (Överlåtelse och utkontraktering av verksamhet som drivs av det allmänna). På det sättet tydliggörs att reglerna även omfattar outsourcing av den typ som genomfördes vid Transportstyrelsen.

För det andra ska myndigheter som planerar att genomföra till exempel en outsourcing genomföra en särskild säkerhetsanalys:

undersöka och dokumentera vilka uppgifter i den verksamhet som myndigheten avser att utkontraktera som ska hållas hemliga med hänsyn till rikets säkerhet och som kräver säkerhetsskydd (särskild säkerhetsanalys)

Eftersom säkerhetsskyddsförordningen redan förutsätter att myndigheten ska ha koll på var det finns uppgifter som ska hållas hemliga bör detta i princip inte innebära något större merarbete. Redan initialt vid en planerad outsourcing bör det ju vara klart om det förekommer hemliga uppgifter eller inte i den information som ska outsourcas. Naturligtvis vet jag att det inte alltid är så i verkligheten men nu försöker jag ringa in vad som är det som kan tillkomma som nya element. Den tredje förändringen är också den som innebär den stora förändringen, nämligen att det inte, om förslaget går igenom, längre räcker att själv upplysa den enskilde outsourcingpartnern om att säkerhetsskyddslagen som gäller för utkontrakterade. Nu ska myndigheten också samråda med tillsynsmyndigheten (Försvarsmakten respektive SÄPO) om den planerade outsourcingen. Myndigheten ska alltså ta sin särskilda säkerhetsanalys till sin tillsynsmyndighet för samråd redan innan upphandling inleds. Tillsynsmyndigheten får också enligt förslaget ett mycket starkt mandat att styra upphandlingen och till och med stoppa den:

Tillsynsmyndigheten får förelägga myndigheten att vidta åtgärder enligt säkerhetsskyddslagen och de föreskrifter som har meddelats i anslutning till den lagen. Om ett föreläggande inte följs eller om tillsynsmyndigheten bedömer att säkerhetsskyddslagens
krav inte kan tillgodoses trots att ytterligare åtgärder vidtas får tillsynsmyndigheten
besluta att utkontrakteringen inte får genomföras.

Utdraget till sin konsekvens ger förslaget ett helt nytt rollspel där Försvarsmakten respektive SÄPO blir ytterst ansvariga för riskbedömningen medan myndigheten som ska outsourca i princip kan skicka in sin säkerhetsanalys och därefter sätta sig på läktaren. Detta innebär både potentiella nackdelar som att ansvarsprincipen sätts ur spel och fördelar som att det tydliggörs vem som egentligen gjort bedömningen, d.v.s. tillsynsmyndigheterna. Händer det något med den information som outsourcats och alla de åtgärder som myndigheten förelagts av SÄPO kan vad jag ser inget ansvarsutkrävande ske mot myndigheten. Hur SÄPO ska kunna hålla sig uppdaterade för att kunna göra korrekta riskbedömningar är för mig svårt att riktigt förstå. Med tanke på förslagen till utvidgning av säkerhetsskyddslagens tillämpning i förslaget till säkerhetsskyddslag där det är mycket oklart vad som ska anses påverka ”Sveriges säkerhet” ser jag framför mig en ny flaskhals i den offentliga förvaltningen när SÄPO ska döma av alla större upphandlingar. Det ska bli intressant att läsa remissvaren och se hur dessa frågor diskuteras av remissinstanserna.

Test: Offentlighetsstrukturen hos tre myndigheter

I dessa dagar då vikten av att kunna gå till källan för att kontrollera fakta har blivit alltmer uppenbar borde offentlighetsprincipen lyfts fram som den nationalklenod den är bara av det skälet. Så är inte fallet vad jag kan se, trots 250-årsjubileet förra året. I så fall skulle den exempelvis haft en central plats i den nationella digitala strategin men avsnittet Demokratin värnas i digitala miljöer som börjar bra med

Digitalisering bidrar till att skapa förutsättningar för ett öppet och inkluderande demokratiskt samhälle med goda möjligheter att uttrycka och sprida åsikter, idéer och information.

utmynnar endast i förslag rörande medier. Ord som insyn och offentlighetsprincip förekommer överhuvudtaget inte i strategin.

 Tråkigt tycker jag, särskilt med tanke på att insikten om insynens betydelse för ett väl fungerande samhälle fanns (i alla fall med hjälp av vissa politiska påtryckningar) till och med hos Adolf Fredrik (på bilden ovan) som annars mest intresserade sig för att svarva snusdosor. Han undertecknade 1766 lagtexten som motiverade offentlighetsprincipen med:

”Att vi eftersinnat den stora båtnad allmänheten av en rättskaffens skriv- och tryckfrihet tillflyter i det en obehindrad inbördes upplysning uti varjehanda nyttiga ämnen icke allenast länder till vetenskapers och goda slöjders uppodling och utspridande, utan ock gifver en hvar af undersåtarne ymnigare tillfälle att dess bättre känna och värdera ett visligen inrättadt regerings-sätt; ävensom ock denna frihet bör anses för ett af de bästa hjälpmedel till sedernas förbättring och laglydnadens befrämjande, då missbruk och olagligheter genom trycket bliva för allmänhetens ögon ådagalagda.”

 

Dagens ministrar är knappast distraherade av att svarva snusdosor, ändå missas hur gynnsamt insyn är för samhället i de förvaltningspolitiska utspelen.

Men trots allt är ju faktiskt offentlighetsprincipen, om än undanskymt, fortfarande det som gäller för myndigheter, landsting och kommuner. I en digital verklighet skulle också själva innebörden av principen kunna förverkligas, långt bortom tunga ritualer bland uråldriga diarieföringsprinciper och pappershantering. En positiv bieffekt av en mer digital och utvecklad tillämpning är att det också skulle kunna leda till ett indirekt försvar av offentlighetsprincipen som nu ibland ifrågasätts av att den kan vara administrativt tyngande för vissa verksamheter. Det är naturligtvis ett orimligt argument men med en smidigare hantering skulle det återkommande ifrågasättande av enskildas möjlighet till insyn kunna reduceras så att det inte längre utgör ett hot.

I ett tidigare blogginlägg har jag skrivit om behovet av att utveckla offentlighetsprincipen och Peter Seipels viktiga text om de olika tolkningar som är möjliga. Som jag ser det finns det både ett mycket stort behov av att utveckla offentlighetsprincipen samtidigt som möjligheterna att göra det i princip är oändliga. Det som avgör är enbart om det finns en vilja att förbättra insynen eller inte. Att döma av de insatser som hittills gjorts av regeringar oavsett färg de senaste decennierna, då frågor som 24-timmarsmyndigheter, e-förvaltning och digitalisering varit ständigt prioriterade, är viljan inte besvärande intensiv. Faktiskt knappt synlig.

För att inte bara fördomsfullt anta saker har jag gjort ett litet test av nuläget. Offentlighetsprincipen innebär inte enbart att man kan begära ut allmänna handlingar. Myndigheten ska underlätta för den intresserade att få insyn i själva handlingarna men inte bara det; man ska även ha en så kallad god offentlighetsstruktur. Detta beskrivs i offentlighets- och sekretesslagen (OSL) 4 kap. Allmänna åtgärder för att underlätta sökande efter allmänna handlingar, m.m. där det särskilt betonas att en myndighet särskilt ska beakta att enskilda bör ges goda möjligheter att söka allmänna handlingar samt:

Beskrivning av en myndighets allmänna handlingar

2 § Varje myndighet ska upprätta en beskrivning som ger information om
1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar,
2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar,
3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar,
4. vem hos myndigheten som kan lämna närmare upplysningar om myndighetens allmänna handlingar, deras användning och sökmöjligheter,
5. vilka bestämmelser om sekretess som myndigheten vanligen tillämpar på uppgifter i sina handlingar,
6. uppgifter som myndigheten regelbundet hämtar från eller lämnar till andra samt hur och när detta sker, och
7. myndighetens rätt till försäljning av personuppgifter.

 

Vad är då rimliga förväntningar på god offentlighetsstruktur idag om man redan 1766 beslutade följande:

”och bör till den ändan uti alla arkiver fri tillgång lämnas att sådana handlingar få avskriva på platsen eller utbekomma i bevittnad avskrift och det vid samma tjänsteansvar som nyss nämnts”

Själv tycker jag att det är en miniminivå utifrån OSL:s krav i ett digitalt Sverige att myndigheters webbplatser ska vara ingången för den enskilde att söka information inte bara om myndighetens tjänster utan om vilka allmänna handlingar som finns i myndigheten. Det bör alltså finnas en beskrivning av myndighetens processer och den information som genereras ur dessa processer alternativt stödjer processerna. Eftersom myndigheter ändå enligt en föreskrift sedan 2008 är skyldiga att ha en processorienterad arkivredovisning borde inte detta vara ett ohemult krav. Sättet att beskriva verksamheten och informationen måste självklart vara så att en utomstående kan förstå den utan att ha kontakt med myndighetens personal, typ registratorer. Det är viktigt att understryka att det inte går att begränsa sig till vilka handlingar som finns registrerade i diariet vilket ju naturligtvis är en bråkdel av alla de allmänna handlingar som finns i myndigheternas it-tjänster och -system. Inte heller kan offentlighetsstrukturen sägas gälla de tjänster som en myndighet har i förhållande till allmänheten – insynen måste riktas främst mot myndighetens egen verksamhet om den ska tjäna de syften som uppställts.

Som utomstående bör jag också ha möjlighet att söka på och identifiera enskilda allmänna handlingar, även detta utan att behöva ta kontakt med myndigheten. Myndigheten bör också i detta sammanhang kunna redovisa väsentliga uppgifter som om på vilket sätt personuppgifter kan ingå i olika handlingar och vilka gallringsbeslut som fattats om olika informationsmängder.

Slutligen bör jag kunna ta del av handlingarna digitalt. Inte heller detta gäller endast de handlingar som finns i diariet utan samtliga allmänna handlingar. En sekretessprövning måste i många fall ske innan utlämnandet men även detta är en rutin som borde kunna effektiviseras och där de handlingar som per definition är offentliga ligger tillgängliga för nedladdning. Så är ju redan fallet med protokoll m.m. från de politiska församlingarna i kommunerna.

För att göra en liten temperaturmätning har jag formulerat, i mitt tycke, tre rimliga frågor för test på några myndigheter/kommuner för att se hur utvecklad deras offentlighetsstruktur är:

  1. Får jag en beskrivning av verksamheten och av de allmänna handlingar som är kopplade till myndighetens processer?
  2. Kan jag själv söka och identifiera enskilda allmänna handlingar?
  3. Kan jag ta del av handlingarna digitalt?

För att börja uppifrån tänkte jag i det här blogginlägget börja med några centrala myndigheter. Med avsikt avstår jag från att testa regeringens hemsida eftersom jag redan tillbringat mycket tid med att snurra runt på den för att söka information – sällan med önskat resultat. Istället tänkte jag titta på några myndigheter som har uppdrag så att de skulle kunna påverka offentlighetsstrukturen hos andra myndigheter alternativt varit delaktiga i nationella digitaliseringsaktiviteter.

Riksarkivet

Riksarkivet har vid sidan om uppdraget om det långsiktiga bevarandet också gett ut föreskrifter om bland annat arkivredovisning vilket är grunden för hur myndighetens allmänna handlingar redovisas. Myndigheten har även ingått i E-delegationen och där haft uppdrag bland annat att genomföra projekt om e-diarium. Riksarkivet har sedan den 1 juli år 2016 i uppdrag att främja arbetet med att tillgängliggöra information och öppna data från statliga myndigheter. Detta är ett axplock av Riksarkivets aktiviteter på området vilket skulle föranleda en att tro att myndighetens egen offentlighetsstruktur är väl utvecklad.

startsidan  finns ingenting som leder en besökare intresserad av Riksarkivets verksamhet och de allmänna handlingar som stödjer den. Jag går via Om Riksarkivet vidare till Om oss och kan då gå in på fliken Organisation som visare den traditionella matrisbilden. Organisationen beskrivs också i fyra ”processområden” vilket känns något motstridigt som begrepp men ger en ganska tydlig bild av vad man sysslar med. Däremot saknas helt uppgifter om vilken information som stödjer processerna.

Jag gör en sökning på diarium för att kanske hitta myndighetens diarium så att jag åtminstone kan se vilka allmänna handlingar som är diarieförda men får då 202 träffar som handlar om olika projekt som Riksarkivet deltagit i för att bland annat utveckla e-diarium. En träff känns aningen ironisk: en nyhetsnotis om en rapport där Riksarkivet framhåller de enorma samhällsvinster som skulle kunna göras med e-diarium och e-arkiv. Det är möjligt att de bland de 202 träffarna döljer sig något litet myndighetsdiarium som jag inte upptäckte när jag skummade igenom söklistan men då är det så väl dolt att i praktiken inte är sökbart.

Vad jag kan se är de enda allmänna handlingar som identifierade, sökbara och även möjliga att ta del av digitalt de remissvar som Riksarkivet skrivit. Det är svårt att säga något annat att det är ett klent resultat för en myndighet som borde hålla fanan högt för en god offentlighetsstruktur.

Pensionsmyndigheten

Pensionsmyndigheten är en stor myndighet och har också varit involverad i flertalet mer eller mindre lösa organisationer inom digitaliseringsområdet som exempelvis E-delegationen. Myndigheten är nu hemvist för eSam, ett medlemsdrivet program för samverkan mellan 21 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.

På Pensionsmyndighetens webbplats finns betydligt mer av den information jag söker än hos Riksarkivet. Från första sidan kan jag gå in via Om oss och klicka vidare till en föredömligt tydlig box: Lagar, regler och allmänna handlingar. Här finns en länk till en arkivbeskrivning i pdf-format som också ger exempel på handlingar som används i olika ärendeslag/processer. Arkivbeskrivningen redovisar också sökverktyg som finns samt Pensionsmyndighetens gallringsregler. Exemplariskt ur arkivariesynpunkt men sannolikt svårt att koppla informationen till en enskild handling som önskar göra det; t.ex. för att begära ut en enskild handling eller försöka se om en handling som man vill ta del av kommer att gallras.

Dessutom finns ett e-diarium som lider av den svaghet som alla andra diarier har, nämligen att man måste vara registrator för att kunna använda det som söksystem. Heliga åtgärder som att man måste lägga in datum för att kunna få fram resultat är en avgörande nackdel för den som är van att googla men så är inte heller diarieföringssystemen utformade för att ge bredare allmänhet sökmöjligheter.  Eftersom det saknas fritextsökning måste den som söker ha mycket hög grad av förförståelse för att kunna göra en lyckad sökning. Här måste jag veta vilken typ av ärende som Pensionsmyndigheten anser att en handling ingår i eller vem som är ”motpart” för att kunna göra en sökning. När jag skriver in ”digitalisering” får jag exempelvis fram enbart två handlingar eftersom det är de enda handlingar (gissar jag) som har ”digitalisering” i rubriken. Det saknas alltså metadatahantering vilket leder till att en myndighet som har haft väldigt många fingrar i digitaliseringsburken ändå via sitt diarium framstår som helt utanför. Den instruktion till diariet som presenteras visar väl litet på svårigheterna:

Så söker du i e-diariet

  • Ange namn på ett ärende eller motpart. Du kan skriva in hela eller delar av namnet.

