En notering i marginalen om kontroll över informationen

Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it-drift.

Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras. En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information. För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.

För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen. De allmänna handlingarna ska vara redovisade och snabbt återsökbara. I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.

Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan. Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.

I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.) som måste tillgodoses.

Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering. De planer jag sett är ofta antingen fragmentariska (d.v.s. omfattar endast delar av verksamhetens informationshantering) eller inaktuella. Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.

Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga. Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet. Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier! I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.

 

En reaktion på ”En notering i marginalen om kontroll över informationen

  1. Mitt svar på detta heter systematisk och organiserad informationsförvaltning. Självklart regleras och övervakas denna med en plan över all slags dokumentation, likgiltigt hur man benämner en sådan plan. De är f ö inte nya och behöver därför inte uppfinnas varken som idé eller praktisk lösning. Det faktum att den offentliga sektorns dokumentationsplaner ofta bara redovisar det som faller under definitionen ”allmänna handlingar” och i sämsta fall endast pappersutskrifter av dessa får skrivas på ett annat konto. Med detta vill jag säga att du slår in öppna dörrar ifråga om idén. Att du aktualiserar behovet av sådana planer/kontrollinstrument i just dessa tider och mot bakgrund av det säkerhetsmässiga elände som röjs hos myndigheterna, det är däremot utmärkt.
    Kan man tänka sig att vi nu ser början på en ny utveckling där verksamhetsledning och informationsägare tar grepp om informationsförvaltningen – den systematiska och organiserade hanteringen av verksamhetsinformationen – som en strategisk funktion? Att den följaktligen upphör att vara något som arkivarier sköter med vänsterhanden?

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *