Riskmenageriet

Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget. Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar. Det vill säga den stora samhällskrisen.

En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB. Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt fortsätta skriva om hur myndigheten hanterat det beryktade enkätverktyget. Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat här. När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) :

Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen. I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.

MSB får 75 miljoner (!) för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter. Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna. I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer. Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet:

Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.

MSB tar upp initiativ kring digitalt verktyg för digital självskattning.

GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning. Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.

Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget. Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till. Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget tagits fram. Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd. Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning. Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning. Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd. Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.

Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget. Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det. Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren. Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.

Som en slutkommentar till Arbetaren säger MSB:s pressekreterare:

Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något. Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.

MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare inlägg, att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen. I krissituation är det viktiga tillit och att alla vet vem som ska göra vad. I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet. Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.

Det skulle vara lätt att göra sig lustig över denna tragikomiska historia. Det är inte min intention. Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga. Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten. Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”:

A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan. Gray rhinos are not random surprises, but occur after a series of warnings and visible evidence.

Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade. Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts. Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden. Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).

Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: 1970-talet. Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera. Det är inte bara mycket stora ekonomiska resurser som behövs. Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs. Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen. Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav. MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer. Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.

Remissvar på arkivutredningen

Lämnade idag följande remissvar angående arkivutredningen.

 

Arkivutredningen fick i uppdrag att göra en bred översyn av arkivområdet i Sverige.

Jag menar att utredningen inte lyckats formulera de strategiska frågor som är av verklig betydelse för att arkivväsendet ska kunna uppfylla sin viktiga samhällsfunktion, än mindre kommit med lösningar på dessa frågor. Istället har man fastnat i detaljer och frågor av mindre betydelse. Genomgående har det som kan sammanfattas som ”kulturarvsperspektivet” få styra utredningens inriktning och prioriteringar. Det gör att de mycket komplexa frågor som samhällets informationshantering brottas med i huvudsak lämnas utan behandling.

Några av de frågor som jag menar är av essentiella för att information av vikt ska kunna säkras för framtiden och som utredningen utelämnar i sin rapport är följande.

Den långsiktiga hanteringen av information

Det finns i idag ingen plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden. Detta är kärnan i all arkivverksamhet. När vi nu har en exponentiell tillväxt av information saknas organisatoriska, metodmässiga och tekniska lösningar för det långsiktiga bevarandet. Likaså saknas aktuell vägledning för hur gallring ska kunna genomföras i de enorma informationsmängder som skapas. De senast tillkomna generella vägledningar rörande gallring togs fram av Riksarkivet under senare hälften av 1990-talet, d.v.s. för snart ett kvarts sekel sedan.

Istället för varaktiga lösningar har spridda experiment med så kallade e-arkiv skett i olika regi som exempelvis Statens servicecenters upprepade misslyckande med en e-arkivtjänst. Dessa lösningar är dock bara mellanarkiv – hur det slutgiltiga omhändertagandet av den digitala informationen är fortfarande höljt i dunkel. Denna fråga borde ha varit centrum i utredning som har till uppdrag att göra en översyn av arkivverksamheten.

Den nya informationsinfrastrukturen

Ända fram till 1990-talet föreföll det fortfarande relevant att utgå från att varje myndighet kan ha i uppdrag att kontrollera den information man själv upprättar samt den information som inkommer till myndigheten. Detta är idag ett betraktelsesätt som ligger långt ifrån den verklighet som snarare består av en snabbt sammanväxande nationell (och delvis internationell) informationsinfrastruktur. Offentliga och privata aktörer ingår i processer information utbyts, förädlas, aggregeras och ackumuleras i snabb takt. Svåra frågor som hur information ska kunna reproduceras från olika källor på ett säkert sätt över tid berörs inte av utredningen. Inte heller hur ansvarsfördelningen i denna gemensamma infrastruktur ska fördelas röner intresse hos utredningen. Vad som ska utgöra allmänna handlingar i den enskilda myndighetens arkiv liksom vem som ska ses som arkivbildare i denna helhet finns det idag inga officiella verktyg för att avgöra. Även detta hade varit en central fråga att peka på för utredningen.

Den krympande andelen allmänna handlingar

Arkivlagen gör en sammankoppling mellan allmänna handlingar och arkiv:

En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 12 § tryckfrihetsförordningen och som myndigheten beslutar ska tas om hand för arkivering.

Tyvärr gör denna sammankoppling att då en allt mindre andel av en myndighets handlingar ses som allmänna handlingar, vilket är negativt i sig, kommer även andelen information som ska bedömas ur arkivperspektivet att minska. Vad denna utveckling innebär för framtidens möjlighet för bland annat forskning tas inte upp utredningen. Ej heller hur detta påverkar den svenska demokratin där en mer extensiv tillämpning av vad som ska utgöra allmänna handlingar skulle kunna förbättra insyn och delaktighet.

Av särskilt intresse är de verksamheter som tidigare varit offentliga men som privatiserats och där det inte längre finns allmänna handlingar som ger insyn eller möjlighet till forskning. Här finns privata företag men även intresseorganisationer som SKR som med offentliga medel skapar information med stor betydelse för samhället men som samhället saknar kontroll över.

Information som samhällsresurs

I informationssamhället är av naturliga skäl information den viktigaste resursen. Den information som skapas av myndigheter inklusive kommuner och regioner är därför begärlig inte bara inom myndighetssfären och inte bara för forskning utan även för nationella och internationella företag. Detta har uppmärksammats vad gäller personuppgifter och alldeles särskilt för personuppgifter inom hälso- och sjukvård som är det nya guldet för många multinationella företag. Hur svenska myndigheter ska förhålla sig till detta utan att t.ex. äventyra personlig integritet eller riskera att snedvrida verksamheten för att producera information kommenteras inte av utredningen. Lika litet berörs hur arkivväsendet ska förhålla sig till långsiktigt enormt värdefulla vårdsystemen och hur de ska bevaras för framtiden.

Riksarkivet har uttryckt att de anser att myndigheten ska får peka ut ”samhällsviktig” information oavsett arkivbildare. Jag menar att det snarare behövs en analys av informationens betydelse som samhällsresurs för att först därefter kan bli möjlighet att besluta om hur prioritering och omhändertagande ska ske.

Bristande relation till näraliggande områden

Utredningen uppmärksammar inte den nära relation arkivområdet har till områden som informationssäkerhet och dataskydd samt generell informationshantering. Möjligen har det dominerande kulturarvsperspektivet gjort utredningen blind för de aktuella utmaningar som kräver samverkan mellan dessa områden.