  • Du kan söka ärenden inom olika verksamhetsområden.

  • Du kan söka bland pågående ärenden, avslutade ärenden eller alla ärenden.

  • Ett ärende-ID består av ett prefix (till exempel VER), årtal och löpnummer och skrivs på följande sätt: VER 2010-2.

  • Via datumfälten anger du vilket datumintervall sökningen ska göras inom.

  • Sökresultatet sorteras efter datum som du själv kan sortera på.

 

Man kan också gå in via Senast diarieförda handlingar som redovisar diarienummer, ärenderubrik och datum för handlingar som diarieförts de senaste sju dagarna. Även här krävs ofta en hög grad av förförståelse för att kunna tillgodogöra sig informationen och handlingarna är inte läsbara i sig en när de är uppenbart offentliga.

Sammantaget har Pensionsmyndigheten gjort en stark ansats för att få en god offentlighetsstruktur men fortfarande känns det som att det är starkt inifrån-och-ut-perspektiv som präglat det som gjorts. De är olika delar som satts ihop utan att en riktig synergi uppstått och e-diariet som är den enda egentliga sökmöjligheten är dels inte ett fungerande sökverktyg för en utomstående, dels innehåller det endast begränsade delar av de allmänna handlingar som finns inom myndigheten. Det går inte heller att förstå var det förekommer personuppgifter eller vilka handlingar som gallras när.

ESV

En annan viktig myndighet i digitaliseringsbranschen är ESV som ska stödja regeringen och Regeringskansliet med att ta ett helhetsgrepp om digitaliseringen och driva utvecklingen framåt, tillsammans med myndigheterna. Bland annat genom att analysera den offentliga sektorns digitalisering, följa myndigheternas it-användning, utveckla metodstöd och ge stöd inom nyttorealisering. Det är också ett uppdrag som förpliktigar och där ambitionen för den egna verksamhetens digitala hantering borde finnas.

Att döma av ESV:s webbplats ligger myndigheten tyvärr på samma nivå som Riksarkivet med enbart remissvar som tillgängliga allmänna handlingar.

Genomgången av de tre myndigheterna gav inte ett positivt resultat. Jag kan ana flera bakomliggande orsakerna till det dåliga utfallet som inte är knutet till de enskilda myndigheterna utan snarare är generella. Det främsta skälet tror jag är att offentlighetsprincipen obekväm. Bara häromdagen hörde jag en statlig tjänsteman till synes obrydd förklara att hen inte brydde sig om att diarieföra handlingar eftersom det var så jobbigt när utomstående började ringa och fråga om ärendet. Men det obekväma ligger också på en helt annan nivå, kunskap är makt och en tämligen oproblematisk hypotes är att den som har makt gärna vill ha kvar den orubbad. Kanske är det därför det finns så få högljudda förespråkare för verklig insyn bland högre tjänstemän och politiker. En annan orsak är den rådande förvaltningsfilosofin som är och under en längre tid har varit starkt influerad av New Public Management där offentlig sektor ses i huvudsak som en tjänsteleverantör bland andra. Eftersom denna trend har varit i princip synkroniserad med digitaliseringen har demokrati- och insynsaspekter varit kraftfullt nedprioriterade. Ett tredje skäl kan vara den bristande styrning myndigheter internt har av sin informationshantering. Min erfarenhet är att många myndigheter inte styr sin informationsförsörjning på ett systematiskt sätt och därmed kan man inte heller presentera den på ett begripligt sätt utåt. Sannolikt är den bristande sökbarheten och den fragmentariska beskrivningen den samma inifrån som utifrån, något som inte gynnar verksamheter som är helt beroende av sin informationsförsörjning.  Sammantaget finns allt att vinna på att ägna sig åt att utveckla den goda offentlighetsstrukturen vilket alldeles särskilt bör gälla de myndigheter som i någon mån ska utgöra föregångare för andra.

Jag tar gärna emot synpunkter på det jag nu skrivit, om det är missvisande, har felaktiga utgångspunkter eller om jag missat något på de webbplatser jag gått in på.

Några reflektioner om budgetproppen

I dessa dagar då persikorna äntligen mognar trots den sommar som aldrig var har jag egentligen inte tid med budgetproppen. Men trots att persikorna insisterar på en omedelbar syltning kommer här ändå några reflektioner med anledningen av regeringens intentioner gällande informationssäkerhet, dock med disclaimern att jag inte i detalj har studerat samtliga av de knappa 4000 sidorna.

Föga förvånande är informationssäkerhet ett prioriterat område. Efter det senaste årets skandaler samt det så beramade ”förändrade omvärldsläget” så kommer sannolikt inte regeringens satsningar på informationssäkerhet i olika former att väcka motstånd hos oppositionen. Själv skulle jag ändå vilja resa frågan om det i första hand är pengar som saknas för att förbättra säkerheten.

Men först till själva pengaregnet. När jag nu håller på att försöka formulera förslag på komponenter i en nationell styrmodell har jag tagit fram en idébild för mig själv för att förstå de många former som informationssäkerhet förekommer i på en samhällsnivå. Redan här vill jag utfärda en stark varning för bristen på logik i bilden.  Samtidigt vågar jag mig på att hävda att denna brist inte enbart beror på mina egna tillkortakommanden utan i kanske lika hög grad på att den verklighet jag försöker beskriva saknar logik.

Viktigt för att förstå bilden är samtliga fyra former av behov av/krav på informationssäkerhet kan förekomma i samma organisation. De avklingande pilarna syftar till att försöka beskriva en intresseavvägning; i det ”normala” säkerhetsarbetet sker riskbedömningar hela tiden där hänsyn hela tiden måste tas till andra värden för den egna organisationen och samhället medan i den andra änden är säkerhetskraven mer absoluta. Ett exempel på det senare är ju av att demokratiska rättigheter som insyn inte kan anföras då de ställs som säkerhetsbedömningarna. Jag kommer att återkomma till den här bilden i senare inlägg, just nu använder jag den bara för att resonera kring budgetproppen.

Det mest revolutionerande var den digitaliseringsmyndighet som regeringen beslutat ska skapas under 2018 med ett anslag första året som är något högre än ESV:s (vilket är litet ironiskt eftersom ESV har varit en av de starkaste lobbyisterna för digitaliseringsmyndighet och en kandidat för att bli det). Det är alltså ingen liten myndighet man konstruerar även om anslagen planeras att sjunka längre fram. Förutom att man slänger in hanteringen av tjänster som e-legitimation och Mina meddelanden får den nya myndigheten ansvar för att samordna arbetet med Öppna data. Myndigheten kan väl ses som ett nytt och något mer kraftfullt försök att samordna digitaliseringen efter raddan av tämligen misslyckade initiativ från Toppledareforum och framåt till e-Delegationen och Digitaliseringskommissionen. I budgetpropositionen står inget vad jag kan se om att myndigheten ska ha något särskilt ansvar för informationssäkerhet men i intervjuer med bland annat civilminister Shekarabi efter att proppen presenterats luftas sådana tankar som här. Att informationssäkerhet är en förutsättning för en lyckad digitalisering är något som både jag själv och andra framfört med emfas så principiellt är det en naturlig tanke att sammanföra frågorna. Vi är då i boxen ”normal verksamhet”. Mandatet, ansvaret och uppgiften är dock synnerligen oklart.

Det utökade förvaltningsanslaget till MSB på 40 miljoner till informationssäkerhet och psykologiskt försvar får väl ses som något som hamnar i boxarna ”samhällsviktig verksamhet” respektive ”totalförsvar/civil beredskap”. Här bör det betonas att det är tillskott till redan omfattande medel. Jag uppfattar att den generella inriktningen för MSB blir tydligare och tydligare civilt försvar och samhällsviktig verksamhet vilket sannolikt kommer att prägla även myndighetens insatser inom informationssäkerhetsområdet. Utrymmet för denna typ av spekulationer är stort eftersom det inte finns någon offentliggjord strategi från myndigheten.

SÄPO får en rundlig extra dusör för att arbeta med den nya säkerhetsskyddslagen. Vad Försvarsmakten och SÄPO i övrigt gör inom informationssäkerhetsområdet är svårt att överblicka utifrån på grund av den sekretess som råder. Att PTS föreslås få ett årligt tillskott på 13 miljoner för att ”vidta åtgärder som säkerställer myndighetens långsiktiga arbete avseende säkerhetsskydd och informationssäkerhet för att bättre möta förändrade och framtida krav som ställs.” är däremot en öppen uppgift i proppen.  Här dyker alltså återigen boxarna för totalförsvar och säkerhetsskydd upp.

Sådär kan man fortsätta att hoppa omkring i budgetpropositionen för att försöka greppa statens insatser för att förbättra informationssäkerhet. För mig framstår de krav på informationssäkerhet som ställs i den normala verksamheten och som stödjer intressen som är centrala för individen, demokratiska värden, ekonomi och effektivitet påfallande nedprioriterade. Detta trots att samma budgetproposition understryker behovet av ökad digitalisering. Det hänvisas i proppen till strategierna för informations- och cybersäkerhet respektive för digitalisering men som jag i tidigare blogginlägg beskrivit är båda dessa styrdokument egendomligt inriktade mot säkerhetsskydd. De värden jag låtit symboliseras i form av pilar blir därmed som jag ser det osynliggjorda och inte medtagna i en större riskanalys som omfattar mer en ren säkerhet. Det är till nackdel både för enskilda och för samhället i stort.

En liknande outtalad prioritering görs inom digitaliseringsområdet där öppna data lyfts fram som en viktig uppgift för den nya digitaliseringsmyndigheten medan möjligheten att förbättra den demokratiska insynen i myndigheternas verksamhet inte alls omnämns. Självklart måste Sverige följa PSI-direktivet men det vore en fördel med ett motsvarande engagemang för att förverkliga kraven som emanerar ur grundlagen på god offentlighetsstruktur och insyn. Obalansen mellan näringslivsintresset för öppna data och det demokratiska intresset av en öppen och tillgänglig förvaltning kan förmodas ha ett ursprung i att it-frågorna hittills legat på näringsdepartementet. Detta är ju tämligen ologiskt eftersom regeringens (oavsett färg) inriktning inom digitaliseringsområdet främst varit att utveckla förvaltningen vilket borde motiverat en placering tillsammans med övriga förvaltningsstyrningsfrågor. Problemformuleringen påverkas naturligtvis av i vilket politikområde som har taktpinnen. Nu tyder vissa budgetanslag på en förflyttning av frågan i rätt riktning.

Min upplevelse efter att ha läst strategierna för digitalisering respektive cyber- och informationssäkerhet tillsammans med den budgetproposition där strategiernas första steg mot ett förverkligande är att de båda områdena lider av liknande brist på inriktning. Jag har redan klankat på strategierna och budgetpropositionens riktningslöshet bekräftar mina farhågor. När det gäller säkerhetsområdet kan jag inte urskilja något som tyder på att det genomförts en riskanalys som motiverar fördelningen av medel. Istället förefaller det vara samma typ av brandsläckningsinsatser på nationell nivå som förekommer i organisationer som saknar ett systematiskt informationssäkerhetsarbete. Inte heller kan jag se något samband mellan de olika satsningarna eller stöd för de olika involverade myndigheterna att samordna sig.

För att hitta en positiv trådände så skulle det kunna finnas Ariadnetråd ut ur labyrinten om digitaliseringsmyndigheten skulle kunna formeras till en fungerande myndighet med styrkraft och som kan ta över informationssäkerhetsfrågorna för den normala verksamheten. Om värdena i de fyra pilarna lyfts fram som frågor som ska ligga i myndighetens uppdrag att driva skulle hypotetiskt sett en bättre balans mellan säkerhet och verksamhetsnytta kunna uppnås. På sätt skulle även försummade frågor som stöd för enskildas säkerhet kunna kopplas ett digitalt medborgarskap liksom relationen mellan öppenhet och slutenhet kunna lyftas fram och avvägas. En utveckling i denna riktning skulle kräva ett stort kulturskifte där digitaliseringsmyndigheten inte blir en statlig ideologifabrik av samma typ som exempelvis Digitaliseringskommissionen. Jag är inte alldeles optimistisk då jag återgår till mina husmorssysslor.

En nationell styrmodell del 1

De senaste månaderna har det knappt gått en dag utan att informations- och it-säkerhet utgör en del av medias huvudnyheter. Det känns litet ovant att helt plötsligt arbeta med ett hett ämne men mediabevakningen ger också en insikt om hur området ser ut utifrån. En inte helt uppbygglig syn: det finns stora problem som varit kända sedan länge och som det satsas omfattande resurser på för att lösa men där det råder förvirring i hur de aktörer som arbetar med frågan ska koordinera sig. Vanligt förekommande reportage är en myndighetsrepresentant som presenterar hotbilder med tillägget att den egna myndigheten har förslag på lösningar som går att fixa bara man får mer pengar. En trött metafor är klassfotboll där alla sjuåringar springer på bollen samtidigt, i mitt huvud har istället titeln på en pjäs av Pirandello dykt upp: Sex roller söker en författare. Det behövs helt uppenbart ett gemensamt manus för samhällets aktörer.

Efter några inlägg av ständigt gnäll är det dags att skriva litet mer om vad som kan göras. Då menar jag inte för den enskilda organisationen utan litet mer pretentiöst på den nationella nivån.  I några inlägg ska jag resonera om den nationella styrmodell för informationssäkerhet som den enhet jag ledde på MSB började arbeta med, ett arbete som dess värre aldrig hann fullföljas. Inläggen kommer att i huvudsak utgå från offentlig sektors behov men eftersom det finns ett stort antal privata aktörer som deltar i leveransen av det gemensamma åtagandet är det inte ett helt konsekvent perspektiv.

Utgångspunkten är att trots avsevärda insatser tycks inte informationssäkerheten förbättras nämnvärt i förhållandet till den digitala utvecklingen. Gapet mellan den verkliga säkerhetsnivån och den önskvärda ständiga ökas istället för att slutas. Eftersom bilden är genomgående och den samma oavsett om det är myndigheter, landsting eller kommuner vi pratar om får det ses som ett strukturproblem som sannolikt inte går att avhjälpa i den enskilda organisationen utan kräver en gemensam styrning. Och även om det förekommit mycket fnysande kommentarer efter både skandalen vid Transportstyrelsen och nu senast om polis-debaclet av typen ”hur svårt kan det vara?” så är nog min uppfattning att det inte så himla enkelt att göra rätt som vissa vill hävda. Orsaken är både bristen på samordning och en attityd hos de myndigheter som ska ge stöd som inte skulle ge full poäng i en kundnöjdhetsundersökning.

