E-arkiv – efter 4 år blev det en tummetott (kanske)

I augusti 2014 fick den då relativt unga myndigheten Statens servicecenter ett uppdrag av regeringen att i samverkan med Riksarkivet samt sju pilotmyndigheter utveckla och använda en förvaltningsgemensam tjänst för e-arkiv. Efter dryga fyra år avbryter man nu upphandlingen med hänvisning att det endast inkommit en kvalificerad sökande och att priset är för högt. 

Detta är mycket bekymmersamt. I en fråga som varit akut i ett par decennier, nämligen det långsiktiga bevarandet av den information som genereras i myndigheter, kommuner och landsting, har myndigheter blivit intalade att det snart kommer en lösning på deras problem. Så sent som för en månad sedan deltog Statens servicecenter på Arkivforum och trumpetade ut att man nu var i mål och att myndigheter skulle kunna ansluta sig till tjänsten inom ett halvår.

Ur Arkivforums program den 8 november 2018

Sedan detta. Det skulle vara frestande att ropa ”skandal” men det är intressantare att försöka analysera vad misslyckandet beror på. Själv har jag redan tidigare skrivit om att hela upplägget var märkligt i framförallt två hänseenden. För det första har det hela tiden saknats en övergripande strategi för det långsiktiga bevarandet av digitala handlingar.Det som kallats e-arkiv hos Statens servicecenter är bara en del i en större helhet som ännu inte finns beskriven. Eftersom tjänsten enbart är ett mellanarkiv återstår fortfarande att skapa ett slutarkiv och min obesvarade fråga har varit varför ett mellanarkiv över huvud taget skulle vara intressant i ett digitalt perspektiv. Om information ska överföras från arkivbildaren till en annan myndighet borde det rimligen ske på ett sätt där även slutarkivering ingår eller åtminstone är tydligt planerad. Så är nu inte fallet och för mig förefaller detta bara vara ett prokrastinerande av en oundviklig uppgift.

Den andra frågan är sammanhängande med detta och handlar om Riksarkivets roll och varför information som ska långtidsbevaras först ska mellanlanda hos en annan myndighet. Jag menar att Riksarkivet borde ta ansvaret för denna kärnuppgift i det egna området och beskriva hur ett digitalt mellanarkiv borde utformas för att passa in i en större helhet av bevarande. Att överlåta detta uppdrag till en myndighet utan expertkompetens känns både ologiskt och som ett  stort risktagande.

Det som upphandlingen slutligen fallit på är dock den bristande informationssäkerheten hos leverantörerna vilket framgår tydligt i det beslut som Statens servicecenter tagit angående att avbryta upphandlingen. Av de åtta anbudsgivarna föll sex bort på grund av de inte uppfyllde kraven på informationssäkerhet, en drog sig ur frivilligt och den enda kvarvarande blev för dyr.

Att informationssäkerheten varit en, med ett understatement, underordnad fråga i e-arkivsammanhang är för mig uppenbart både utifrån den enkät jag gjorde i våras och ännu tydligare i de frågor jag ställt till leverantörer. De leverantörer jag frågat och där det finns en stark korrelation med de som lämnat anbud till Statens servicecenter har inte kunnat svara på en enda fråga gällande säkerhet alternativt har aktivt beslutat att inte svara. Detta förhållande borde blivit känt även för Statens servicecenter. Jag har vid förfrågan inte fått ta del av de säkerhetskrav som Statens servicecenter ställt men i dokumentet som offentliggjorts om upphandlingen visar att flertalet leverantörer som lämnat anbud inte kan visa upp ens den mest elementära styrning av säkerhet i sina tjänster.

För mig är det mest förvånande att Statens servicecenter under fyra år drivit ett projekt med syfte att tillgodose myndigheterna med en e-arkivtjänst inte under denna tid vare sig lyckats med att genomföra en relevant marknadsanalys eller med att förmedla information till leverantörerna om informationssäkerhetens betydelse. Har man verkligen trott att leverantörerna jobbar med informationssäkerhet utan att man behöver betona det eller har man bara kört på trots indikationer på att det inte fungerar? Och detta efter Transportstyrelsen och alla de diskussioner som förts om molntjänster och outsourcing?

Nu kan en kritisk läsare tänka att utfallet beror på att Statens servicecenter ställt alldeles orimligt höga säkerhetskrav. Min bedömning är den motsatta. De fallerande anbudsgivarna uppfyller inte ens elementära säkerhetskrav som till exempel att ha en informationssäkerhetspolicy eller kunna visa vilka säkerhetskontroller man genomför. Som sagt; jag har ingen aning om hur säkerhetskraven formulerats i upphandling eftersom det sekretessbelagts. Men om leverantörerna inte ens har ett LIS eller kan beskriva hur det egna säkerhetsarbetet är organiserat måste dialogen mellan upphandlande myndighet och leverantörer gått allvarligt fel. Detta är dessutom en upphandling som skett med så kallat förhandlat förfarande
där den upphandlande myndigheten inbjuder utvalda leverantörer och förhandlar om kontraktsvillkoren med en eller flera av dem.