En strategi för den svenska arkivverksamheten

Ett förslag är att snarast ta fram en strategi för svensk arkivverksamhet som behandlar ovanstående frågor. Strategin bör bygga på en utredning som förutsättningslöst går igenom:

  • juridiska,
  • organisatoriska
  • arkivteoretiska,
  • tekniska

möjligheter för att långsiktigt kunna bevara och tillhandahålla för samhället relevant information i autentisk form. I detta ligger även att analysera intressenter och på vilket sätt de ska få tillgång till information alternativt påverka vilken information som ska tas fram/bevaras.

Utan närmare analys går att säga att hela andra resurser än nuvarande kommer att behövas för att ta hand om informationen. Hur en hållbar finansiering på tillräcklig nivå ska ske är även det en fråga som bör utredas innan en strategi tas fram.

 

Fia Ewald

En gång arkivarie, alltid arkivarie

 

När krisen kommer

Kriser har den fördelen att de oftast tar slut. Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden. Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst. Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i totalen skapar större ohälsa och död än själva viruset.

Däremot når nu MSB:s insatser en sådan nivå att de t.o.m. får vara med i satirinslaget Publik Service i P1, en ynnest som är få myndigheter förunnad. Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra inlägg och som nu även tagits upp i Ekot.

MSB har hintat om lanseringen av appen med en  näraliggande men okänd startpunkt. Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast  undflyende svar. Jag kan förstå det. Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst. Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen. Det är ju liksom ingen slump att eSam gjort ett uttalande om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.

Vid sidan om själva enkätappen är MSB:s kommunikation om den lika märklig. Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen. MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation. Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist. En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier. Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid. Detta leder inte till en större tillit i krisen.

Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade. Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex. gällande riskbedömningar. Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas. I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.  Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m. Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.

Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund. Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan. För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas. MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna. Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår. Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande. Har MSB lyckats knäcka den nöten så är det stora nyheter för både offentliga och privata organisationer. Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt)  och då vore det ju  bra om MSB gick ut och beskrev hur det egentligen ser ut.

Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster. Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhällets informationssäkerhetsarbete slarvar med säkerheten. Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför. MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.

MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ. Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser. När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press. Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke. Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.

Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet. Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer. Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet. Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.

Nej, det är inte alltid bäst att göra ”något”

Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det. Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut. I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad. Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.

Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin. Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen. Likaså är historien rik på exempel där boten varit värre än soten, d.v.s. att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka. En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar. Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.

Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig. De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem. Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.

När vi blir utsatta för en  pressande situation får många individer och organisationer ett starkt behov av att agera. Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna. Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget). Samma sak med integritet och skyddet av personuppgifter. De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.

Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem. Okritiska reportage om hur kreativa elever fått skolor att börja använda Discord (!) i skolans uppgifter. Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning. Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”. Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar. När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion mot spårbarhet som säkerhetsdimension). Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna? Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.

När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet. Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten. En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.

Det är just i krissituationer som det systematiska informationssäkerhetsarbetet prövas. Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare. Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.  Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras. Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan. Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten. Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen. Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.

 

 

Distansarbete och informationssäkerhet under coronapandemin

Jag blev ombedd att vara med som expert i en chattpanel rörande den nu så aktuella frågan distansarbete. Det blir ju litet fragmentariskt när man svarar på inkomna frågor så jag tänkte ta tillfället i akt och sammanställa några rekommendationer rörande distansarbete. Den organisation som tagit fram (samt övat) en fungerande kontinuitetshantering och dessutom tagit fram regler för distansarbete i normalläget har naturligtvis ett stort försprång nu. För de som inte fokuserat på detta är det en längre väg att gå men då gäller det att man är på rätt väg innan man börjar gå. Utgångspunkten för nedanstående rekommendationer är att det är verksamhetens processer som ska upprätthållas. För processerna är informationen en central resurs. Informationen och organisation i centrum alltså medan it-säkerheten blir den följd av de krav som verksamheten ställer. Jag tar inte upp ergonomi eller vikten av gemensamma kaffestunder. Målbilden är att kunna arbeta lika säkert på distans som på den ordinarie arbetsplatsen.

  1. Skapa en insikt om att i nuvarande läge kommer inte all verksamhet att kunna upprätthållas utan en prioritering måste ske. Har man kontinuitetsplanerat kan man använda den prioritering av processer som redan gjorts (även om det kan behövas en liten analys för att se om tidigare prioritering fortfarande är relevant. Om kontinuitetshanteringen inte finns på plats måste ledningen göra en prioriteringen av vilka processer/funktioner som måste fungera.
  2. När prioriteringen bör en snabb processkartläggning göras för att identifiera vilken information som stödjer processen samt hur informationen hanteras, d.v.s. vilka system, tjänster eller andra bärare som telefoni och papper som används. Därefter görs en informationsklassning/riskanalys för att fastställa säkerhetskrav. Även detta bör ske enligt prioriteringen så att de mest tidskritiska processerna/funktionerna tas först.
  3. It får i uppgift att gå igenom hur befintliga lösningar kan användas för distansarbete utifrån  klassningen/riskanalyserna och kontrollera it-säkerheten i dessa lösningar. I detta ligger även att bedöma om åtkomst och kommunikation vid distansarbete kan ske på ett tillräckligt säkert sätt. Om it-säkerheten bedöms som för låg i befintliga lösningar föreslås alternativa lösningar där så behövs. Om det finns en stor kvarstående risk måste ledningen få möjlighet att acceptera risken alternativt säga att den är oacceptabel vilket kan leda till att nya lösningar arbetas fram eller så bedömningen att distansarbete är olämpligt för den aktuella aktiviteten.
  4. Börja planera och bemanna en supportfunktion som är avpassas till hur många som förväntas distansarbeta och se till att supporten finns när medarbetaren behöver hjälp. Att inte få support i en ny arbetssituation leder ofelbart till att många kommer att göra fel, gena, hoppa över säkerhetsåtgärder. Bristande support är därför ett garanterat säkerhetsproblem.
  5. Kommunicera redan från början och slarva inte med sådana frågor som att det är ledningen som tar ansvar för helheten och de åtgärder som ska vidtas. I kommunikationen bör även ingå signaler som kan leda till en positiv säkerhetskultur som att det är viktigt att medarbetare är observanta på att det kan uppstå nya risker och att det finns en tydlig punkt att rapportera detta till. Det vill säga visa respekt för medarbetarna och se dem som en resurs i säkerhetsarbetet!
  6. Ta fram über-tydliga instruktioner till medarbetarna där det bland annat framgår:
    – att samma säkerhetsregler ska användas hemma som jobbet, exempelvis att alltid låsa datorn när den är obevakad
    – hur pappersdokument ska hanteras
    – vilken typ av information som kan ses som extra känslig, exempelvis känsliga personuppgifter och känslig företagsinformation
    – att arbetsgivarens utrustning bara får användas för arbetsändamål
    – att privat utrustning inte får användas för att hantera arbetsgivarens information
    – att telefonsamtal bör ske på ett skyddat sätt
    – vilka verktyg som ska användas
    – hur de ska användas
    – att verktyg som inte godkänts av arbetsgivaren inte får användas (dubbel negation, jag vet)
    – vem som ska kontaktas för support
    – vem som ska kontaktas för säkerhetsrelaterade frågor
    – hur incidenter ska rapporteras
  7. När man kan räkna med att distansarbetet blir långvarigt bör även den fysiska säkerheten gås igenom. Det kan handla om att skaffa skåp med tillräcklig säkerhetsnivå för vissa medarbetare eller att se över det yttre skalskyddet i vissa bostäder där känslig information ska hanteras.
  8. Skapa rutiner för uppföljning där ni minst en gång i veckan går igenom hur säkerheten vid distansarbetet fungerar, om vidtagna åtgärder fallit ut som ni hoppats eller om det finns anledning att förbättra skyddsåtgärder, om ni upplever att medarbetare fått tillräckligt bra information och om det inträffat incidenter. Uppföljningen bör rapporteras till ledningen.
  9. Planera för uthållighet. De säkerhetsåtgärder som vidtas i samband med distansarbete måste planeras för längre tid och det kan vara bättre att ha en mer långsam uppbyggnad för att få en långsiktigt väl fungerande lösning än att göra quick fixes som snabbt måste ersättas till allmän irritation och med medföljande säkerhetsrisker. En fråga som tål att ställas är om verksamheten verkligen är så tidskritisk som man tror särskilt i rådande läge då ingenting riktigt fungerar som vanligt. Att slippa stressa fram lösningar leder alltid till bättre kvalitet och oftast bättre ekonomi.
  10. Försök att använda det påtvingade säkerhetsarbetet som måste göras till följd av pandemin som en resurs för framtiden. Skapa säkerhetslösningar och en säkerhetskultur som förbättrar säkerheten även i det normalläge som vi förhoppningsvis snart ska återgå till.

