Vårt behov av autenticitet

Jag fortsätter succékonceptet att blogga om obskyra ämnen med en mycket begränsad grupp av intresserade. Förra gången utredningsväsendet, nu behovet av autenticitet. Upprinnelsen till detta inlägg är att jag fick uppdraget att prata om äkthet på en konferens och då började fundera mer intensivt på frågan – tack för det FALK! Detta blogginlägg ska ses som en bråkdel av vad jag anser behöver belysas gällande autenticitet.

Utgångspunkten var att både ur ett arkiv- och ett informationssäkerhetsperspektiv finns ett grundläggande intresse av att kunna skapa och upprätthålla autenticitet på olika nivå i informationshanteringen. Att notera är att autenticitet vid sidan om skydd mot obehörig åtkomst också är det historiskt sett mest konsistenta intresset både för arkivverksamhet och för informationssäkerhetsområdet. Dessutom är vissa tekniska åtgärder för att på olika sätt skapa autenticitet så grundläggande att vi inte ens reflekterar över dem, från underskrift på pappersdokument till olika digitala autentiseringslösningar. Detta till trots är autenticitet som begrepp och tillämpning påfallande sällan diskuterat. Slagningar i Libris och Diva antyder att när autenticitet explicit diskuteras gäller det i allra flesta fall kulturminnesvård, konst eller möjligen kvalitet. Inte ens som autenticitetens betydelse i relation till juridiskt bevisvärde har skapat några större textmängder vilket påpekas i en av de få avhandlingar från senare år som har detta tema (Om informationstekniskt bevis av Jonas Ekfeldt). De många utredningar som genomförts rörande digitalisering har inte fördjupat sig autenticiteten utan den nämns endast flyktigt som i SOU 2018:25 Juridik som stöd för förvaltningens digitalisering där ordet autenticitet finns med två (!) gånger på 562 sidor. Visserligen diskuteras signaturer i ett avsnitt men som jag ser det är det enbart en delmängd av frågan och här presenterad helt utan större kontext. Det enda glädjeämnet är en tio år gammal text av Kenneth Hänström, numera landsarkivarie i Härnösand.

Ett första steg för många för att förstå begreppet autenticitet är att gå till de standarder som ofta tillmäts kvaliteten att kunna ge definitioner. Jag har här valt två centrala standarder för området som även fått förleden SS för att ange att de ska ses som svenska standarder. Den första är SS-ISO 15489_1 2016 som är en standard för hantering av verksamhetsinformation till vilken allt oftare arkivarier hänvisar. Ur ett arkivperspektiv är möjligheten att bedöma graden av autenticitet en nödvändig förutsättning för i princip alla moment i hanteringen och det är därför av intresse att se vilket stöd standarden ger för att närma sig frågan. Trots att den alltså är en svensk standard finns den ännu inte, såvitt jag kan se, översatt till svenska. Inga förändringar har dock gjorts från en tidigare version av standarden som hade följande svenska definition:

  • Att handlingen visar att den är vad den utger sig för att vara,

  • Att den är skapad eller skickad av personen som uppgett sig för att ha skapat eller skickat in handlingen

  • Att handlingen blivit skapad eller inskickad i den angivna tiden

Även bortsett från den förvirrande användningen av begreppet ”handling” som skapar så mycket språkförbistring när arkivarier ska kommunicera den övriga mänskligheten (det är liksom både bärare och informationsinnehåll på en gång) så är denna definition fertil grogrund för ett antal frågor. Som det första cirkelargumentet att handlingen (som bärare gissar jag) i sig demonstrerar något som ger autenticitet. Som att den tycks se autenticitet som ett binärt begrepp; antingen är handlingen autentisk eller inte. Som att autenticitet på något vagt sätt har med post att göra. Som att autenticitet är knuten till en enskild person.

Om vi istället går över till informationssäkerheten och ser vad den svenska terminologin som SIS gav ut 2015 säger blir frågorna inte färre. Där uppges följande:

autenticitet authenticity äkthet avseende uppgivna uppgifter; särskilt rörande påstådd identitet och meddelandens ursprung och innehåll

Den tekniska process vari äktheten, autenticiteten bekräftas kallas autentisering. Denna kontroll kan avse entiteter såsom användare, processer, systemkomponenter och informationsobjekt

Pluspoäng för att man nämner ordet ”äkthet” och att autentisering kan gälla olika typer av komponenter. I övrigt är det rätt svårt att förstå vad som egentligen kännetecknar autenticitet. Vad som mest intresserar mig är dock att autenticitet valts bort som en central dimension av informationssäkerheten i ISO 27000:s tolkning. Istället har riktighet upphöjts till en av de tre särskilda omnämnda värdena och då med denna betydelse (fortfarande enligt terminologin):

riktighet integrity skydd mot oönskad förändring

Definitionen ser till skyddet medan egenskapen ”riktighet” får förstås implicit som typ oförändrad information. Jag har svårt att förstå denna prioritering mellan begreppen. Hur man kommit fram till den är som eljest i standardsammanhang dolt, de diskussioner, överväganden och möjligen utredningar som lett fram till olika ställningstaganden finns inte presenterade någonstans. Bristen på den transparens och strävan efter delaktighet som finns inom exempelvis akademin saknas då standarder etablerar sina sanningar.

Riktighet kan i bästa fall ses som en delmängd av det större begreppet autenticitet. Därför bör autenticitet eftersträvas som ett huvudmål snarare än riktighet, en uppfattning som skulle varit rimlig redan innan det digitala samhälle vi nu har fötts. När information hela tiden skapas, transformeras och kommuniceras med oändliga möjligheter att avsiktligt eller oavsiktligt göra den missvisande vad det gäller upphov, kvalitet och intention borde autenticiteten vara en naturlig fokalpunkt för informationssäkerhet, digitalisering och arkiv. För att inte tala om AI och deep fake.

Informationssäkerhet och valet av riktighet framför autenticitet – varför blev det så? Bortsett från min generella hypotes om den anti-intellektuella hållning som präglar området är en spekulation att riktighet valts p.g.a. många i branschen rekryterats från it-hållet och därför känner sig bekväma med ett databassynsätt, d.v.s. att information i ett system ska skyddas mot förändring. Eftersom denna snäva beskrivning av risker är otillräcklig sett till verkliga organisationers behov har man därför behövt gå in och trixa med begreppet spårbarhet för att få någon slags relevant beskrivning. Därav det neurotiska förhållandet till spårbarhet, ett begrepp som är så tabuiserad att det inte ens går att diskutera för de rättroende. Synd tycker jag vilket jag skrivit om här.  Mitt förslag för att få en mer täckande beskrivning av förhållanden som behöver beskrivas är att använda konfidentialitet, autenticitet, spårbarhet och tillgänglighet. Riktighet kan då placeras in under paraplyet autenticitet som en nödvändig men inte på långt tillräcklig aspekt att bedöma. Dock räcker inte de definitioner som de två standarderna ger för att fylla det behov av att beskriva informationens äkthet som vi har i digitaliserad värld.