Dialogen har syftat till att utforma krav och villkor för om hur en förvaltningsgemensam tjänst för e-arkiv på bästa sätt kan utformas.Under dialogen har sökande presenterat och preciserat sin lösning i enlighet med inbjudan till respektive dialogomgång. Sammanlagt har sex (6) dialogomgångar hållits.

Projektet har alltså pågått i fyra år med dialoger med hugade leverantörer. Ändå har man inte fått leverantörerna att inse att de åtminstone måste ha en basal informationssäkerhet för att kunna bli aktuella. För mig bekräftar det mitt intryck av att e-arkivfrågan på alla nivåer varit tämligen konsekvent isolerad från informationssäkerhetsarbetet. I den aktuella upphandlingen har det lett till ett ofruktbart resultat för kunder och leverantörer trots nedlagda resurser. Vad värre är – att arbetet med att ta fram andra lösningar för e-arkiv avstannat hos myndigheterna och därmed en stor förlust av tid.

I sin skrivelse till regeringen förklarar Statens servicecenter att man inte lyckats upphandla en tjänst som är ekonomiskt försvarbar i förhållande till investeringen. Man menar sig dock ha vunnit så viktiga erfarenheter av sina fyra projektår att man vill att regeringen ska ge ett nytt uppdrag till myndigheten för att utreda en lösning där Statens servicecenter upphandlar licenser för drift och lagring hos en annan myndighet.

Jag menar att denna tummetott i form av någon typ av erfarenhet inte bör motivera regeringen att ge Statens servicecenter ett fortsatt uppdrag. Istället bör Riksarkivet få ett uppdrag att ta fram en strategi för långtidslagring av digital information, d.v.s. omfatta både mellan- och slutarkiv. Detta ingår inte specifikt i den pågående arkivutredningens uppdrag  trots att det ändå måste uppfattas vara arkivsektorns kärnuppdrag. Därför bör ett separat uppdrag om detta formuleras som inkluderar arkivteoretiska, informatiska, tekniska, juridiska och organisatoriska aspekter men även på ett djupare plan den informationssäkerhet som måste inarbetas i lösningen. En mycket omfattande men oundgänglig uppgift för utredningen är också att ta fram strategier för att lagra de allt mer komplexa informationsinfrastrukturer som byggs upp med både offentliga och privata aktörer. I dag tycks fortfarande e-arkiv ofta handla om att ”arkivera” enskilda system trots att det inte är så verkligheten ser ut.

Man kan tycka att detta i onödan drar ut på tiden men för mig är detta en nödvändig grund för det digitala långtidsbevarandet och i förlängningen det digitala samhället. När utredningen är klar och beslut fattats om inriktning bör expertmyndigheten Riksarkivet vara beställare av de tekniska lösningarna där mellanarkivet kanske kan vara förlagt hos Försäkringskassan. Slutarkivet måste dock, anser jag, finnas hos Riksarkivet.  I detta kan jag inte se att Statens servicecenter kan spela någon väsentlig roll.

Och återigen är mitt credo: är det någonstans informationssäkerhet behövs så är det i e-arkiv!

E-arkiv och informationssäkerhet del 2

Den första frågan i min enkät var huruvida myndigheten, landstinget respektive kommunen tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1. Det var en klumpigt formulerad fråga eftersom RA-FS naturligtvis bara gäller statliga myndigheter. Min tanke var dock i all enkelhet att även om det inte finns en föreskrift om att planera sitt långsiktiga bevarande av digital information direkt riktad till den egna verksamheten så borde det ändå vara nödvändigt att ha en strategi för att kunna efterleva alla andra krav som finns på att informationen bevaras i exempelvis vårddokumentation. För en arkivarie borde detta också vara kärnuppdraget: att ta fram en inriktning för det långsiktiga bevarandet.

För att friska upp minnet på de enstaka människor som inte har alla sina RA-FS:ar färskt i minnet så är kravet i 3 kap 1 § i RA-FS 2009:1 formulerat så här:

1 § Myndigheten ska upprätta en strategi för bevarande av elektroniska handlingar. Av strategin ska framgå vilka åtgärder myndigheten avser att vidta för att säkerställa ett bevarande av handlingarna. Åtgärderna ska dokumenteras i enlighet med 2 §. Strategin ska fortlöpande kompletteras och hållas aktuell.

Allmänna råd. Med åtgärder avses hur elektroniska handlingar ska framställas, överföras, hanteras, förvaras och vårdas under den tid som de ska bevaras. Myndigheten bör vid planeringen av system och rutiner, i enlighet med bestämmelserna i 6 § arkivförordningen (1991:446), samråda med arkivmyndigheten.

Därefter följer mer detaljerade krav på vad strategin ska innehålla men i min enkät nöjde jag mig att efterfråga själva befintligheten av en strategi. Innan jag går vidare gör jag här en liten utvikning om förutsättningarna för ett långsiktigt bevarande.