Skriften och minnet

Jag ska nu framföra den något inopportuna åsikten att det dokumenteras för litet i organisationerna. Inopportun eftersom vi fortfarande lever i en tid med oändlig övertro på fragmentiserade mätvärden, checklistor, matriser och inkodande, väl skildrat här. Huvudsak blir bisak och frågan är allt oftare för vems skull allt detta registrerande sker, kanske inte för patienten eller eleven utan för att försörja något multinationellt företags omätliga begär efter data?

Det är inte denna typ av dokumentation jag skriver om här utan snarare när matriser ersätter resonemang och utvecklade bedömningar. För att ta informationssäkerhetsområdet som ett exempel ser jag som regel snarare än undantag informationsklassningar och riskanalyser vars värde kan ifrågasättas, särskilt i det längre perspektivet. Det som återstår efter timmar av nedlagd arbetstid och noggrann analys är alltför ofta en matris eller ett excel-ark utan förklaringar. Deltagare eller roller som ingått framgår inte och inte heller hur resultatet ska hanteras. Men mest saknas på vilka grunder bedömningen gjorts. Att arbeta på det här sättet är som att skriva i vatten.

Skrivandet, när det sker på ett beständigt sätt, är i sig ett stöd för tanken. Medan man skriver formulerar man sina tankar, utvecklar och förtydligar, hittar svagheter, gör synteser och lägger grunden för kommunikation. Man skapar förutsättningar för en diskussion som vaskar fram de bästa praktiska lösningarna.

Både informationsklassningar och riskanalyser ska naturligtvis ske återkommande. En väl dokumenterad tidigare klassning eller riskanalys är ovärderligt stöd då proceduren ska upprepas. Istället för att börja från noll kan man gå igenom vilka faktorer som kvarstår eller ändrats, om man fått fördjupad kunskap som påverkar bedömningarna, om åtgärder vidtagits som påverkar risken eller om lagstiftning tillkommit för att ta några exempel. Utan bra dokumentation kommer inte ens de som deltagit i den förra övningen hur diskussionen gick, än mindre de som kommer till.

Att det organisatoriska minnet skapar effektivitet är en sak. Ytterligare en är att dokumentationens syfte inte enbart är att kommunicera utan det är också ett sätt att aggregera kunskap inte bara i enstaka situationer utan genom att skapa ett större kunskapsunderlag som kan återanvändas i nya situationer. Detta bör även ses som en del i organisationens generella riskarbete. Det skrivna ordet är vår kapsel för kunskap vilket även går att översätta till mänsklighetens utveckling.

Låt mig ta ett sista argument för bättre dokumentation och organisatoriskt minne, nämligen att det är verktyg för att skapa ett sammanhang för de som arbetar i organisationen. En fullödig dokumentation lägger fram de rationella skälen till gjorda bedömningar och motiverar i förlängningen säkerhetsåtgärder. Detta leder till en positiv säkerhetskultur kan växa fram där det är naturligt att samtala om säkerhet och där det är tillåtet att ifrågasätta säkerhetsbedömningar. Den som arbetar med säkerhet behöver inte känna sig pressad och defensiv när någon frågar varför ett visst tillvägagångssätt ska tillämpas eftersom det finns mer än siffra att bygga sin motiverande argumentation på.  KASAM, känslan av sammanhang, var ett begrepp som myntades av  sociologen Aaron Antonovsky på 1960-talet och innebär i korthet att om omvärlden ter sig begriplig, hanterbar och meningsfull så har du lättare att hantera svåra situationer. Jag menar att det organisatoriska minnet är en betydelsefull del i om vi upplever kasam eller inte på vår arbetsplats. Bättre rutiner för att ta fram och återanvända meningsfull dokumentation ökar vår förmåga att känna delaktighet och motverkar stress. Detta är inte på något sätt oväsentligt i dessa dagar då allt fler mår dåligt på jobbet.

Se alltså detta inlägg som en plädering för att skriva bättre och läsa mer. Den som känner sig osäker i sitt skrivande måste få öva, öva, öva och att skriva bra bör uppvärderas och ses som en omistlig kompetens för den som arbetar med informationssäkerhet.

SKR, myndigheter och sekretessen

Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se föregående inlägg.

För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening. Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen. SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.

Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna. Häromdagen fick jag detta exempel mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda:

En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

– Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen. Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med. Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen. Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.

Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna. Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara. En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?

Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet. I mitt förra inlägg framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas. Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras. När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan). Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex. gällande samhällsviktig verksamhet. Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.

Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar. Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden. För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.

Enligt mitt resonemang är det alltså  en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar. Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR. Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor:

Hej!

MSB har ett omfattande samarbete med SKR i olika frågor. Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv. I dessa frågor utbyts rimligen känslig information. SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag. Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.

Efter tämligen lång tid och en påstötning fick jag följande svar:

Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.

Genom en sökning i vårt diarium har vi hittat två avtal med SKR:

  • Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779)
  • Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap. 2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

Du har rätt att begära ett skriftligt beslut som går att överklaga. Skriv till registrator@msb.se.

För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på avtalet angående krisberedskap. Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR. Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens beredskap medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga. Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .

Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya e-hälsostrategin (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv. Från denna myndighet fick jag bara ett kort nej på frågan.

Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess. Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.  Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena. Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör. Detta även då det gäller informationssäkerhet. Nyligen skickades ett mail ut från SKR:

Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.

Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.

Dessutom blir det en hel del ny funktionalitet, t.ex.:
– En ny modul för att mäta organisationens mognad,
– Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp,
– Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå,
– Stöd för CISO i det systematiska arbetet och
– Modul för riskanalys.

Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa. Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa. Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.

Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys! Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.

Det är dags för en mer omfattande diskussion om SKR:s roll. Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor. Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.

 

 

 

 

Hur kunde jag missa den rapporten om SKL/SKR?

Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) ställning hittar jag plötsligt en rapport från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om! Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?

Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor. Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar. Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.

Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen. I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m. haft en dubbelroll där man kunnat ge sig själv uppdrag. I huvudsak har det handlat om att förmedla statsbidrag som ett otraditionellt styrmedel (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar. Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen. Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.

SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?) använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret. Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla:

Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting. Det har praktiska orsaker. Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 olika landsting.

Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna. Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna. Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen. Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.

Detta har skapat det SKR som vi känner idag:

Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen. Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården. Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om. Att SKL påverkar villkoren för kommuner och landsting är naturligt. I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården (min kursivering).

Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL. Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet. I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll. Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik. Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården. Det är Riksrevisionens  bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen (min kursivering).

SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen. Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän. Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen. Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet. SKL företräder offentliga organ, men är i sig själv inte ett sådant. Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen. SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret. Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet. SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar (min kursivering).

Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen:

I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation. Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting. Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar. Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna. Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik. Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra. Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.

Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin:

Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas. Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”. Databasen förvaltas av SKL men har finansierats av staten.

Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall:

Att databasen hanteras av en intresseorganisation är en ovanlig lösning. Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket. I regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer. Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret (min kursivering) .

I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.

Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna. Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel. Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen (min kursivering). Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL. Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan. Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt. Regeringen har uttryckt att antalet överenskommelser ska minska. Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur. Om det nära samarbetet med SKL, i form av t.ex. överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel. Det kan t.ex. handla om att reglera insyn och förvaltning under och efter en satsning. Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning. Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna. Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid. Riksrevisionen noterar att medlen till SKL ökar. Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel. Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL. Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation (min kursivering).

Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig. Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör. Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen (min kursivering).

SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs:

Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården. Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå. Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen. SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex. indikatorer.

Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.

Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård. Dessa medel har bl.a. finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen. Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.

Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.

Utöver detta tillkommer de medel som medlemsorganisationerna tillför. Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har 440 byråkrater anställda och ett kontor i Bryssel i sin kansliorganisation. Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?

Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.

 

Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt:

I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör. I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL. Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen. Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex. kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.

En sammanfattande bedömning från Riksrevisionen är:

Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning. Riksrevisionen noterar att medlen till SKL ökar. Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL. Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation. Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.

Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att

regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.

Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet. De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används. Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex. inte OSL gäller för en intresseförening. I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas. Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.

Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga:

Hej!

MSB har ett omfattande samarbete med SKR i olika frågor. Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv. I dessa frågor utbyts rimligen känslig information. SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag. Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.

Hittills har jag trots en vänlig påminnelse inte fått något svar.

Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär. Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats. Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.

Tillägg 2020-02-20: För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk här.

Vad kan vi lära av den falska officeren?

Jag har grubblat en hel del över den falske officeren som i hägn av den svenska försvarsmakten lyckades ta sig ända in i Natos högkvarter.  Som en bakgrund kan sägas att jag aldrig arbetat inom Försvarsmakten men varit i nära kontakt med representanter för myndigheten i olika sammanhang, inte minst då jag arbetade på MSB. Dessutom gav utbildningen till signalskyddschef som jag genomgick för många år sedan en inblick i Försvarsmaktens syn på säkerhet.

Tillåt mig att framföra några obekväma iakttagelser som helt baserar sig på uppgifter i media. Min egen upplevelse har varit att representanter från Försvarsmakten har självbilden att säkerheten i denna verksamhet är mycket bättre både vad gäller omfattning och kvalitet än den som den civila världen lyckas leverera. Denna bild förefaller som så självklar att den aldrig ens diskuteras och påverkar även verksamheter utanför Försvarsmakten. Det går ofta så långt att man vill exportera de säkerhetslösningar som tillämpas inom försvaret till andra delar av samhället. Själv har jag ofta reflekterat över huruvida Försvarsmaktens (och säkerhetsskyddets) lösningar verkligen är ”bättre” än civila respektive kommersiella dito samt om de över huvud taget är möjliga att implementera i en mindre styrd miljö än Försvarsmaktens. Skillnaderna mellan mål, organisation, kultur och teknik är så i grunden olika varandra att jag betvivlar att en rak export från Försvarsmakten är vare sig möjlig eller önskvärd. Tvivlet har förstärkts av den attityd som kan finnas hos de som kommer från det gröna hållet, en viss överlägsenhet och ovilja att ta till sig att andra mål och medel är centrala i det civila livet. Vid ett antal anställningsprocesser har jag också varit med om att militärer ansett sig lämpade som informationssäkerhetsspecialister i det civila trots att de saknat erfarenhet både från den rekryterande verksamhetens bransch och av informationssäkerheten. Att ha jobbat i Försvarsmakten har varit en tillräcklig merit för dessa sökande. Eftersom min grundprincip för säkerhetsarbete är att säkerheten måste anpassas till de unika förutsättningar som råder i varje organisation har denna inställning förefallit missriktad för den som vill förbättra säkerheten. Det behöver kanske inte tilläggas att representanter för den hållningen inte skapar förutsättningar för en givande diskussion med respekt från båda håll.