Hur ser då detta behov ut? Kärnan i frågan är att kunna säkerställa en informationsmängds kvalitet i form av ”äkthet”. För att ytterligare ringa in vad som åsyftas så består autenticiteten inte bara av att informationen är oförändrad (det som åsyftas med riktighet) utan även att den är giltig vilket också kan formuleras att den har ett bevisvärde. Som ett enkelt exempel: för att ett avtal ska kunna ha ett bevisvärde räcker det egentligen inte med en signatur även om det accepterats under lång tid. Vad som krävs är att det går att härleda vem det är som undertecknat men framför allt om denna någon hade mandat att underteckna avtalet o.s.v. Det är inte heller så att en tavla signerad med namnet Picasso övertygar alla som en äkta dyrgrip. Den kanske bästa och enklaste illustrationen av bevisvärdets betydelse för autenticiteten finns att hämta i utvecklingen av sedlarnas historia som betalningsmedel. De första sedlarna var egentligen kvitton på insatta medel hos en bank. Kvittot kunde sedan användas för att på ett smidigt sätt kunna sköta betalningar utan att behöva släpa omkring högar av metaller. För att denna effektivisering av ekonomin skulle kunna vara möjlig krävdes institutionella förutsättningar för att den enskilda sedeln skulle accepteras som autentisk och inte som vilken papperslapp som helst. Det räcker inte med att siffrorna på sedeln är ”riktiga” utan den måste också omges andra skyddsåtgärder för att kunna accepteras som äkta.

Jag laborerar med tanken att se autenticitet som en inversion av källkritikens principer. Det betyder att autenticitet inte är binärt utan en glidande skala av möjlighet att bedöma äktheten, beroenden, tendens, tidsförhållanden, närhet till händelsen o.s.v. De tekniska lösningarna kan sägas ”låsa” den organisatoriska kontext som omgett informationen i olika skeden och därmed ge ett bevisvärde. I ett långsiktigt måste de organisatoriska förhållandena som skapar autenticitet kunna återskapas på ett säkert sätt även om tekniska lösningar förändras och information migreras (kedja som ej bryts). Inom arkivområdet används begreppet proveniens för att beskriva förhållandet mellan information, organisation och i förlängningen äkthet.

Frågan om autenticitet är principiellt densamma i digitala som i analoga informationsmängder. Komplexiteten har dock växt explosionsartat från det kinderägg-tillstånd där information, bärare och autenticitetsskapande faktor var oupplösligt sammanfogade som i ett undertecknat pappersavtal. Genom digitaliseringen lever dessa tre komponenter sina egna liv där samma informationsmängd kan finnas på ett otal antal bärare och med olika nivå av autenticitet. Direkt rafflande blir det med funktioner som ”Dela dokument” i Office 365 där mottagaren får ett dokument som inte behöver vara detsamma eller ens finnas kvar när mottagaren tar fram det en andra gång i sin e-post.

Att skapa autenticitet momentant skulle i sig vara en rejäl utmaning men för att strö ytterligare salt i såren så är kravet på autenticitet utan slut eftersom trots det information over flow vi lever i så måste ansenliga mängder av den information som skapas bevaras under lång tid eller för evigt. Kraven på att kunna arkivera information på ett säkert sätt är självklart inte mindre nu än tidigare. Det betyder att tilltron till informationens autenticitet inte bara ska kunna upprätthållas i ett år utan i 100 eller 1000 år för många informationsmängder. Tänk patientjournaler, tänk urkunder i statsförvaltningen, tänk instruktioner för hanteringen av utbränt kärnbränsle, tänk mätvärden av klimatet…. Att med detta perspektiv se det mycket begränsade resonemangen om exempelvis, e-leg, e-signaturer och e-arkiv känns frustrerande.

I en tid då vi pratar så mycket om fake news och risken för negativ informationspåverkan borde verktygen för att skapa och upprätthålla autenticitet slipas. Det finns redan viss teori om proveniens och processuella värden som skapar autenticitet inom arkivdisciplinen liksom en rad techne-åtgärder inom informationssäkerhetsområdet för autentisering och validering t.ex. Dessa kunskapsområden borde dock tillåtas expandera och dessutom befrukta varandra för att vi ska komma närmare strategier för att skapa den autenticitet som krävs på både kort och lång sikt. Det som hindrar detta tror jag är den korta händelsehorisont som gör att vi plumsar in i jättelika digitaliseringsprojekt utan att se längre fram än möjligen införandeprojektets avslut. Bristande strategisk inriktning, kunskapsutveckling och samarbete mellan ansvariga myndigheter är en annan. Group think inom informationssäkerhets- respektive arkivarieskrået som skapar en oförmåga att famna de stora frågorna en tredje där standardarbetet förefaller ha fungerat som en starkt konserverande faktor framför allt för informationssäkerheten. Sist men inte minst styrningen av digitaliseringen i hög grad överlåtits till leverantörer av tekniska lösningar samt management. För att komma vidare bör vi alltså försöka undanröja ovanstående hinder för att kunna skapa en mer funktionell plattform för att skapa den nödvändiga autenticiteten. När tanken låser sig kan ett trick vara att tänka på att information är dagens hårdvaluta och jämföra med hur sedlar och andra metoder för penningtransaktioner hanteras.

E-arkiv och e-arkiv

Det är högintressanta tider då vissa frågor ställs på sin spets. I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.

Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin. Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare. Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet. En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven. I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.

Bakgrund

För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.  Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv. Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor:

  • Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år. Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
  • I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat här.
  • En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
  • Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid. För pappersbunden information har man därför ofta skapat mellanarkiv för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
  • Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut. Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner. För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter
  • En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn. I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet. Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s. myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
  • Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
  • I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet. Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation. Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske. Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra. En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne. Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.

Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.

Vad skulle då upphandlas?

Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre. Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter. En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet. I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående. Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring. Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med. Jag är inte förvånad över detta men vill ändå betona detta.

Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.

Statens servicecenter

SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns här). Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien. Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad):

Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering
· Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten. Förutsättningar för fortsatt arbete:
· Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.

Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”. Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.

Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.

Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet):

Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS). Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.

Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.

Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg. Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.

Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster. För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär. När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen. Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.

Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog. För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till en leverantör av en molntjänst, d.v.s. en tjänst där stora mängder offentlig ackumuleras.  Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information. Däremot inte hemliga handlingar:

  • den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar. Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt

  • e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet. Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället

Redan här väcks många frågor. Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta? Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån. Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda. Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden. Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.

I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).  Om detta synsätt sprids, d.v.s. att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen. Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala. Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).

Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan. Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer. Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten. Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.

Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller. Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.

Hunnen så här långt i genomgången av upphandlingen pockar två frågor på. För det första har SSC begränsat antalet möjliga leverantörer mycket starkt. Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor. Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades. Den andra frågan är varför denna upphandlingen sker över huvud taget. Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling. Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna? Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).

Till detta kommer en bilaga med ganska ordinära säkerhetskrav. Några reflektioner kan dock göras. Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns. En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet. Och som sagt: nivåer saknas. Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.

Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör. I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog. Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer. I upphandlingsunderlaget återkommer följande formulering:

Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter. Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.

Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.

SKI

SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.

Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som

I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.

Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift. I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC. SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig. Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.

Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet. Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.

Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).

Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas. Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling. Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling. Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut. Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.

Slutsatser

Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts. Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd. Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC. Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.

I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift. En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer. Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.

Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant. Det handlar om både organisation, tjänster och infrastruktur. De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag. Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster. En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas. En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.

Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt. Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar. Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.

Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan. Det gäller både operativt i rena kravställningar men också strategiskt. Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga. Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.

För att lyckas med krävs mycket stora insatser. Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan. Därefter bör ett nytt uppdrag skapas.  Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv. Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.

Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal ”Informationsförsörjning” innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön. Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering:

Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för
installation i kunds it-miljö

Naturligtvis borde jag nämnt avtalets existens. Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade). Dessutom går ramavtalet såvitt jag kan se ut den sista november i år. Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.

 

E-arkiv – efter 4 år blev det en tummetott (kanske)

I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv. Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för högt. 