En annan premiss är att informationssäkerhet inte är en fråga. Även om vi bortser från det semantiska kaos som rått i den senaste tidens mediabevakning där begreppen informations-, it- och cybersäkerhet flugit som konfetti i luften återstår ett behov av att se olika dimensioner. En grundläggande skillnad ligger i å ena sidan verksamhetens eget behov och å andra sidan statens krav på verksamheten. Statens krav är sig mångtydiga från att skydda rikets säkerhet till att se till samhällets funktionalitet vilket inte är riktigt samma sak och dessutom tillkommer all upptänklig lagstiftning som innebär implicita krav på säkerhet. Informationssäkerhet kan rimligen ses som en metodlåda som kan och ska användas i olika syften som är delvis motstridiga. För att ta ett aktuellt exempel fick i dagarna FRA och MUST förstärkning med närmare en halv miljard för att åtgärder inom informations- och cybersäkerhetsområdet. I kommentarer framgår det att avsikten är att utöka övervakningen med bland annat ytterligare sensorsystem. Samtidigt ställer dataskyddsförordningen krav på stärkt personlig integritet vilket föranleder ett antal informationssäkerhetsåtgärder. Att säga att ökad trafikövervakning inte direkt gynnar den personliga integriteten är väl inte att ta till överord. Och så har vi NIS-direktivet som ska införas och som inte heller har mycket att komma med i det hänseendet mer än detta:

Paragrafen genomför artikel 14.1–2 i NIS-direktivet. Valet av säkerhetsåtgärder enligt 11 och 12 §§ ska grunda sig på en riskanalys. Analysen ska kunna användas som beslutsstöd för leverantörens prioriteringar och avvägningar mellan olika typer av säkerhetsåtgärder i förhållande till tjänstens funktionalitet, finansiella och administrativa konsekvenser samt skyddet för den personliga integriteten.

Medan OECD tycker det är integritetsfrågorna är livsviktiga för den digitala ekonomin och att integritet och informationssäkerhet tillsammans måste tjäna som en plattform för diverse positiva utvecklingsfaktorer.

Security and privacy are essential for the digital economy to continue to serve as a platform for innovation, new sources of economic growth and social development. The OECD focuses on the development of better policies to ensure that security and privacy foster economic and social prosperity in an open and interconnected digital world.

Informationssäkerhet är alltså en mädchen für alles från totalförsvaret till den enskildes säkerhet vid e-handel. Många organisationer får därför hantera en mycket komplex kravbild på informationssäkerhet som idag inte är samordnad. En styrmodell för informationssäkerhet skulle fylla en väsentlig funktion genom att integrera mångfalden av delvis motstridiga krav till en helhet. Om detta inte sker på nationell nivå tvingas varje enskild organisation försöka lösa samma frågor med varierande resultat. Förutom ett gigantiskt resursslöseri leder det också till försämrad förmåga att samverka i den gemensamma informationshantering som idag redan är uppbyggd samt till kvalitetsproblem. Som så ofta vill jag här peka på kommunernas prekära situation när de med små organisationer ändå förväntas klara detta.

Utanför själva styrmodellen ligger en avgörande förutsättning: den offentliga sektorns användning av olika typer av it-resurser. Informationssäkerheten måste vara utformad så den svarar på de behov som användningen av it skapar. De säkerhetsåtgärder som behövs är av helt olika typ beroende på om den strategiska inriktningen är att man ska fortsätta på den väg mot ”cloud first” som tidigare beslutats eller om det ska ske en återgång mot mer drift och förvaltning i egen regi. Detta påverka även faktorer som långsiktiga behov av investeringar i teknik och kompetensförsörjning. Men inte bara de explicita målen för it-politiken spelar roll. Att it-politik idag fortfarande, liksom under Alliansens regeringstid, ligger kvar som en näringspolitisk fråga ger en väsentlig förklaring till avsaknaden av tydlig inriktning för offentlig sektors digitalisering. Detta är inte bara ett signalvärde utan gör att digitaliseringen ligger utanför den övriga förvaltningspolitiken. Mycket påtagligt präglar det den lätt förvirrade strategin för digitalisering.

Ryggmärgsreflexen för många i säkerhetsbranschen när man talar om styrning är ”reglering”, ett kvardröjande arv från den militär-polisiära bakgrunden. Jag tror dock att det finns stora fördelar i att försöka se på styrningen av informationssäkerhet som på styrningen av övriga områden inom staten och den offentliga sektorn. Att begrunda hur den svenska förvaltningsstyrningen generellt är tänkt att fungera är ett fruktbart spår där lärdomar kan dras till exempel från ESV:s breda uppdrag. Personligen menar jag att den inom informationssäkerhetsområdet kanske mest underutnyttjade men samtidigt mest effektiva styrformen är kunskapsstyrning.
Styrningen kan inte heller ske enbart från de myndigheter ”med särskilda uppgifter inom området informationssäkerhet”. En stor del av kraven på informationssäkerhetsåtgärder genereras från annat håll och då inte enbart från dataskyddsförordningen utan en mängd lagar, avtal och överenskommelser. Min tolkning är att den förändrade kravbilden också kommer att förskjuta styrningen mot mer proaktivitet än den i huvudsak reaktiva inriktning som hittills varit rådande där insatser som tillsyn och incidentrapportering varit prioriterade.

Som den löshäst jag numera är, utan de förpliktigande hämskor som tyvärr vidlåder den statlige tjänstepersonen idag, tänkte jag unna mig att fritt spekulera i några inlägg om förutsättningarna för en nationell styrmodell och hur den skulle kunna se ut. Inledningsvis ska jag uppmärksamma olika aktörer inom informationssäkerhetsområdet, vad de erbjuder idag samt (något förmätet) försöka bedöma en eventuell utvecklingspotential.

 

Vad vill Liberalerna?

Jag kan faktiskt inte släppa den här debattartikeln från Liberalerna, undertecknad av bland annat en utmanare om partiledarposten. Den illustrerar tydligt några orsaker till Transportstyrelse-skandalen och den ännu större skandalen: den usla informationssäkerheten i vården. För att inte genast mötas med argument som att ”vill du ha tillbaka pappersjournalerna då?” vill jag föra till protokollet att jag är en varm anhängare av digitalisering – men på rätt sätt och med tillräcklig säkerhet.

Här har vi ett parti som efter en sommar då informationssäkerhet var huvudnyhet i alla medier, en generaldirektör och två ministrar fått avgå och en tredje sannolikt även han på väg. När detta inte får dem att dra slutsatsen att när helst digitalisering diskuteras måste det följas av åtminstone ordet informationssäkerhet är det svårt att ens fantisera om vilken medial atombomb som skulle väcka dem.

Att dessutom hävda att vårdens utmaningar inom informationshantering skulle kunna avhjälpas genom digitalisering är att banalisera frågan på ett sätt som är närmast en förolämpning mot de som arbetar i vården. Alla som sett hur överdokumentation och byråkratisering har växt i takt med de New Public Management-ideal som präglat vården sedan slutet av åttiotalet (och som haft mycket varma förespråkare i Liberalerna) inser att det inte räcker med att slänga in nya appar och plattor för att förändra arbetssituationen. Jag tror inte heller att de som är praktiska utförare av vård är tillfreds med appar som gör att patientuppgifter hamnar på okända servrar i USA, tjänster som gör att uppgifterna om läkemedel inte är korrekta, att deras signatur under en ordination kan vara satt av någon annan eller att trygghetslarmen i vart femte fall inte fungerar. Informationssäkerhet motverkar inte patientens eller personalens intresse utan är något som skapar kvalitet i vården.