Vart vill jag då komma med dessa anekdotiska grundade beskyllningar sammanförda med skandalincidenten den falska officeren? En del är min egen förundran över att en verksamhet med ovanstående rykte och självbild som ”säkerhetsexperter” hamnat i en säkerhetsskandal som enligt min mening faktiskt slår den i Transportstyrelsen. Här har man gett en uppenbart opålitlig person fått en säkerhetsklassad tjänst på Must, fått samordna signalskyddstjänsten och haft tillgång till kryptonycklar! Därefter har utlandstjänster med mera följt, också dessa tjänster med reella möjligheter att åstadkomma stor skada. Slutligen blev han även en av Kustbevakningens kontaktpersoner för den ryska säkerhetstjänsten FSB. Sammantaget en karriär med potentiell tillgång till mycket känslig information under ett par decennier.

Lustigt nog förekommer samma kommentarer från Försvarsmakten och Must som från Transportstyrelsen där man vill reducera allvaret i händelsen genom att hävda att inget tyder på att någon skada är skedd. Dessutom sägs att rutinerna för säkerhetskontroller skärpts de senaste tio åren. Båda dessa defensiva kommentarer är problematiska menar jag. Det förefaller svårt att på någon månad  grundligt reda ut eventuella skadeverkningar av ett bedrägeri som vad jag förstår av media pågått i ett par decennier och dessutom i mycket känslig verksamhet. Sakförhållanden borde föranleda en mycket  större utredning med tanke på hur länge han varit där och hur kort tid som Försvarsmakten känt till förhållandena. För mig som okunnig utomstående borde bara vetskapen om de insiderjobb Wennerström och Bergling genomförde framkalla frossa och en oerhörd iver att verkligen ta reda på vad som hänt. Kanske sker också detta i det tysta men den till synes obekymrade hållningen i media inger inte förtroende. Argumentet att säkerhetskontrollerna blivit så mycket bättre på senare år motsägs av att bedragaren under just de senaste åren manövrerat sig mellan olika känsliga positioner ända fram till Nato. Det tyder inte på att noggranna kontroller gjorts.

Att verifiera de uppgifter en sökande lämnar vid ansökningsförfarandet uppfattar jag ändå som en slags basnivå. I min okunnighet förfaller det som en relativt enkel uppgift när det gäller officerstjänster. Den aktuella bedragaren hade ljugit om akademiska studier vilket är en sak. En annan att han uppgivit att han genomfört officersutbildning vilket är en lögn som är mycket svårare att förstå att han lyckades slå i sina arbetsgivare. När ett företag eller myndigheter ska anställa finns det ofta bokstavligen hundratals möjliga studiemeriter med utländska universitet inräknade. Försvarsmakten har däremot en potentiell totalkoll på inflödet till officerstjänster, de kontrollerar ju den enda möjliga meriten. Det finns mig veterligen inga alternativa eller privata officersutbildningar. Att då någon ändå slipper igenom är högst förvånande. När falska läkare avslöjas går det snabbt att kontrollera mot Socialstyrelsens förteckning över vilka som är legitimerade. Då finns det ändå c.a. 42 000 läkare jämfört med c.a. 9000 yrkesofficerare vilket borde vara litet enklare att hålla reda på.

På sociala medier har jag fått upplysningen av mer insatta i branschen att det här sannolikt är ett fall av vad som kallas ”bäste bror”. Jag tolkar det som en kåranda där man av rädsla att uppfattas som ifrågasättande av en officerskollegas kompetens eller heder underlåter att genomföra de rutinkontroller som beslutats. Kanske känns det pinsamt att fråga någon som man borde känna utan och innan vad de egentligen har för formella meriter. I en så liten yrkesgrupp som 9000 officerare kan naturligtvis en sådan tendens förstärkas.

Det känns inte som detta är förklaringen till varför Försvarsmakten inte reagerade när det fick uppgifterna från Kustbevakningen om de fynd myndigheten gjort angående ”officerens” meriter. Det är bara obegripligt för en utomstående att den informationen inte ledde till omedelbara åtgärder. Faktiskt känns det som det hela kunna fortgå än om inte Dagens Nyheter uppmärksammat det hela och ställt de frågor som fortfarande i stort är obesvarade.

Vad kan vi lära av detta när det gäller säkerhet i allmänhet, förutom att pressen gör ett viktigt renhållningsarbete när myndigheterna själva inte klarar av det? Min första tanke är hur svårt det är att få till en fungerande säkerhet. Även om säkerhetsarbete alltför ofta framställs som enkelt att genomföra bara man följer de rätta ”mallarna” känner jag och troligen många andra som arbetat i praktiken en stor ödmjukhet inför uppgiften. Det är så mycket som inte står i manualerna, det är så många procedurer som ska fungera, det är så många människor som ska tänka, känna och göra rätt. Och det räcker inte att det fungerar en gång, det ska fungera åt efter år. I det aktuella fallet är det ju de i allmänhet så hånade ”medarbetarna” som slarvat utan de som gjort säkerhetskontrollerna (eller borde ha gjort) måste ju vara människor med utpekat säkerhetsansvar. Även detta kan jag på någon nivå förstå, att det känns fånigt och pinsamt att be någon man kanske jobbat ihop med länge presentera formella meriter och sedan dessutom kontrollera dessa merithandlingar som är utfärdade av i princip den egna arbetsgivaren. En hel del säkerhetsarbete är ”going through the motions”, att man utan större engagemang utför repetitiva kontroller och hur frestande är det då inte att gena litet grann. Den uthållighet som krävs här underskattas ofta.

Det är (relativt) lätt att besluta som säkerhetsregler men det blir en stor säkerhetsrisk om de regler som beslutats av olika anledningar inte tillämpas. Orsakerna till att reglerna inte efterlevs är många, vi behöver inte gå in på dem alla, här vill jag bara peka på den situation som kan uppstå när alla låtsas som att reglerna fungerar fast alla egentligen vet att det fuskas. En sådan säkerhetsmässig potemkinkuliss är en större risk anser jag än en beslutad lägre säkerhetsnivå som faktiskt  fungerar. Nu menar jag inte att det i det aktuella fallet fanns ett alternativ utan detta är mer en reflektion efter de senaste årens säkerhetshausse där många organisationer har beslut och styrande dokument som anvisar säkerhetsåtgärder som det i realiteten finns ambition att införa. Kort sagt: verklig säkerhet trumfar fantasier! För mig som arbetar med säkerhet är det en viktig uppgift att i dialog med ledningen för den aktuella organisationen bedöma vilken säkerhet som går att införa och vilka risker som olika alternativ innebär.