Detta är mycket bekymmersamt. I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras problem. Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.

Ur Arkivforums program den 8 november 2018

Sedan detta. Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på. Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden. För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven. Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv. Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad. Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.

Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet. Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande. Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett  stort risktagande.

Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta upphandlingen. Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.

Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer. De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara. Detta förhållande borde blivit känt även för Statens servicecenter. Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.

För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse. Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar? Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?

Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav. Min bedömning är den motsatta. De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför. Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts. Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel. Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande
där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.

Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång. Sammanlagt har sex (6) dialogomgångar hållits.

Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer. Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella. För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad från informationssäkerhetsarbetet. I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser. Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.

I sin skrivelse till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen. Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.

Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag. Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s. omfatta både mellan- och slutarkiv. Detta ingår inte specifikt i den pågående arkivutredningens uppdrag  trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag. Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen. En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer. I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.

Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället. När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan. Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.  I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.

Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!

E-arkiv och informationssäkerhet del 2

Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1. Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter. Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation. För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.

För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här:

1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar. Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna. Åtgärderna ska dokumenteras i enlighet med 2 §. Strategin ska fortlöpande kompletteras och hållas aktuell.

Allmänna råd. Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras. Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.

Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi. Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.

En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar. Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4. Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade. De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna. Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer. Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade. När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt. Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen. Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande. Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.

För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet. Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens. Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information. Dessutom som redan den store Nils Nilsson underströk: de processuella värdena. Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar. Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, Arkivbildarbegreppet och proveniensprincipen under press? (AFS 1997:3 – det går tyvärr inte att länka till den)  som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.  Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om adminstrative bodies och helhet. I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.

Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till? Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader. För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma. För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare. Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den. Med en  processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).

För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.

Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.

Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS. En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi. Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format. Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.  Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till. Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem. Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering är en imponerande ansats men inte heller den ger de svar som behövs.

Från myndigheterna har jag fått in svar där c.a. 50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin. Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”. Ett antal myndigheter skriver också att de håller på att ta fram en strategi.

Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns). Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.

Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering. Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.

De flesta strategier följer, föga förvånande, RA-FS:ens krav. Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”. Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj. Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.

Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar. I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller praktiskt. Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart. Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.

Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar. Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det. Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell. Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster. Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt. Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.

Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur. Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna. Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge. Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.

Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.  Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.  Ur ett forsknings- och kulturarvsperspektiv finns det  dock anledning att vara bekymrad. Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.

E-arkiv och informationssäkerhet del 1

För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem. Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering. Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken. En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.

För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”. Trots att det både säljs och köps s.k. e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara. Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll. Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras. Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende. Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter. Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden. För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet. Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst. Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivt informationssäkerhetsarbete omge e-arkiven med riskanalyser och informationsklassning m.m. på minst samma nivå som för andra digitala lösningar.

I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar. För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring. Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten. Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna. Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.

Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor:

  1. Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  2. Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?

  3. Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv? Vilken tidshorisont har ni för nyttjandet av tjänsten?

  4. Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  5. Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?

  6. Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?

Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling:

62 kommuner (21 % av samtliga tillfrågade)

8 regioner/landsting (40 %)

86 myndigheter (24 %)

Några noteringar kan göras rörande de svarande. Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora. Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %). Av de myndigheter som ingår i eSam som är

 ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.”

och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten. Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.

Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst. Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar. Här var svarsfrekvensen extremt låg när jag ställde dessa frågor:

  1. Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?

  2. Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?

  3. Kan ni erbjuda tjänsten på olika skyddsnivåer? Är alla typer av information möjlig att hantera i dem?

  4. Vilka krav ställer ni på eventuella underleverantörer?

  5. Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?

  6. Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?

  7. Har ni en utpekad informationssäkerhetsansvarig i er organisation?

  8. Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?

  9. Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?

Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”. Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv. Min slutsats är att leverantörerna:

  1. Inte fått tydligt formulerade säkerhetskrav på sina tjänster

  2. Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.

Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.

I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.

En notering i marginalen om kontroll över informationen

Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it-drift.

Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras. En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information. För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.

För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen. De allmänna handlingarna ska vara redovisade och snabbt återsökbara. I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.

Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan. Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.

I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.) som måste tillgodoses.

Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering. De planer jag sett är ofta antingen fragmentariska (d.v.s. omfattar endast delar av verksamhetens informationshantering) eller inaktuella. Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.

Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga. Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet. Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier! I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.

 

Schrödingers information

På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd. Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.

Jag tänker inte fördjupa mig ytterligare i kvantfysiken. Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information. Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information. Låt mig ta några exempel.

Det första exemplet är kanske det mest uppenbara och gäller formatet. Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m. sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna. I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns. Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa. Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras. Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.

Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel. Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen. Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras. Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter:

Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden. I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet. Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till omfånget.

Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs. Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver

 ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.

Detta efterlevs inte alltid. Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns. Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns. Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det. Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut. Och hur skyddas en information som både finns och inte finns?

Ytterligare ett exempel som jag stött på är hanteringen av loggar. Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort. I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år. Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat. Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.

Det mest övergripande exemplet som jag redan tidigare varit inne på i en blogg är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar. Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former. Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.

Jag har inga patentlösningar på hur de här olika situationerna ska hanteras. Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.

Juridik eller arkiv?

Det här kommer att bli ett nördigt inlägg om arkivfrågor eftersom arkivfrågor per se är nördigt eller hur? För läsaren ska kunna sätta inlägget i ett sammanhang ska jag bekänna min bakgrund och därmed även antyda sambandet mellan informationssäkerhet och arkiv.

Min ingång till informationssäkerhet gick via arkiven. Under ett antal år arbetade jag som arkivarie, först på arkivinstitutioner och därefter som landstingsarkivarie. Som så många andra arkivarier hamnade jag i skrået via studier i historia, själv påbörjade jag en forskarutbildning i ekonomisk historia efter att ha läst politisk historia, förvaltningshistoria, naturvetenskapernas idéhistoria o.s.v., o.s.v.  Synsättet att arkivvetenskap (i den mån något sådant ens kan sägas existera) var en stödvetenskap för historieämnet föreföll därför inledningsvis logiskt även för mig. Sedan hände två saker: jag blev väldigt intresserad av metoder för att strukturera information och jag blev tvungen att börja tillämpa detta i en pågående verksamhet, inte bara i avställda arkiv. Jag skrev om proveniensprincipen sett ur det industrihistoriska perspektivet men insåg allt tydligare verksamhetsbehovet i att strukturera information. Det kändes egendomligt att betrakta detta verksamhetsbehov kikande ut från en arkivinstitution och dess behov som är helt annorlunda än verksamhetens. Jag fortsatte att skriva om dessa frågor och vikten av att arkivväsendet omorienterar sig och inte ser sig som en historiens hjälpvetenskap. Istället borde vi vända på processen och se att om arkivarierna specialiserar sig på informationshantering och stödjer verksamheten kommer behovet av långsiktigt bevarande också att hanteras. Däremot gäller inte det omvända. Jag kan väl inte säga att jag fick särskilt mycket gehör för detta utan blev istället betraktad som en arkivvärldens gossen Ruda som en riksarkivarie vänligt uttryckte det.