Att debattörerna lyckas förtränga de nya krav på informationssäkerhet som kommer att ställas redan nästa år genom dataskyddsförordningen och NIS-direktivet är gåtfullt. Den bekymmerslösa hållningen till lagstiftning och annan demokratiskt beslutad styrning är visserligen inte något nytt. Jag har irl hört en av debattörerna på ett raljerande sätt uttala sig om PuL och Datainspektionen vilket tydligen är en fastslagen hållning som gäller även MSB som här:

”Vi som beslutsfattare måste vara modigare att driva orimliga tolkningar till prövning. Vi kan annars ducka för en bedömning från datainspektionen, MSB eller en lagstiftning som samlar damm någonstans. När lagstiftningen får orimliga konsekvenser måste vi ta ansvar för en sådan förändring. Här krävs det ganska stora ställningstaganden kring integritet för att exempelvis individbasera den”, säger Daniel Forslund.

och här för att ta två färska exempel.  Personligen har jag svårt att kalla det att ”ducka” att följa lag och föreskrifter och att en av landets främsta offentliga makthavare ser det så är aningen svårsmält. Jag vill påminna om att oviljan att underkasta sig lagstiftningen faktiskt är det som ledde till skandalen på Transportstyrelsen. Att samma frifräsande ogenerat demonstreras av vårdens makthavare är bekymmersamt och ger en bild av orsakerna till dagens bristande informationssäkerhet i vården.

Vad som är ändå mer förvånande är artikeln satt i ljuset av Liberalernas starka vilja att profilera sig inom det säkerhetspolitiska området. Att släppa fram en artikel om hälso- och sjukvård som kanske är den mest samhällsviktiga av alla verksamheter som inte tar hänsyn till att verksamheten ska fungera vid större störningar och som en del av totalförsvaret skapar frågor. Att driva på en digitalisering för normalläget är inte tillräckligt, det måste även finnas fungerande robusta lösningar när vi som bäst behöver dem. Har partiet överhuvudtaget en sammanhållet säkerhetspolitisk linje? Eller finns det en linje i Försvarsutskottet och en helt annan när de samhällsviktiga verksamheterna ska styras i praktiken?

Tyvärr är nog inte Liberalerna ensamma om denna vinglighet. Inför valåret 2018 finns det all anledning att känna de kandiderande partierna på pulsen i informationssäkerhetsfrågan och då inte minst i vården.

Att upphandla eller inte upphandla – det är frågan

Känslor är en inte oviktig komponent i säkerhetsarbetet. Gott så, insikter och säkerhetsmedvetande kan inte enbart byggas på logiska resonemang utan förutsätter också en djupare upplevelse. Men ibland kan det bli väl mycket känslor och litet för litet analys. Jag tänker på skandalen vid Transportstyrelsen som inte enbart lockar fram det skarpaste hos människor och då menar jag inte på mängden av skadeglada och litet barnsliga ”vad var det vi sa”-kommentarer som är nog så ansträngande. Framför allt tycker jag att den osorterade diskussion där all offentlig användning av outsourcing och molntjänster jämställs med den lagstridiga outsourcingen vid Transportstyrelsen är osaklig och vilseledande. Istället tror jag att vi måste landa i en mer sansad diskussion om hur den offentliga sektorn ska få ett så välfungerande it-stöd som möjligt vilket inkluderar allt från infrastruktur till appar. Förhoppningsvis skulle en sådan diskussion kunna utmynna i en it-strategi för det offentliga Sverige.

Detta tänker jag återkomma till i ett senare blogginlägg där jag utvecklar det jag skrev i den här artikeln . Artikeln har fått positiv respons. Någon enstaka har misstolkat den och annat som att jag skulle vara för en ohämmad användning av outsourcing och molntjänster, något jag finner ironiskt med tanke på hur ofta det antytts (mer eller mindre explicit) att jag är en säkerhetsbromskloss som motarbetar alla nya härliga digitala tjänster. Det kan vara en trösterik illusion men jag är ändå övertygad om att det är i mellanrummet mellan de fasta positionerna som vägen framåt går. Lösningarna är inte svarta eller vita utan olika delar i en gemensam informationsinfrastruktur måste analyseras i sin egen rätt. I denna struktur kommer icke statligt ägda komponenter att ingå i form av infrastruktur, utrustning, applikationer och tjänster. Så är det redan i dag i hög grad och det är svårt att förstå hur staten skulle kunna utveckla denna helhet i egen regi. Om en intention mot ökad statligt ägande och utvecklande av infrastruktur, utrustning, applikationer och tjänster borde detta föregås av en ordentlig riskanalys där de faktiska riskerna faktiskt värderas. Det skulle motverka känslotänkandet och ge en mer rationell grund för en strategi. Observera att jag uppfattar att det finns argumentation som främst vilar på känslor i båda riktningar, både hos dem som förordar marknadslösningar och hos de som hävdar att säkerheten alltid är bättre i statligt ägda lösningar.

I väntan på en inriktning kommer det på gott och ont att fortsätta att upphandlas både outsourcing och molntjänster av alla möjliga typer. Myndigheter erbjuder även varandra sourcing och tjänster vilket kanske t.o.m. är ännu mer komplicerat ut säkerhetssynpunkt (vilket jag diskuterade i mitt förra blogginlägg). Jag tycker dock inte att vi ska låta oss förtvivlas över detta. Bara för att Transportstyrelsen var dåliga (milt sagt!) på att genomföra en upphandling behöver inte alla myndigheter vara dömda att vara det.

Om vi utgår från att en stor del av it-relaterade tjänster även fortsättningsvis kommer att upphandlas av kommersiella aktörer bör en viktig säkerhetsåtgärd vara att inrikta sig på de offentliga upphandlingarna. Detta kan ske på två nivåer; dels på en gemensam övergripande nivå, dels hos den enskilda myndigheten eller kommunen som ska göra en upphandling.

På den nationella nivån identifierade SOU 2015: 23 Informations- och cybersäkerhet i Sverige (NISU)  säker upphandling som ett av sex strategiska mål. I den nyligen framlagda cybersäkerhetsstrategin  finns däremot inte upphandling bland de sex strategiska prioriteringarna. Det finns ett kortare stycke på sidan 15 som i vaga ordalag säger att stödet för upphandling ska stärkas och därtill kommer att regeringen ska verka för att:

myndigheternas kompetens avseende upphandling av nätverk, produkter och system stärks och att myndigheterna vid upphandlingar säkerställer att hänsyn tas till säkerhetsaspekter

Inte så kraftfullt och det är svårt att se att outsourcing och molntjänster kan inrymmas under ”nätverk, produkter och system”.

För mig förefaller det finnas betydligt större möjligheter för att nationellt förbättra informationssäkerheten i upphandling än vad som framkommer strategin. En viktig del är att ägna större intresse åt molntjänster eftersom det sannolikt är där den stora ökningen av externa tjänster kommer att ske. En del finns att hämta i den rapport som Pensionsmyndigheten levererade som resultatet av ett regeringsuppdrag. För transparensens skull medger jag att jag deltog som expert i den utredningen. Ett förslag i rapporten var att ge MSB i uppdrag att genomföra en riskanalys av användning av molntjänster och andra externa IT-tjänster ur ett nationellt perspektiv, och att föreslå eventuella åtgärder. Detta förslag har dock inte, såvitt jag vet, anammats men borde genomföras, inte nödvändigtvis av MSB utan hellre av en mer sammansatt gruppering. Rätt genomförd där olika alternativ granskas utgör en sådan analys mycket viktig input till en mer strukturerad inriktning av offentlig it.

Upphandlingsmyndigheten omnämns också i förbifarten i cybersäkerhetssäkerhetsstrategin, däremot inte Statens inköpscentral under Kammarkollegiet som trots allt ingår ramavtalen för it och telekom för hela den offentliga sektorn. I ramavtalshanteringen tror jag att det finns en stor potential där det går att ställa tydligare krav på leverantörerna men också att ge betydligt bättre stöd för de avropande myndigheterna att komplettera ramavtalets krav. Att göra bra upphandlingar bygger på att det finns en tydlig kommunikation mellan kund och leverantör vilket i sig förutsätter att kunden kan formulera sina krav. När man tittar på avrop som gjorts innehåller de påfallande litet om informationssäkerhet (en studie har gjorts av detta som tyvärr inte finns tillgänglig på MSB:s webbplats). Min tolkning efter mina kontakter med myndigheter, kommuner och landsting är att man

  1. Tror att ramavtalen tagit hand om säkerhetsfrågorna
  2. Tycker sig sakna kompetens och metoder att ställa rätt krav
  3. Utgår från att leverantörerna med automatik levererar tjänsterna med rätt säkerhet (de har ju säkert fått alla krav redan från andra kunder…).

Sammanfattningsvis tror jag helt enkelt att detta är en för svår fråga för små och medelstora (kanske t.o.m. för stora) myndigheter att hantera autonomt – det finns ett stort behov av effektivt stöd.  Innan jag slutade på MSB började jag arbeta med ett koncept för standardiserade skyddsnivåer som skulle kunna användas bland annat vid upphandlingar. Alltså om kravet är hög nivå på riktighet innebär det de här kraven på tekniska och organisatoriska åtgärder (kraven måste naturligtvis omges av en hög grad av förvaltning så att de hålls aktuella). Min tanke var att detta skulle utgöra en gemensam plattform för kunder och leverantörer där inte unika krav behövde tas fram för varje upphandling. Detta tror jag fortfarande är en bra lösning som borde utvecklas som stöd för alla typer av it-relaterade upphandlingar.

Staten skulle även kunna använda marknadskrafterna till sin fördel och agera som en samlad förhandlingspartner till de stora internationella leverantörerna av molntjänster. Krav på t.ex. var svenska myndigheters information ska hanteras (inom landet), dedikerade/kontrollerad personal och att följa ett  gemensamt regelverk skulle kunna ställas. Detta har redan skett i Tyskland och jag ser inte varför inte Sverige skulle följa detta exempel. I den bästa av världar skulle staten då få både kontroll över sin information och samtidigt få tillgång till de lösningar som de kommersiella leverantörerna kan erbjuda. Detta är en lösning som definitivt bör noggrant utvärderas innan beslut om statliga moln eller koncentration av statlig it-drift beslutas.

Detta är bara några möjligheter för att förbättra på nationell nivå men det finns också mycket i teorin som den enskilda myndigheten eller kommunen kan göra. När jag arbetade på MSB skrev jag en vägledning för informationssäkerhet vid upphandling av it-relaterade tjänster. Så här i efterhand kan jag säga att om Transportstyrelsen kunnat följa vägledningen skulle inte Stefan Löfven behövt avbryta sin semester och två ministrar avgå…

Tanken var att så konkret som möjligt beskriva hur informationssäkerhet på ett bra sätt tas med vid upphandlingar. Vissa har påpekat att det är ett utopiskt tillstånd av väl planerade upphandlingar som redovisas i vägledningen. Jag är naturligtvis medveten om att många upphandlingar sker under stark tidspress och att de upphandlade organisationerna är sällan-köpare som nog saknar den vana och kompetens som skulle krävas för de komplicerade upphandlingar som det ofta gäller. Om man ska gena är det ändå bra att veta vad man inte har gjort som man kanske borde ha gjort. Vägledningen innehåller vissa förenklingar som kanske kan ifrågasättas som t.ex.:

Riskanalysen bör inledas med att kartlägga vilken roll systemet eller tjänsten ska ha i organisationen samt vilka interna och externa intressenter som finns till lösningen när den är i drift. För att kunna göra riskanalysen krävs därför att man översiktligt beskriver vilken information som ska hanteras och på vilket sätt . Vissa aspekter bör säkerställas initialt eftersom de är avgörande för vilka lösningar som är möjliga, som till exempel:

  • Innehåller informationen personuppgifter? Om ja, är dessa uppgifter att betrakta som känsliga personuppgifter?
  • Kan lösningen komma att hantera information som påverkar rikets säkerhet?

Om lösningen är tänkt att hantera denna typ av information kommer det att finnas särskilda säkerhetskrav i lagstiftning som redan från början kan utesluta vissa typer av lösningar som exempelvis molntjänster.

Vän av ordning kan naturligtvis hävda att det går att använda molntjänster och outsourcing för den här typen av information med rätt säkerhetsåtgärder vidtagna. Jag menar dock att det i praktiken innebär krav på kompetens och resurser som flertalet organisationer saknar. Och om man skärskådar verkligheten så kan nog inte mindre myndigheter och kommuner följa vägledningen eftersom de saknar kompetens och resurser att göra ens det. Detta trots att molntjänster och outsourcing innebära en möjlighet att höja säkerheten (för information som inte faller under säkerhetsskyddslagen eller innehåller känsliga personuppgifter). Att undvika att molntjänster när personuppgifter är också ett råd som är allt svårare att följa eftersom även ordinära kontorstjänster som mail, kalender och samarbetsytor naturligtvis innehåller personuppgifter och t.o.m. känsliga personuppgifter. När det är precis de tjänsterna som de flesta myndigheter och kommuner vill köpa som molntjänster uppstår ett dilemma som sannolikt bara går att lösa genom den typ av nationellt avtal som jag tidigare beskrev.

När jag är ute och pratar om upphandling är det två punkter som jag trycker extra hårt på förutom informationsklassning/riskanalys. För det första att man måste första att en upphandling är en process där åtminstone fyra aktörer ingår:

  • Verksamheten som behöver it-stödet
  • It-chef
  • Informationssäkerhetsansvarig
  • Inköpare/upphandlare

Dessa fyra aktörer brukar ofta ha divergerande uppfattningar om både hur upphandlingen ska genomföras och vad den ska leda fram till. Informationssäkerhet är sällan vara en prioriterad del av upphandlingen och många är väl vi som en kravspec i handen med kommentarer av typen: ”kan du slänga in säkerhetskraven till i början av nästa vecka?”

Därför finns det en processbeskrivning med i vägledningen med markering av de aktiviteter där informationssäkerheten bör finnas med.

Tyvärr tror jag även detta är ett råd som är svårt att tillämpa eftersom många organisationer saknar en fastställd process för upphandling – det finns alltså inte struktur att fästa säkerhetsåtgärderna i. I vissa fall kan ett ledningssystem för informationssäkerhet fungera som ett lok som skapar ordning i generella processer genom sin kravställning men alltför många gånger kommer säkerheten in alldeles för sent och med alldeles för liten betydelse.

Det andra jag brukar trycka på är att när vi allt som oftast säger att det måste finnas en beställarkompetens är det inte bara under själva upphandlingen som detta behövs. Som syns i processbeskrivningen så behövs det beställarkompetens inom informationssäkerhetsområdet ända tills att avtalet. Detta glöms ofta bort och det fortlöpande säkerhetsarbetet kommer aldrig till stånd och en inte oväsentlig faktor är att det är svårt för den enskilda myndigheten att få till en metod för att genomföra det. Även den myndighet som varit duktig när det gäller att ställa de initiala kraven får därför en avklingande säkerhet som så småningom övergår till osäkerhet.