Det sämsta alternativet är när ledningen har uppfattningen att allt är hunky dory och att organisationen har en väl fungerande säkerhet medan verkligheten är en helt annan. En sådan ledning kan ha mycket svårt att hantera situationer där stora brister uppdagas eftersom det strider helt mot deras verklighetsuppfattning. Hypotetiskt skulle man kunna tänka sig hur svårt det var för Försvarsmaktens ledning att ta in att man huserat en bedragare i det allra känsligaste i ett par decennium utan att detta upptäckts. Lika hypotetiskt kan man då förstå att detta kan leda till beslutsångest och oförmåga att agera trots att korten ligger på borden, som när Försvarsmakten fick information av Kustbevakningen och inte tycktes kunna hantera den. Jag tror helt enkelt att det är farligt att vara alltför övertygad om att man per definition är bra på säkerhet. Att vara bra på säkerhet är att ständigt ompröva och vara medveten om alla brister som hela tiden finns oavsett vilka insatser som görs.

Ytterligare en tankeställare ligger i att skandalen inte skulle ha upptäckts om inte DN lagt ner omfattande insatser på att gräva och gräva. Att seriösa media är en förutsättning för icke-korrupta myndigheter är en slutsats man kan dra, en annan att det saknas interna funktioner som säkerställer compliance på ett effektivt sätt. Det är inte så att jag vill måla f-n på väggen men jag tror att rätt många nu grubblar hur många andra som kunnat slinka in i systemet om kontrollerna är så obefintliga.

Nu har vi ett exempel på hur illa det kan gå. Det bästa vi kan göra med det exemplet att återkommande hålla upp det framför oss och ställa frågan: kan det hända även här? Och sedan försöka svara ärligt på det.

 

Tillägg 2020-02-05: Nu visar det sig att anställda själva kunnat lägga in sin meriter hos Försvarsmakten utan att kontroll skett hos arbetsgivaren. Ganska häpnadsväckande.

 

Arkivutredningen: Härifrån till hit eller det är många ”skall” som blivit ”ska”

Sällan har jag läst en utredning med sådant intresse som den nya arkivutredningen SOU 2019:58 ”Härifrån till evigheten” och då har jag ändå läst många.Stoffet i utredningen och hur den är genomförd vore helt enkelt värt en egen utredning och inte bara ett blogginlägg men man tager vad man haver. Det finns alltså hur mycket som helst att skriva ytterligare men som inte ryms här.

Innan jag går in på utredningens egentliga leverans vill jag jag uppmärksamma den metodik och presentation som tillämpats som känns mer som en redovisning av en fortlöpande workshop än en traditionell svensk utredning. Genomgående refereras samtal med olika intressegrupper vars argument framförs utförligt innan utredningen lämnar sina förslag. Det ger verkligen en fyllig bild av den stora bredd av frågeställningar och konfliktlinjer som förekommer i Arkiv-Sverige (detta märkliga land). Detta tillsammans med beskrivningen med bakgrundshistorik av hur arkivväsendet är organiserat i Sverige ser jag som den stora behållningen av utredningen, mycket användbar exempelvis i undervisningssammanhang.

Utöver detta är mitt sammanfattande intryck att utredningen ägnat sig åt en mängd relativt sett små frågor, om än i vissa fall intressanta, men duckar för alla verkligt väsentliga frågor. Dessutom är förslagen angående de frågor som man verkligen ägnar sig i de flesta fall ytterst konservativa, typ: ”efter noggrant övervägande har vi kommit fram till att den rådande ordningen är den bästa.”. Sin djärvhet och kreativitet tycks utredningen ha reserverat för titeln på utredningen som synes sällsynt missvisande i förhållande till innehållet (intresset för putslustiga utredningstitlar är visserligen inte unikt för den här utredningen utan snarare legio i det svenska utredningsväsendet). När man läser förslagen på ny arkivlag är det många ”skall” som blivit ”ska” och ”arkivvård” som som blivit ”arkivförvaltning” men i övrigt mycket litet förändrande kraft. En mer rimlig utredningstitel hade varit ”Härifrån till hit”.

En annan mindre men tyvärr betydelsefull förskjutning som skett är betoningen av ”kulturarvet” ökat. I dagens arkivlag står:

Myndigheternas arkiv är en del av det nationella kulturarvet.

Myndigheternas arkiv ska bevaras, hållas ordnade och vårdas så att de tillgodoser
1. rätten att ta del av allmänna handlingar,
2. behovet av information för rättskipningen och förvaltningen, och
3. forskningens behov.

I utredningens författningsförslag sker inga större skillnader i detta förutom att ”syfte” bli ”ändamål”, ändamålet får en egen paragraf och det nationella försvinner från kulturarvet. Däremot ägnar utredningen sig nästintill enbart åt resonemang om kulturarvet och hur det ska skyddas och i princip inte alls åt de tre övriga ändamålen. För mig självklara och angelägna frågor som exempelvis hur demokratin skulle kunna utvecklas genom bättre insyn i myndigheterna via de allmänna handlingarna, hur behovet av snabb och säker tillgång till information med hög grad av autenticitet i myndigheterna ska tillgodoses samt betydelsen av ett organisatoriskt minne  behandlas inte alls. Forskning likställs i bästa fall med historisk forskning men alltför ofta tycks det vara släktforskning som avses. Ibland framstår forskning och kulturarv som på något sätt synonyma begrepp. Kanske skulle utredningens experter och sekreterare kunnat ha en något annorlunda sammansättning för att andra centrala perspektiv kunnat lyftas fram. De glasögon känsliga för kulturarv som använts präglar hur utredningen tar sig an övriga frågor. Släktforskare i all ära men vilken möjlighet som här förlorats att redovisa hur de övriga ändamålen skulle kunna tillgodoses på ett bättre sätt!