Nu har jag inte arbetat som arkivarie på många år men interagerar med arkivfrågor nästan dagligen då jag arbetar med informationssäkerhet vilket är naturligt då arkiven kan sägas att jämte krypton vara de informationssäkerhetsåtgärder som förekommit ända sedan antiken. OK, vi kan väl säga signering också så blir det tre antika åtgärdstyper. I vilket fall så sett ur mitt limbo-tillstånd där jag halvvägs utanför, halvvägs innanför arkivvärldens gränser uppfattar jag det som att den desorientering som funnits ända sedan sjuttiotalet fortfarande lever kvar. Jag ska inte här närmare gå in på hur denna desorientering mellan att delta i att utveckla myndigheternas informationshantering år ena sidan och å andra sidan ha blicken fäst vid det historiska materialet. Vad som är glädjande är att regeringen initierat en översyn av arkivområdet under Lars Ilshammars kompetenta ledning. Översynen ska bland annat analysera hur samhällsutvecklingen påverkat kraven på arkivsektorn, se över arkivlagstiftningen och Riksarkivet roll i förhållande till andra myndigheter. Det kan bli spännande!

Inspirerad av detta kommer här tre frågeställningar som kan förtjäna att tas med som faktorer då översynen genomförs och som dessutom är sammankopplade. Först en disclaimer:  i det följande kommer jag liksom som många andra som diskuterar arkivfrågor att strunta i de privata aktörernas behov och praxis gällande dessa frågor och endast ägna mig åt den offentliga sektorn och arkivväsendet i stat, kommun och landsting. Detta är en nästan oförlåtlig avgränsning men eftersom jag här kommer att ta upp några frågeställningar som i första läget framförallt berör det offentliga arkivväsendet finns det en viss logik i detta. Det kan dock inte nog understrykas vikten av att det offentliga arkivområdet idag måste ta mycket större hänsyn till privata aktörer eftersom allt större del av den offentligt finansierade verksamheten utförs av privata aktörer. Ta till exempel inom vården som i efterkrigstiden i all väsentlighet ombesörjdes av offentliga utförare men som sedan nittiotalet alltmer utförs av privata vårdgivare. Vårdinformationen som har ett mycket stort värde under lång tid för den enskilde patienten och ett stort forskningsvärde men lever idag ett osäkert liv eftersom det faktiskt inte längre är tydligt reglerat hur den ska hanteras långsiktigt.

Den första fråga jag tänkte lyfta är frågan är den utpräglade juridifiering som råder gällande arkivhanteringen. I Sverige har arkivväsendet en mycket nära koppling till statsmakten sedan lång tid och numera även en stark koppling i lagstiftningen mellan arkivlagen och offentlighetslagstiftningen. Detta kan ses som en välsignelse och jag tror inte det finns en idag levande arkivarie som inte hämtat legitimitet ur detta faktum och det är självklart att detta ger arkivverksamheten en potentiellt stark ställning i offentliga organisationer (nu blir det ju inte alltid så i praktiken). Men för att travestera femte Moseboken: en välsignelse kan samtidigt vara en förbannelse. Förbannelsen ligger i att samtidigt som offentlighetslagstiftningen definierar arkivens innehåll så definierar den arkivens avgränsning. I arkivlagen sägs att:

3 § En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering.

Vad som utgör en myndighets arkiv är alltså en juridisk definition, inte en arkivvetenskaplig. Detta är i sig värt att uppmärksamma men det får även djupgående praktiska konsekvenser. Det måste understrykas att vad som kan utgöra en allmän handling inte är übertydligt. Formuleringar som att ”handlingen ska vara upprättad eller inkommen till myndigheten” leder tankarna till information som liknar pappersdokument och som är vagt relaterade till postgång (detta är också vad som avspeglas i de heliga diarierna som ofta uppfattas som det som definierar vad som är myndighetens allmänna handlingar). Men detta är ju inte den enda information myndigheten använder. Om man jämför dokumenthanteringsplaner med vilka informationsmängder som en myndighet eller kommun verkligen använder för att utföra sina uppgifter är skillnaden ofta stor. Detta blir ganska uppenbart om man gör en processorienterad informationskartläggning där det, vågar jag hävda, alltid kan identifieras betydligt fler informationsmängder än vad som finns redovisat i dokumenthanteringsplanen. Det finns, tror jag, en outtalad föreställning om vad som ska räknas som allmänna handlingar som inte är uppdaterad så att den går att omsätta i en modern myndighets faktiska informationshantering där Skype, molntjänster och även mer traditionella it-system står för merparten av transaktioner. Och när kartan inte stämmer med verkligheten förefaller kartan vinna över verkligheten. Riksarkivet säger även på sina ställen att man jämställer arkivförteckning (som endast ska innehålla allmänna handlingar) och dokumenthanteringsplan:

Här hittar du svar på frågor som rör den andra delen av arkivredovisningen, den som beskriver vilken information som uppstår i myndighetens verksamhet och hur informationen förvaras. Traditionellt kallas denna redovisning för arkivförteckning eller dokumenthanteringsplan. De element som förekommer här är handlingsslag och handlingstyper samt förvaringsenheter.

Det finns också ofta en stark vilja att göra så litet information som möjligt till allmänna handlingar eftersom det uppfattas som negativt att allmänheten ska få tillgång till information som myndigheten vill ha för sig själv. Det kan både ske genom att man kallar information för ”arbetsmaterial” eller genom att man försöker dra ut på statusförändringen till allmän handling genom att kräva exempelvis att ett ”ärende” (detta fullständigt intetsägande begrepp i de flesta icke-exekutiva verksamheter) ska vara avslutat innan en enskild handling blir allmän.

Sammantaget menar jag att juridifieringen av arkivbegreppet, förutom att leda till att många arkivarier uppträder som någon slags barfotajurister istället för informationshanterare, får effekten att en stor diskrepans uppstår mellan det verkliga arkivet och det som kallas myndighetens arkiv. Med detta verkliga arkivet menar jag den information som myndigheten faktiskt använder för att bedriva sin verksamhet och som arkivteoretiskt borde ses som ”arkivet”. Jag tycker att arkivariekåren och arkivväsendet här sviker sin uppgift eftersom väsentlig information och väsentliga sammanhang här förloras.

Den andra frågan jag tänkte ta upp är gallring. Ingen vettig människa kan idag bortse från att det är ett stort problem att mängden information växer exponentiellt. Konsekvenserna blir bristande sökbarhet, bristande integritet, arbetsmiljöproblem, säkerhetsproblem eftersom det inte går att styra dessa gigantiska informationsmängder och faktiskt i slutändan ett miljöproblem. Arkivariens andra huvuduppgift måste därför att på ett professionellt sätt göra gallringsutredningar och sedan se till att information försvinner. Men trots att det i arkivlagen uttryckligen står att allmänna handlingar får gallras så sker detta inte alls med den fermitet som vore nödvändig, kanske beroende på att många arkivarier räds uppgiften och att det på olika sätt sägs att huvudregeln är att alla allmänna handlingar ska bevaras… Det finns också strukturella problem som att myndigheterna inte är sina egna arkivmyndigheter utan måste vänta på att Riksarkivet fattar gallringsbeslutet. Det mest utarbetade stödet för gallring som Riksarkivet tillhandahåller är såvitt jag kan se från 1999.

Även vad gäller gallring leder den ovan beskrivna juridifieringen till principiella problem med mycket stora konsekvenser. Gallring innebär att allmänna handlingar destrueras, när arbetsmaterial förstörs kallas det rensning. Om dokumenthanterings- och gallringsplaner endast omfattar allmänna handlingar innebär det att det i varje myndighet och kommun finns stora mängder av information där styrning saknas och där informationen inte ens är identifierad. Detta hävdar jag är det reella läget vilket är högst bekymmersamt inte minst ur säkerhetssynpunkt där kontroll av informationen är a och o.