Upphandlingsfrågan har länge varit en favorit för mig och jag har predikat på längden och på bredden om dess vikt. Trots att jag in i det längsta vill se konkreta lösningar för att förbättra informationssäkerheten i den enskilda organisationen så förstår läsaren av det här inlägget säkert redan nu att jag ser det som en ganska hopplös uppgift. I offentlig sektor behöver myndigheter, kommuner och regioner en stark nationell plattform för upphandlingar av it-relaterade tjänster för att kunna ta sitt eget ansvar. Med plattform menar jag i all stillsamhet en strategi för hur regeringen tänker sig informationsförsörjningen, en styrmodell för ansvar, mer utvecklade ramavtal, upphandlingsstöd till enskilda organisationer, standardiserade skyddsnivåer och ett nationellt avtal med Microsoft m.fl. Att alla de utredningar som skett inom området inte lyckas greppa frågan uppfattar jag som ett misslyckande och litet av ett svek mot alla de myndigheter, kommuner och landsting som gör så gott de kan för att sköta sina upphandlingar fast de i realiteten kanske har möjlighet att göra det.  De journalister som vill gräva efter undermåliga avtal när det gäller säkerhet kommer sannolikt inte att gå lottlösa i fortsättningen heller. Min fråga i rubriken är helt retorisk. Vi är ett läge där upphandlingar sker och kommer att fortsätta ske. Att se till att de sker med god informationssäkerhet kräver nationella lösningar mycket snart. Om inte annat nafsar dataskyddsförordningen oss alla allt ihärdigare i bakhasorna och finns det inte en nationell beredskap för det så bör general-, region- och kommundirektörerna sova mycket oroligt.

Regeringen måste ha en egen idé om framtidens IT

Eftersom vissa inte kunna läsa den debattartikel som publicerades 4 augusti i SvD eftersom den är låst bakom en betalvägg lägger jag ut texten här.

Det finns flera intressekonflikter när det gäller informationssäkerhet. Så länge ­regeringen är otydlig med vad som ska prioriteras, kan inte myndigheter på egen hand förväntas klara avvägningarna. Det skriver säkerhetsexperten Fia Ewald

Nu pågår en omfattande diskussion rörande Transportsstyrelsens skandal. Den diskussion som förts efter att händelsen blivit känd har kommit att handla om allt möjligt som informationssäkerheten generellt, statliga moln med mera vilket händelsen på Transportsstyrelsen inte egentligen har någon bäring på.

Jag ser istället händelsen som ett symptom på regeringens otydlighet i it-politiken där man inte lyckas skapa en strategisk inriktning som både omfattar ­effektivitet och säkerhet. Detta skapar en kognitiv dissonans* i styrningen som jag menar är den egentliga förklaringen till varför i övrigt kompetenta och förnuftiga generaldirektörer ger sig in i huvudlösa upphandlingar av it-relaterade tjänster.

Informationshantering på samhällsnivå innebär ett antal intressekonflikter; stat kontra ­individ, slutenhet kontra öppenhet, integritet kontra övervakning och så vidare. Den i det här mest intressanta är konflikten effektivitet/ekonomi/verksamhetsnytta och ”säkerhet”. Motsägelsefullheten uppstår när intressekonflikten negligeras eller i vissa fall till och med skapas. I nuläget har regeringen å ena sidan formulerat ett antal förslag rörande att informationssäkerhet och säkerhetsskydd ska stärkas och å andra sidan imperativa budskap om ökad användning av molntjänster och om att bli världsbäst på e-förvaltning kompletterat med önskemål om att statens it-kostnader generellt bör sänkas. Till detta kommer förslaget till ny säkerhetsskyddslag som är mycket otydligt om vad som egentligen ska räknas som inverkande på rikets säkerhet.

Dessa olika intressen går inte att förena fullt ut, det vill säga staten kan inte alltid välja cloud first lika litet som dåligt avvägd säkerhet kan få förhindra verksamhet att fungera på ett effektivt och någorlunda ekonomiskt försvarbart sätt. Min uppfattning är att så länge de här intressekonflikterna inte lyfts fram, diskuteras och blir föremål för en gemensam avvägning på nationell nivå kommer myndighetsledningar att vara utsatta för motstridiga signaler där det är omöjligt att avgöra hur den egna it-verksamheten ska utformas så att den tillgodoser samtliga intressen.

I år har regeringen presenterat både en ­cyber- och informationssäkerhetsstrategi och en digitaliseringsstrategi. Ingen av dessa strategier ger såvitt jag kan se något stöd för myndigheter i hur de ska möta framtiden och hur de ska hantera de olika intressekonflikter som finns. Jag menar att dessa strategier bör få sjunka in i glömskan och ersättas av en ­offentlig it-strategi där olika intressen sammanvägs på ett strukturerat sätt.

För att kunna ta fram en fungerande strategi krävs dock en helt annan nivå på utredandet än hittills och också att man försöker hitta fungerande lösningar för framtiden och inte ägnar sig åt att lösa gårdagens frågor. Det kan visserligen finnas skäl att skapa en statlig molntjänst för lagring och att säkra upp ­datorhallar där så kallad säkerhetskänslig statlig information hanteras. Detta är dock bara dellösningar. Verkligheten idag är att alltmer offentlig information hanteras i molntjänster och dessa molntjänster erbjuder inte bara lagring utan funktionalitet som inte går att erbjuda på annat sätt. När det sägs att outsourcing/molntjänster används av ekonomiska skäl är detta en sanning med stor modifikation – de används snarare i allt högre grad för att uppnå verksamhetsnytta. Dessutom kan molntjänster, rätt upphandlade och med rätt beställarkompetens, innebära en klart förbättrad säkerhet för många verksamheter.

Medan det stormar vidare på regeringsnivå hoppas jag att pendeln inte slår över för långt, att vettskrämda politiker och generaldirektörer uppfattar outsourcing i sig som problemet och fattar beslut som leder till att vi börjar backa in i framtiden. Jag är övertygad om att outsourcing och framför allt molntjänster kommer att öka i betydelse – detta är en verklighet med en mix av egna och köpta lösningar som vi måste lära oss hantera. Det går inte heller att fokusera enbart på statlig it-verksamhet. En övervägande del av samhällsviktig verksamhet ombesörjs av landsting, kommuner och privata aktörer. Informationsflödena sker också mellan alla dessa aktörer i alltmer gemensamma infrastrukturer. Om god informationssäkerhet ska uppnås på samhällsnivå måste dessa olika aktörer samverka och utgå från samma strategiska inriktning.

I ett samhälles it-strategi måste ett vägval göras: Om det är regeringens uppfattning att det är så stora risker att använda kommersiella molntjänster att merparten av offentlig information måste hanteras i lokaler, utrustning, applikationer och tjänster som ägs av myndigheter – då måste det formuleras. Det andra alternativet är att dagens mixade verklighet ska utvecklas.

Oavsett vilket val som görs måste det finnas resurser och kompetens att hantera det valda alternativet. Detta gäller inte minst informationssäkerheten där ett säkerhetsskydd av flera anledningar inte kan utgöra svaret. ­Säkerhetsskydd bör sparas som den yttersta åtgärden för att skydda rikets säkerhet. En ­vidare tillämpning leder bland annat till ­oacceptabla inskränkningar i medborgerliga rättigheter samtidigt som säkerhetsåtgärderna som ingår i säkerhetsskyddet inte svarar mot de krav på tillgänglighet och skydd av personlig integritet som ställs inom samhällsviktig verksamhet.

Tyvärr förefaller många av förslagen som framförts hittills illa genomtänkta, såsom det ofta blir när man reagerar på en akut situation och en specifik händelse. Förhoppningsvis leder inte dessa förslag till snabba åtgärder – istället behövs ett mer analytiskt skede där en helhetsbild av den nuvarande röriga argumentationen sorteras upp. Vi bör också komma överens om att det inte finns en typ av säkerhet eller en lösning. Istället måste vi inse att ”säkerhet” är ett paraplybegrepp där många intressen måste leda fram till en mängd olika lösningar som tillsammans kan leda till ett säkrare samhälle.

För mig förefaller inte lösningarna ligga främst i att styra placeringen av utrustningen utan att på olika sätt styra informationshanteringen genom avtal, tydligt ansvar, upphandlingskompetens, organisation, mjuka tekniska lösningar och kunskap. Men den viktigaste insikten är att så länge inte regeringen ger en inriktning om hur intressekonflikterna ska hanteras kan inte myndigheterna förväntas göra det.