Som ett par exempel på hur kulturarvsglasögonen påverkar utredningens resonemang skulle jag vilja lyfta fram följande. Utredningen tar upp de olika uppfattningar som kan finnas mellan att digitalisera äldre material alternativt lägga resurser på att omhänderta det digitala material som hela tiden tillväxer. Detta presenteras som om det vore två jämförbara alternativ vilket jag menar är en tankevurpa. Att digitalisera redan omhändertaget material i pappersformat är framförallt en åtgärd för att förbättra tillgänglighet och service vilket i sig är behjärtansvärt. Däremot är fönstret för att bevara den digitala information som ständigt tillväxer en engångschans – görs det inte kommer informationen helt enkelt inte att finnas kvar. Även om jag inte sett någon forskning om detta är mitt intryck att vi redan nu har förlorat en stor del av de senaste decenniernas viktiga information eftersom det saknats verktyg för att ta hand om den. I ett sådant läge är det knappast rätt prioritering att tillfredsställa dagens kulturarvsintressenter med bättre service eftersom det oundvikligen sker på framtidens bekostnad. Ett annat (betydligt mindre viktigt) resursmässigt vägval som kommit i förgrunden för mig under senare år är att det borde vara fullt möjligt att minska arkivinstitutionernas lokalytorna i attraktiva lägen. Idag finns de statliga arkiven fortfarande ofta kvar i pampiga byggnader trots den stark sinande strömmen av besökare till forskarsalarna när alltmer material finns digitalt tillgängligt. Går det att moraliskt försvara denna resursfördelning eller börjar det bli dags att avveckla forskarsalarna, samarbeta med biblioteken om forskarservice och flytta depåer till billigare lägen? Även här tror jag kulturarvskulturen (!) spelar in i bedömningen eller att frågan inte ens tas upp när arkivens knala ekonomi diskuteras i utredningen. Jag menar, det är ju inte säkert att det finns pengar att spara, men finns ju anledning att åtminstone ställa frågan.

Jag skulle också vilja hävda att det positiva som ligger i det empiriska förhållningssättet med mängder av intervjuer och kompilationer av bakgrund möjligen skett på bekostnad av en genomarbetad teoretisk utgångspunkt. Arkivteori lyser helt med sin frånvaro, något som jag tror missgynnat utredningen i dess problemformuleringar. Exempelvis tror jag att analyser med avstamp i en problematisering av inre och yttre proveniens i ett dagens gemensamma informationssäkerhetsarkitekturer skulle kunna ge intressanta ingångar för exempelvis ansvarsfördelning och nya tekniska lösningar. En fåfäng önskan, jag vet det, är att utredningen skulle fördjupat sig i för- och nackdelar med den nära kopplingen mellan TF, OSL och arkivlagen. När starka krafter strävar att allt mindre del av myndigheters information ska ses som allmänna handlingar kommer det i nuvarande legala konstruktion att påverka inte bara insynsmöjligheten utan i sin förlängning både forskning och kulturarv.

Som den arkivarie jag innerst inne är sörjer jag över att utredningen missat möjligheten att faktiskt göra något som skulle rädda den situation som jag idag skulle vilja jämställa med klimatkrisen. Den gigantiska mängden information som ständigt skapas men som inte omhändertas eller bevaras på ett beständigt och säkert sätt och där arkivarierna står som med snöskyfflar i en global lavin. Utredningens ytterst modesta försök att greppa denna situation kan delvis ses som ett symptom på att det saknas en gemensam metateori om samhällets informationshantering som gör att varje utredning eller annan insats blir som ett fragment utan sammanhang.

Ofta blir utredningar fångar i sitt uppdrag. Orsakerna till detta kan vara flera. En vanlig orsak är att uppdragsgivaren redan bestämt sig för vilket svar man vill ha från utredningen, en annan att uppdragsgivaren har så oklar bild av området att uppdraget får en så märklig inriktning att det blir svårt att genomföra. Jag kan inte se att detta gäller arkivutredningen. Uppdraget som utredaren fått är både helt fritt och detaljstyrt på en gång:

En särskild utredare ska göra en bred översyn av arkivområdet. Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden.Utredaren ska bl.a.

•översiktligt beskriva arkivsektorn samt beskriva och analysera hur samhällsutvecklingen har påverkat och kan förväntas påverka förutsättningarna för arkivverksamheten och olika arkivinstitutioner,

•se över arkivlagstiftningen och närliggande lagstiftning och vid behov lämna förslag på hur lagstiftningen kan anpassas till utvecklingen på området,

•analysera Riksarkivets roll och lämna förslag på uppgifter i förhållande till andra myndigheter och arkivaktörer för att undvika över-lappning och för att upprätthålla en god och säker informations-hantering och möjliggöra en allsidig historiebeskrivning,

•analysera de ekonomiska konsekvenserna för Riksarkivet och andra arkivmyndigheter på kort och lång sikt av den offentliga förvaltningens övergång till digitala processer, och

•analysera om regleringen för de enskilda arkiven bör förändras för att kunna tillgodose behov inom rättsskipning, förvaltning, forskning och skydd för kulturarvet

•lämna nödvändiga författningsförslag.

Det övergripande syftet är att säkerställa samhällets tillgång till allmänna handlingar både nu och i framtiden. Smaka på det syftet. Jag menar att utredningen haft chansen att ta ett strategiskt grepp om samhällets arkivfråga men istället fastnat i detaljerna och inte minst i de konflikter som finns inom arkivområdet.

Den allt överskuggande konflikten är den gällande Riksarkivets ställning vilket också framkommer i redovisningar som lämnas från de dialoger som utredningen fört med olika aktörer. Konflikten har funnits under lång tid men har tack vare utredningen kommit i öppen dager på ett sunt sätt. En resumé av konflikten är ungefär så här: Riksarkivet vill gärna centralisera och bestämma mer medan andra aktörer som kommuner och regioner tycker att Riksarkivet lämnar alldeles för dåligt stöd och borde ägna sig åt att utveckla sin styrning genom att sysselsätta sig med  metodutveckling och effektiv rådgivning. Riksarkivet vill t.ex. kunna meddela föreskrifter för kommuner och regioner vilket inte mottas väl av de tilltänkta objekten för föreskrivandet. Detta anspråk förefaller även mig rätt övermaga med tanke på att kommuner och regioner ligger betydligt längre fram i centrala arkivfrågor än vad staten och Riksarkivet gör.

Riksarkivet tycks gärna vilja fly ett operativt ansvar t.ex. i fråga om e-arkiv och FGS:er men känner sig sedan förbisedda trots att det sällan finns anledning att uppsöka den som inte gör något. Kritiken mot Riksarkivet är tämligen förödande då den beskrivs i ämbetsmannaprosa i utredningen:

Det finns en uppfattning om att så länge den statliga arkivmyndigheten inte fullt ut klarar sina grundläggande uppgifter bör myndigheten inte tillföras nya. Frågetecken sätts för om myndigheten verkligen har förmåga att i framtiden leda utvecklingen kring digital informationshantering.