Punkt tre på dagens lista (ja, jag hotar med att komma tillbaka till ämnet) är otidsenligheten och bristen på strategi i arkivområdet. Som ändå hyfsat insatt kan jag inte utläsa vad Riksarkivets strategi för långtidsbevarandet är mer än att man gör allt för att statliga myndigheter inte ska komma och försöka dumpa sina arkiv:

  • Leveranser bör inte innehålla handlingar yngre än 10 år. Leveranser med handlingar 10–20 år gamla övervägs särskilt noga med hänsyn till frekvens, sekretesstyngd och andra handläggningsfrågor.

  • Leverans från en och samma arkivbildare bör inte ske tätare än vart tionde år vad gäller pappershandlingar. Digitalt material bedöms utifrån egna, specifika förutsättningar.

På något sätt tycks man helt leva kvar i en pappersverklighet där arkivhandlingar inte fick levereras förrän efter 50 år och då helst inbundna. I en digital verklighet skulle vore den mest rimliga lösningar att man genom tydlig styrning överförde den information som ska bevaras för framtiden till Riksarkivet i samma stund som den skapas. Naturligtvis skulle detta kräva en massiv höjning av informationssäkerheten i Riksarkivets lagring och kommunikation men det skulle samtidigt vara den mest rationella hanteringen av en digital arkivbildning.

Det är möjligt att Riksarkivet har en mängd spännande strategiska diskussioner men dessa måste i så fall föras ut till de myndigheter och kommuner som idag sliter sitt hår och försöka räkna ut vad som förväntas att de ska göra. Och, don´t get me started, det handlar inte om de s.k. e-arkiv som nu försäljs.

Förhoppningsvis kan en klok översyn leda till att desorienteringens dimmor litet börjar upplösas och att en riktning tas ut.

Frånvaron av den goda offentlighetsstrukturen

Den goda offentlighetsstrukturen, eller bristen på sådan, är värd ett blogginlägg till. För att sammanfatta mitt förra inlägg så är det inte bara kraven i OSL som gör att offentlighetsstrukturen inom myndigheter, kommuner och landsting bör prioriteras. Den transparens som ingen politiker, högre tjänsteman eller konsult någonsin missar att närmast religiöst lyfta fram på konferenser och i strategier som en förutsättning för en fungerande demokrati borde innebära att insyn är en central fråga.

Ett annat högaktuellt skäl är att god tillgång till korrekt information från källan är ett av de mest verksamma sätten att bekämpa den farsot av informationspåverkan som bedrivs av både politiska och kommersiella intressen.

Ytterligare en anledning som kanske är mer av motiverande karaktär är att om kravet på systematik och sökbarhet i informationshanteringen (som en god offentlighetsstruktur förutsätter)  realiseras skulle det innebära enorma effektivitetsvinster för den offentliga förvaltningen. Då skulle ju nämligen även medarbetarna på myndigheten eller i kommunen helt plötsligt få arbetsverktyg och en överblick som är  revolutionerande jämfört med i dag. Något som borde ligga helt i linje med de officiella digitaliseringssträvandena. I en kommentar till mitt förra blogginlägg i frågan framkom också att myndigheter ibland får anlita konsulter för att söka fram allmänna handlingar hos andra myndigheter, ett tydligt tecken på bristande insynsmöjligheter även mellan myndigheter.

Trots alla dessa goda anledningar i heta områden är ändå inte offentlighetsstrukturen god och de finns få indicier på att andra än enstaka torra bloggare intresserar sig för frågan. Och när man ändå närmar sig frågan så fastnar man i diarieföringen vilket jag ser som den återvändsgränd vi sprungit i sedan 1970-talet utan att någonsin bromsa in och fundera vad vi håller på med.

Innan jag tittar vidare på några myndigheters mer eller mindre ambitiösa insatser på området ska jag därför skriva litet om diarieföring som fenomen och dess roll som ett klent substitut för en god offentlighetsstruktur. Vad som måste noteras är att det inte finns någon skyldighet för myndigheter att diarieföra information utan skyldigheten är att allmänna handlingar ska vara registrerade. Däremot är kravet på god offentlighetsstruktur obligatoriskt. Varför är det här intressant? Jo, därför att diarieföring inte på något sätt borgar för en god offentlighetsstruktur – snarare tvärtom. Diarieföring är från början ett sätt att dagligen lista in- och utgående korrespondens (därav ordet diarium som litet slarvigt kan översättas som ”dagbok”). Sedan medeltiden och ännu tidigare har detta varit ett sätt för hov, kyrkliga institutioner och en begynnande förvaltning att hålla ordning på korrespondensen. I Sverige finns exempel från bruk och proto-industri där man redan tidigt började föra diarium – eftersom jag ordnade arkivet minns jag med särskild kärlek Långvinds bruk och dess diarium från 1600-talet.

Problemet är bara att diarieföringen sedan 1600-talet inte på något sätt utvecklats i samma takt som övrig informationshantering utan utgör en slags museal kvarleva i dagens förvaltning. Trots att myndigheter har både en och två registratorer (även kommuner och landsting) så ger inte diarieföring vare sig insyn utifrån eller möjlighet till styrning av informationshanteringen internt i myndigheten. Ingen tycks heller ställa krav på att det ska kunna gå att söka information eller registrera den utan personlig hjälp av en registrator. Att diariet omfattar endast en bråkdel av de allmänna handlingar som finns i myndigheten (d.v.s. att endast vissa typer av korrespondens samt dokument som ser ut som pappershandlingar) verkar inte heller väcka oro. Istället lever diarieföringen kvar som en ritual som blir allt mer tom år för år. Fossiliseringen har pågått under årtionden vilket också visar sig vid en snabb sökning på Libris. Sökningen renderar inte i en enda längre text som på djupet analyserar hur diarieföring i traditionell utformning skulle kunna ersättas av sökverktyg som bättre uppfyller andemening i OSL de senaste 30 åren.  En DIVA-sökning är ungefär lika nedslående.

 

 

Diarieföringen sker idag med en stor arbetsinsats och i it-system som utformats för att i mesta mån efterlikna papperskartotek och slippar i tre färger. Det finns ingen formell utbildning till registrator (Mitthögskolan har haft enstaka kurser på arkivutbildningen) utan detta är ett yrke som traderats från kvinna till kvinna och idag är mer en konstform än en funktionell sökfunktion. Det räcker att titta på sökmöjligheten som erbjuds i ett diarieföringssystem för att förstå hur lång bort från en Google-sökning vi är och vilken omöjlig nivå av förförståelse som krävs för att göra en sökning ens inom en myndighet.

För att ge ytterligare ett par exempel på hur det i realiteten ser ut för den som söker på en myndighets webbplats och vill ha insyn, inte bara tillgång till tjänster, så ska jag här beskriva ett par myndigheter som borde ha särskilt intresse för de här frågorna.

Lantmäteriet

Lantmäteriet har varit mycket framgångsrika när det gäller digitalisering och öppna data. När jag gnällt över att öppna data (som ju är näringsinriktade tjänster) prioriterats framför insyn ur ett demokratiskt perspektiv har jag ibland fått det lugnande beskedet att de två frågorna hänger ihop. Den myndighet som satsar ambitiöst på öppna data kommer att vara lika ambitiös när det kommer till insynsperspektivet har varit tanken. Men stämmer det i verkligheten?

Lantmäteriet har visserligen en lockande flik under Om oss som heter Diariet och informationsredovisning. Kan man bli annat än sugen på att kika in där? Under Informationsredovisning  finns en redovisning över olika hjälpmedel som används inom Lantmäteriet som t.ex.:

Informationshanteringsplan, som innehåller upp
gifter hämtade från Arkivförteckningen. Denna sammanställs som ett stöd till verksamheten. Planen beskriver verksamhetens processer och dess handlingstyper. För varje handlingstyp finns beskrivande och styrande information som t ex format, gallring, lagring och förvaring.

Den skulle jag gärna vilja ta del eftersom den ju vore en första ingång för att förstå vilken information som Lantmäteriets processer hanterar. Detta verkar dock bara vara en teaser för planen är inte tillgänglig på webben och det finns heller ingen hänvisning till hur jag skulle kunna ta del av den. Däremot kan jag klicka mig i in informationsredovisningsverktyget Klara där jag kan få ta del av

Historik och information om Lantmäteriets föregångare hittas i informationsredovisningsprogrammet Klara på respektive arkivbildare.

Det är alltså själva arkivredovisningarna som ligger här. Märkligt nog är även det nya materialet ordnat enligt allmänna arkivschemat framtaget 1903 och sammantaget är detta inte ett sätt att presentera information för målgrupper utanför den snäva arkivariekretsen. För att ändå vara någorlunda rättvis kan  en högmotiverad utomstående få ett visst grepp om det historiska materialet men knappast en insyn i dagens verksamhet.

Att det står Diariet och informationsredovisning är missvisande; något diarium kan jag inte hitta utan vad som gäller är att ta personlig kontakt med registratorerna om man inte söker remisser och remissvar samt rapporter som presenteras under egna flikar.

Sammantaget är bedömningen att Lantmäteriet möjligen har en halvgod offentlighetsstruktur när det gäller arkivbildningen men knappast när det gäller pågående verksamhet. Tesen att en satsning på öppna data med automatik leder till samma engagemang i insynsfrågor finner inte särskilt mycket stöd här.

MSB

Det är kanske litet dumt att titta på en myndighet där jag själv arbetat eftersom jag då har en betydligt bättre förförståelse än den vanlige invånaren. Men eftersom MSB har en roll gällande psykologisk försvar (oklart exakt vilken) och i att motverka informationspåverkan tycker jag det är intressant att se om och hur myndigheten själv understödjer källkritik med en god offentlighetsstruktur.

Tyvärr finns inte ens ett diarium tillgängligt (remisser och remissvar finns utlagda). Tanken verkar vara att man ska ringa eller maila registraturen. Med min ”lokalkännedom” uppfattar jag det som att MSB:s webbplats är tämligen orörd sedan myndighetens tillblivelse 2009. Om något ska göras åt detta jungfruliga tillstånd bör en god offentlighetsstrukturen vara ett centralt mål med tanke på de budskap som lämnas till externa parter om vikten av källkritik.

Efter detta tappar jag litet motivationen att närgranska fler myndigheters webbplatser. Jag bläddrar igenom eSams övriga medlemmar, d.v.s. myndigheter som uttryckt ett stort intresse för digitalisering: Migrationsverket, Statens Servicecenter, Arbetsförmedlingen, Kronofogden…  Det ser ungefär likadant ut hos de flesta, i korthet hänvisar man till att ta kontakt med registrator. Det verkar ha formats en icke-uttalad standard för hur liten ansträngning myndigheter tillåts göra för att skapa insyn.

För mig är det förvånande att omvärlden, och då kanske allra mest journalister, finner sig i den dåliga insynen i myndigheters verksamhet och att kritiken som riktas då riktas nästan enbart mot bristande diarieföring och rutiner för utlämnande. Exempel på detta är när Peter Wolodarski idag (15 oktober) riktar en helsida med i och för sig mycket välmotiverad kritik mot UD för att man tar alldeles för lång tid på sig att lämna ut handlingar. Wolodarski utvecklar den kritik som redan framförts av JO om brister i diarieföring och utlämnande. Självklart är detta brister som måste tas på stort allvar och i sitt svar på Facebook säger Margot Wallström att hon ska göra det:

I DN i dag den 15 oktober tar Peter Wolodarski upp de anmärkningar som Utrikesdepartementet fått från Justitieombudsmannen för att inte skyndsamt nog ha lämnat ut information om mejl om Sveriges kampanj till FN:s säkerhetsråd.

Det ska inte råda något tvivel om att jag delar Wolodarskis syn på värdet i offentlighetsprincipen. Öppenhet och transparens är värden som Sverige förknippas med och främjar över hela världen.

I det aktuella fallet begärdes information om drygt 74 000 mejl ut. För vart och ett måste vi ta ställning till om någon uppgift omfattas av sekretess i enlighet med offentlighets- och sekretesslagen. Det är ingen liten uppgift: grovt skattat bedöms detta ärende ta ungefär ett och ett halvt års arbetstid.

JO bedömer att UD inte har handlagt ärendet tillräckligt skyndsamt. I vissa fall har UD, enligt JO, inte heller tagit ställning löpande till registrering av mejl i ärendet. Som departementschef för UD ser jag allvarligt på JO:s anmärkningar. UD har sedan år 2014 sett över och förändrat rutinerna för hur vi hanterar utlämning av handlingar. Förfrågningar om att få ta del av allmänna handlingar är arbetsuppgifter som ska hanteras skyndsamt och gå före annan verksamhet, och vi tillsätter extra resurser vid arbetstoppar. Vi fortsätter nu vårt arbete för att förbättra dessa rutiner

Men även om diarieföringen och utlämnandet skulle fungera oklanderligt enligt de normer som gäller idag menar jag att detta inte på något sätt är tillräckligt för att skapa en god offentlighetsstruktur på det sätt som OSL kräver, bl.a:

2 § Varje myndighet ska upprätta en beskrivning som ger information om
1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar,
2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar,
3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar,

Jag hävdar att det med dagens teknik är fullt möjligt att ge offentlighetsprincipen ett reellt innehåll, ge insyn, ge möjlighet till förståelse för vilken information som finns och ge tillgång till allmänna handlingar utan onödiga dröjsmål. Men istället för god offentlighetsstruktur fortsätter vi med en fullständigt obsolet diarieföring.

Varför nöjer vi oss med så litet?  Varför låter vi inte digitaliseringens omvandlande kraft användas här där det är så angeläget?

Test: Offentlighetsstrukturen hos tre myndigheter

I dessa dagar då vikten av att kunna gå till källan för att kontrollera fakta har blivit alltmer uppenbar borde offentlighetsprincipen lyfts fram som den nationalklenod den är bara av det skälet. Så är inte fallet vad jag kan se, trots 250-årsjubileet förra året. I så fall skulle den exempelvis haft en central plats i den nationella digitala strategin men avsnittet Demokratin värnas i digitala miljöer som börjar bra med

Digitalisering bidrar till att skapa förutsättningar för ett öppet och inkluderande demokratiskt samhälle med goda möjligheter att uttrycka och sprida åsikter, idéer och information.

utmynnar endast i förslag rörande medier. Ord som insyn och offentlighetsprincip förekommer överhuvudtaget inte i strategin.

 Tråkigt tycker jag, särskilt med tanke på att insikten om insynens betydelse för ett väl fungerande samhälle fanns (i alla fall med hjälp av vissa politiska påtryckningar) till och med hos Adolf Fredrik (på bilden ovan) som annars mest intresserade sig för att svarva snusdosor. Han undertecknade 1766 lagtexten som motiverade offentlighetsprincipen med:

”Att vi eftersinnat den stora båtnad allmänheten av en rättskaffens skriv- och tryckfrihet tillflyter i det en obehindrad inbördes upplysning uti varjehanda nyttiga ämnen icke allenast länder till vetenskapers och goda slöjders uppodling och utspridande, utan ock gifver en hvar af undersåtarne ymnigare tillfälle att dess bättre känna och värdera ett visligen inrättadt regerings-sätt; ävensom ock denna frihet bör anses för ett af de bästa hjälpmedel till sedernas förbättring och laglydnadens befrämjande, då missbruk och olagligheter genom trycket bliva för allmänhetens ögon ådagalagda.”

 

Dagens ministrar är knappast distraherade av att svarva snusdosor, ändå missas hur gynnsamt insyn är för samhället i de förvaltningspolitiska utspelen.

Men trots allt är ju faktiskt offentlighetsprincipen, om än undanskymt, fortfarande det som gäller för myndigheter, landsting och kommuner. I en digital verklighet skulle också själva innebörden av principen kunna förverkligas, långt bortom tunga ritualer bland uråldriga diarieföringsprinciper och pappershantering. En positiv bieffekt av en mer digital och utvecklad tillämpning är att det också skulle kunna leda till ett indirekt försvar av offentlighetsprincipen som nu ibland ifrågasätts av att den kan vara administrativt tyngande för vissa verksamheter. Det är naturligtvis ett orimligt argument men med en smidigare hantering skulle det återkommande ifrågasättande av enskildas möjlighet till insyn kunna reduceras så att det inte längre utgör ett hot.

I ett tidigare blogginlägg har jag skrivit om behovet av att utveckla offentlighetsprincipen och Peter Seipels viktiga text om de olika tolkningar som är möjliga. Som jag ser det finns det både ett mycket stort behov av att utveckla offentlighetsprincipen samtidigt som möjligheterna att göra det i princip är oändliga. Det som avgör är enbart om det finns en vilja att förbättra insynen eller inte. Att döma av de insatser som hittills gjorts av regeringar oavsett färg de senaste decennierna, då frågor som 24-timmarsmyndigheter, e-förvaltning och digitalisering varit ständigt prioriterade, är viljan inte besvärande intensiv. Faktiskt knappt synlig.

För att inte bara fördomsfullt anta saker har jag gjort ett litet test av nuläget. Offentlighetsprincipen innebär inte enbart att man kan begära ut allmänna handlingar. Myndigheten ska underlätta för den intresserade att få insyn i själva handlingarna men inte bara det; man ska även ha en så kallad god offentlighetsstruktur. Detta beskrivs i offentlighets- och sekretesslagen (OSL) 4 kap. Allmänna åtgärder för att underlätta sökande efter allmänna handlingar, m.m. där det särskilt betonas att en myndighet särskilt ska beakta att enskilda bör ges goda möjligheter att söka allmänna handlingar samt:

Beskrivning av en myndighets allmänna handlingar

2 § Varje myndighet ska upprätta en beskrivning som ger information om
1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar,
2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar,
3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar,
4. vem hos myndigheten som kan lämna närmare upplysningar om myndighetens allmänna handlingar, deras användning och sökmöjligheter,
5. vilka bestämmelser om sekretess som myndigheten vanligen tillämpar på uppgifter i sina handlingar,
6. uppgifter som myndigheten regelbundet hämtar från eller lämnar till andra samt hur och när detta sker, och
7. myndighetens rätt till försäljning av personuppgifter.

 

Vad är då rimliga förväntningar på god offentlighetsstruktur idag om man redan 1766 beslutade följande:

”och bör till den ändan uti alla arkiver fri tillgång lämnas att sådana handlingar få avskriva på platsen eller utbekomma i bevittnad avskrift och det vid samma tjänsteansvar som nyss nämnts”

Själv tycker jag att det är en miniminivå utifrån OSL:s krav i ett digitalt Sverige att myndigheters webbplatser ska vara ingången för den enskilde att söka information inte bara om myndighetens tjänster utan om vilka allmänna handlingar som finns i myndigheten. Det bör alltså finnas en beskrivning av myndighetens processer och den information som genereras ur dessa processer alternativt stödjer processerna. Eftersom myndigheter ändå enligt en föreskrift sedan 2008 är skyldiga att ha en processorienterad arkivredovisning borde inte detta vara ett ohemult krav. Sättet att beskriva verksamheten och informationen måste självklart vara så att en utomstående kan förstå den utan att ha kontakt med myndighetens personal, typ registratorer. Det är viktigt att understryka att det inte går att begränsa sig till vilka handlingar som finns registrerade i diariet vilket ju naturligtvis är en bråkdel av alla de allmänna handlingar som finns i myndigheternas it-tjänster och -system. Inte heller kan offentlighetsstrukturen sägas gälla de tjänster som en myndighet har i förhållande till allmänheten – insynen måste riktas främst mot myndighetens egen verksamhet om den ska tjäna de syften som uppställts.

Som utomstående bör jag också ha möjlighet att söka på och identifiera enskilda allmänna handlingar, även detta utan att behöva ta kontakt med myndigheten. Myndigheten bör också i detta sammanhang kunna redovisa väsentliga uppgifter som om på vilket sätt personuppgifter kan ingå i olika handlingar och vilka gallringsbeslut som fattats om olika informationsmängder.

Slutligen bör jag kunna ta del av handlingarna digitalt. Inte heller detta gäller endast de handlingar som finns i diariet utan samtliga allmänna handlingar. En sekretessprövning måste i många fall ske innan utlämnandet men även detta är en rutin som borde kunna effektiviseras och där de handlingar som per definition är offentliga ligger tillgängliga för nedladdning. Så är ju redan fallet med protokoll m.m. från de politiska församlingarna i kommunerna.

För att göra en liten temperaturmätning har jag formulerat, i mitt tycke, tre rimliga frågor för test på några myndigheter/kommuner för att se hur utvecklad deras offentlighetsstruktur är:

  1. Får jag en beskrivning av verksamheten och av de allmänna handlingar som är kopplade till myndighetens processer?
  2. Kan jag själv söka och identifiera enskilda allmänna handlingar?
  3. Kan jag ta del av handlingarna digitalt?

För att börja uppifrån tänkte jag i det här blogginlägget börja med några centrala myndigheter. Med avsikt avstår jag från att testa regeringens hemsida eftersom jag redan tillbringat mycket tid med att snurra runt på den för att söka information – sällan med önskat resultat. Istället tänkte jag titta på några myndigheter som har uppdrag så att de skulle kunna påverka offentlighetsstrukturen hos andra myndigheter alternativt varit delaktiga i nationella digitaliseringsaktiviteter.

Riksarkivet

Riksarkivet har vid sidan om uppdraget om det långsiktiga bevarandet också gett ut föreskrifter om bland annat arkivredovisning vilket är grunden för hur myndighetens allmänna handlingar redovisas. Myndigheten har även ingått i E-delegationen och där haft uppdrag bland annat att genomföra projekt om e-diarium. Riksarkivet har sedan den 1 juli år 2016 i uppdrag att främja arbetet med att tillgängliggöra information och öppna data från statliga myndigheter. Detta är ett axplock av Riksarkivets aktiviteter på området vilket skulle föranleda en att tro att myndighetens egen offentlighetsstruktur är väl utvecklad.

startsidan  finns ingenting som leder en besökare intresserad av Riksarkivets verksamhet och de allmänna handlingar som stödjer den. Jag går via Om Riksarkivet vidare till Om oss och kan då gå in på fliken Organisation som visare den traditionella matrisbilden. Organisationen beskrivs också i fyra ”processområden” vilket känns något motstridigt som begrepp men ger en ganska tydlig bild av vad man sysslar med. Däremot saknas helt uppgifter om vilken information som stödjer processerna.

Jag gör en sökning på diarium för att kanske hitta myndighetens diarium så att jag åtminstone kan se vilka allmänna handlingar som är diarieförda men får då 202 träffar som handlar om olika projekt som Riksarkivet deltagit i för att bland annat utveckla e-diarium. En träff känns aningen ironisk: en nyhetsnotis om en rapport där Riksarkivet framhåller de enorma samhällsvinster som skulle kunna göras med e-diarium och e-arkiv. Det är möjligt att de bland de 202 träffarna döljer sig något litet myndighetsdiarium som jag inte upptäckte när jag skummade igenom söklistan men då är det så väl dolt att i praktiken inte är sökbart.

Vad jag kan se är de enda allmänna handlingar som identifierade, sökbara och även möjliga att ta del av digitalt de remissvar som Riksarkivet skrivit. Det är svårt att säga något annat att det är ett klent resultat för en myndighet som borde hålla fanan högt för en god offentlighetsstruktur.

Pensionsmyndigheten

Pensionsmyndigheten är en stor myndighet och har också varit involverad i flertalet mer eller mindre lösa organisationer inom digitaliseringsområdet som exempelvis E-delegationen. Myndigheten är nu hemvist för eSam, ett medlemsdrivet program för samverkan mellan 21 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.

På Pensionsmyndighetens webbplats finns betydligt mer av den information jag söker än hos Riksarkivet. Från första sidan kan jag gå in via Om oss och klicka vidare till en föredömligt tydlig box: Lagar, regler och allmänna handlingar. Här finns en länk till en arkivbeskrivning i pdf-format som också ger exempel på handlingar som används i olika ärendeslag/processer. Arkivbeskrivningen redovisar också sökverktyg som finns samt Pensionsmyndighetens gallringsregler. Exemplariskt ur arkivariesynpunkt men sannolikt svårt att koppla informationen till en enskild handling som önskar göra det; t.ex. för att begära ut en enskild handling eller försöka se om en handling som man vill ta del av kommer att gallras.

Dessutom finns ett e-diarium som lider av den svaghet som alla andra diarier har, nämligen att man måste vara registrator för att kunna använda det som söksystem. Heliga åtgärder som att man måste lägga in datum för att kunna få fram resultat är en avgörande nackdel för den som är van att googla men så är inte heller diarieföringssystemen utformade för att ge bredare allmänhet sökmöjligheter.  Eftersom det saknas fritextsökning måste den som söker ha mycket hög grad av förförståelse för att kunna göra en lyckad sökning. Här måste jag veta vilken typ av ärende som Pensionsmyndigheten anser att en handling ingår i eller vem som är ”motpart” för att kunna göra en sökning. När jag skriver in ”digitalisering” får jag exempelvis fram enbart två handlingar eftersom det är de enda handlingar (gissar jag) som har ”digitalisering” i rubriken. Det saknas alltså metadatahantering vilket leder till att en myndighet som har haft väldigt många fingrar i digitaliseringsburken ändå via sitt diarium framstår som helt utanför. Den instruktion till diariet som presenteras visar väl litet på svårigheterna:

Så söker du i e-diariet

  • Ange namn på ett ärende eller motpart. Du kan skriva in hela eller delar av namnet.

  • Du kan söka ärenden inom olika verksamhetsområden.

  • Du kan söka bland pågående ärenden, avslutade ärenden eller alla ärenden.

  • Ett ärende-ID består av ett prefix (till exempel VER), årtal och löpnummer och skrivs på följande sätt: VER 2010-2.

  • Via datumfälten anger du vilket datumintervall sökningen ska göras inom.

  • Sökresultatet sorteras efter datum som du själv kan sortera på.

 

Man kan också gå in via Senast diarieförda handlingar som redovisar diarienummer, ärenderubrik och datum för handlingar som diarieförts de senaste sju dagarna. Även här krävs ofta en hög grad av förförståelse för att kunna tillgodogöra sig informationen och handlingarna är inte läsbara i sig en när de är uppenbart offentliga.

Sammantaget har Pensionsmyndigheten gjort en stark ansats för att få en god offentlighetsstruktur men fortfarande känns det som att det är starkt inifrån-och-ut-perspektiv som präglat det som gjorts. De är olika delar som satts ihop utan att en riktig synergi uppstått och e-diariet som är den enda egentliga sökmöjligheten är dels inte ett fungerande sökverktyg för en utomstående, dels innehåller det endast begränsade delar av de allmänna handlingar som finns inom myndigheten. Det går inte heller att förstå var det förekommer personuppgifter eller vilka handlingar som gallras när.

ESV

En annan viktig myndighet i digitaliseringsbranschen är ESV som ska stödja regeringen och Regeringskansliet med att ta ett helhetsgrepp om digitaliseringen och driva utvecklingen framåt, tillsammans med myndigheterna. Bland annat genom att analysera den offentliga sektorns digitalisering, följa myndigheternas it-användning, utveckla metodstöd och ge stöd inom nyttorealisering. Det är också ett uppdrag som förpliktigar och där ambitionen för den egna verksamhetens digitala hantering borde finnas.

Att döma av ESV:s webbplats ligger myndigheten tyvärr på samma nivå som Riksarkivet med enbart remissvar som tillgängliga allmänna handlingar.

Genomgången av de tre myndigheterna gav inte ett positivt resultat. Jag kan ana flera bakomliggande orsakerna till det dåliga utfallet som inte är knutet till de enskilda myndigheterna utan snarare är generella. Det främsta skälet tror jag är att offentlighetsprincipen obekväm. Bara häromdagen hörde jag en statlig tjänsteman till synes obrydd förklara att hen inte brydde sig om att diarieföra handlingar eftersom det var så jobbigt när utomstående började ringa och fråga om ärendet. Men det obekväma ligger också på en helt annan nivå, kunskap är makt och en tämligen oproblematisk hypotes är att den som har makt gärna vill ha kvar den orubbad. Kanske är det därför det finns så få högljudda förespråkare för verklig insyn bland högre tjänstemän och politiker. En annan orsak är den rådande förvaltningsfilosofin som är och under en längre tid har varit starkt influerad av New Public Management där offentlig sektor ses i huvudsak som en tjänsteleverantör bland andra. Eftersom denna trend har varit i princip synkroniserad med digitaliseringen har demokrati- och insynsaspekter varit kraftfullt nedprioriterade. Ett tredje skäl kan vara den bristande styrning myndigheter internt har av sin informationshantering. Min erfarenhet är att många myndigheter inte styr sin informationsförsörjning på ett systematiskt sätt och därmed kan man inte heller presentera den på ett begripligt sätt utåt. Sannolikt är den bristande sökbarheten och den fragmentariska beskrivningen den samma inifrån som utifrån, något som inte gynnar verksamheter som är helt beroende av sin informationsförsörjning.  Sammantaget finns allt att vinna på att ägna sig åt att utveckla den goda offentlighetsstrukturen vilket alldeles särskilt bör gälla de myndigheter som i någon mån ska utgöra föregångare för andra.

Jag tar gärna emot synpunkter på det jag nu skrivit, om det är missvisande, har felaktiga utgångspunkter eller om jag missat något på de webbplatser jag gått in på.