Utredningen tycks ställa sig på deras sida som tycker att Riksarkivet borde luta sig mer mot att tillhandahålla nyttiga redskap än att genomdriva sin vilja på ett mer repressivt sätt:

Utredningens inriktning bakom de föreslagna bestämmelserna är att samförstånd, tydliga föreskrifter och en generös rådgivning ska prioriteras framför arkivmyndigheternas tillsyn och sanktioner.

Jag delar helt den uppfattningen. Både som verksam arkivarie och därefter har jag förundrats över hur torftigt stöd Riksarkivet tillhandahåller. För att bara ta ett exempel i den stora högen så har myndigheten inte tagit fram någon vägledning för centrala arkivuppgiften gallring sedan 1995 och jag tror vi alla kan vara överens om att det hänt en del på 25 år.

Legitimiteten för Riksarkivet tycks låg också då myndigheten avlövats ett antal uppdrag till bland annat DIGG. Den brist på metateori om samhällets informationshantering som jag tidigare nämnde leder även till en oförmåga att hantera myndigheters uppdrag i förhållande till varandra där nu det finns stora oklarheter om hur Riksarkivet och  DIGG ska leva tillsammans. Utredningens lösning på frågan är att Riksarkivet ska samordna metoden då de orimligt upphaussade FGS:er (ser verkligen fram emot att nyttan av dem utvärderas på ett opartiskt sätt) även då de tas fram på annat håll. DIGG ska å sin sida föreslås fortsätta:

samordna frågor om gemensamma standarder, format, specifikationer och liknande krav för den offentliga förvaltningens informationsutbyte i de fall uppgifterna inte ligger på regeringen eller en annan myndighet

FGS:erna är verkligen ett tröstpris då Riksarkivet blir omkörda av DIGG i princip allt annat som gäller informationshantering. Det är svårt att se att Riksarkivet spelar en viktig roll i samhällets digitalisering. Istället lever myndigheten i en permanent identitetskris med ständiga omorganisationer där man förlamats av frågan hur mycket arkivverksamheten ska vara en del i den pågående informationshantering. Det förefaller som de som deltagit i dialoger med utredningen, och då särskilt representanter från kommuner och regioner, starkt pläderat för det som kallas ”proaktivitet”.

Häri ligger av de andra stora konflikterna inom arkivområdet. Ska arkiven helt koncentrera sig på att omhänderta avställt material eller ska man även gå in och proaktivt bearbeta organisationers informationshantering så att arkivintresset är med redan från då information skapas? Eller ska arkivarierna t.o.m. vara specialister på informationshantering generellt och inte bara sett i arkivperspektivet? Medan vankelmod råder centralt där nog traditionen att kalla informationshanteringen  för ”kontors-ADB” och något att frynas över går framför allt fler kommuner och regioner över mot organisatoriska lösningar man samordnar uppgifter relaterade till informationshantering som arkiv, informationsförvaltning, dataskydd och informationssäkerhet. Man ser helt enkelt informationen som den kanske viktigaste resursen för en organisation, en resurs som måste utvecklas och förvaltas för att organisationen ska fungera på ett ändamålsenligt sätt. Detta är en linje som jag själv drivit sedan 90-talet så det är klart jag hyllar denna utveckling. Samtidigt går det inte att förneka att det uppstår en dissonans när Riksarkivet inte alls är i takt med denna rörelse utan snarare utgör en konserverande kraft (och då inte på ett positivt sätt). Det gör att det saknas ett nationellt nav för teori-, metod-, och kunskapsutveckling, erfarenhetsutbyte och styrning för det som till och med saknar ett entydigt begrepp, jag menar informationsstyrning, informationshantering eller informationsförvaltning kan innebära vad som helst (ja, jag vet att det finns en standard för informationsförvaltning men det hjälper inte särskilt mycket här).

För mig framkommer här ytterligare en av de stora bristerna i utredningen, nämligen att man helt missar kopplingen till informationssäkerhet. Ordet ”informationssäkerhet” nämns nio (9!) gånger i hela utredningen och då bara en passant. Inga analyser eller ens resonemang om hur informationssäkerhet och -hantering inklusive arkiv skulle kunna vara två hjul på samma vagn trots att mål, objekt och metoder verkligen behöver samordnas för att bli ett effektivt stöd för verksamheten. Extra tråkigt är det då allt fler arkivarier sett sambandet i praktiken och skulle behöva inriktning och moraliskt stöd för att gå vidare. Samma sak gäller dataskydd.

Men den stora frågan är trots allt att man inte orkar närma sig den stora elefanten: hur ska den alltmer gemensamma informationsarkitekturen tas med in i framtiden? I detta sammanfaller alla de brister som jag tidigare pekat på. Som att det saknas ett arkivteoretiskt resonemang om hur proveniensprincipen ska tillämpas när det inte längre går att urskilja tydliga arkivbildare i en gemensam informationshantering. Som att utredningen inte förmår att föra en diskussion om information istället för det snäva begreppet ”allmänna handlingar”? Som att man inte tar på allvar hur den verkligt bevarandevärda informationen som patientjournaler löper en överhängande risk att försvinna för att lagstiftning tillåter det och för att det saknas metodik för att hand om den. Som att det inte finns en antydan till förslag på hur det långsiktiga bevarandet ska ske organisatoriskt eller tekniskt eller ens hur frågan ska angripas. Som att det inte görs något begreppsmässigt klarläggande gällande ”e-arkiv” och långsiktigt digitalt bevarande. Som att varken utredningen eller Riksarkivet kräver rimliga ekonomiska förutsättningar för att göra det som är nödvändigt, jag menar 288 miljoner under 5 år … Jag skulle kunna fortsätta med denna uppräkning ett bra tag till men skonar de eventuella läsare som orkat följa mig ända hit.

Det är närmast en tradition att arkivutredningar inte kommer fram till något särskilt. Att även Härifrån till evigheten är som en kompass utan visare ska kanske därför inte dömas för hårt. Istället får vi tacka för det redovisande innehållet och söka de nödvändiga lösningarna på organisation och vision för hur det långsiktiga bevarandet av information ska ske på annat håll.
Själv pläderar jag återigen för framtagandet av en arkivstrategi där både vägval görs om vad som ska ses som ingående i arkivområdet och alla de spretiga som frågor som ändå kommer att återstå knyts ihop i en rörelse framåt. Framför allt borde INGEN kunna blunda för att det ännu inte finns någon plan för hur all den information som skapas idag ska bevaras med kvalitet, säkerhet och autenticitet för framtiden. Detta gör att övriga arkivfrågor i min värld framstår som petitesser.