En reflektion jag gör när jag läser Riksarkivets krav är inriktningen på system, teknik och handlingar. Detta rimmar, menar jag, inte helt med kravet på en processorienterad arkivredovisning som finns i RA-FS 2008:4. Till detta kommer de förvaltningsgemensamma specifikationerna som inte heller är processinriktade. De e-arkivlösningar som presenteras som verkar vara helt inriktade på att lyfta över information från ett system till ett annat utan någon koppling till process såvitt jag kunnat utröna. Jag är dessutom osäker på hur OAIS-modellen ska tillämpas i relation till processer. Det framstår som det finns ett antal komponenter som det långsiktiga bevarandet ska bygga på men att dessa inte är helt koordinerade. När jag läser de kravspecifikationer som tagits fram för e-arkiv verkar det vara de tekniska kraven som kommit i förgrunden och tyvärr på ett ganska daterat sätt. Att prata om system i en tid då allt mer information hanteras i molntjänster kan få ganska ödesdigra konsekvenser för arkivbildnigen. Det är synd för jag tror inte att de tekniska aspekterna är det som främst utgör ett hinder för att lyckas med ett långsiktigt bevarande. Den här frågan går inte heller att hantera i bitar utan måste ses som en sammanfogad helhet som vilar på en solid teoretisk grund, och det är den grunden som jag uppfatta är undflyende i de resonemang som förs.

För mig som arkivteoretisk nörd skulle det optimala vara det processorienterade perspektivet var genomgående som strukturerande princip för att knyta ihop verksamhet och information, självklart ända in i det digitala långtidsbevarandet. Konkret skulle vi kunna försöka utveckla proveniensbegreppet till att förutom den inre och yttre proveniensen även omfatta en processproveniens. Proveniensen har ett antal funktioner för arkivbildningen som att ge informationen ett mervärde då den sätts i organisatoriska kontext, att skapa autenticitet och att ge oss de bästa möjligheterna för att kunna återsöka information. Dessutom som redan den store Nils Nilsson underströk: de processuella värdena. Om vi nu tar tanken med de processuella värdena och sammanför det med ett proveniensbegrepp i det långsiktiga bevarandet skulle vi kunna utveckla helt nya lösningar. Det känns aningen pinsamt att dra upp gamla texter stup i kvarten men faktiskt skrev jag i Arkiv, samhälle och forskning redan 1997 en artikel, Arkivbildarbegreppet och proveniensprincipen under press? (AFS 1997:3 – det går tyvärr inte att länka till den)  som försöker resonera om hur nya tekniska lösningar ändrar förutsättningarna för arkivteorins grundpelare.  Mycket i texten är kanske passerat men något som jag ändå tycker fortfarande förtjänar att poängteras är skillnaden mellan Müller, Feith och Fruins öppna förhållningssätt till vad som avgränsar den yttre proveniensen där de om adminstrative bodies och helhet. I Sverige, till skillnad mot i andra länder, har arkivbildarbegreppet blivit manifest och alltid kopplat till en enskild organisation.

Om vi nu tittar på världen såsom den ser ut med snabba omorganisationer och en alltmer gemensam informationsinfrastruktur – borde vi inte då skruva upp processbegreppets betydelse och samtidigt något tona ner arkivbildarbegreppet för att uppnå det vi ska proveniensprincipen till? Med dagens tekniska lösningar menar jag att detta vore fullt möjligt att både hitta lösningar som ger en bättre proveniens samtidigt som de skulle ge effektivitet och minskade kostnader. För att ta ett enkelt exempel skulle det menar jag var betydligt bättre att identifiera ett antal större samhällsprocesser som varat över tid i olika former och redovisa informationen per process som första steg och därefter arkivbildare.
Ta exempelvis folkskolan som fram till 1930-talet hade kyrkan som huvudman, därefter staten och nu kommunerna medan verksamheten i huvudsak varit densamma. För att ge bättre överblick och även proveniens skulle informationen kunna vara sökbar både per process och per arkivbildare. Jag vill bara hinta med vad detta skulle innebära när det gäller vårdinformation där det idag är stora problem att avgöra vilken information som finns var och vem som är ansvarig för den. Med en  processorientering vid en omorganisation skulle det också vara möjligt att låta den digitala informationen vara tillgänglig både i den avslutade arkivbildningen och som överförd i den nya (ja, jag vet att man måste lösa utnämningsfrågan men det känns som ett mindre aber).

För det långsiktiga bevarandet menar jag att dessa frågeställningar har stor betydelse eftersom de både avgör arkivbildningens värde, möjligheten till återsökbarhet och inte minst ansvarsfördelningen.

Men låt oss lämna mina tankar i frågan och istället se hur de myndigheter, kommuner och landsting som svarat på enkät hanterat frågan.

Av de kommuner som svarat är det bara två som säger ett tydligt ”ja” på frågan om de tagit fram en strategi i linje RA-FS. En handfull svarar att de gjort det som medlemmar i Sydarkivera, ytterligare några säger att de är på gång eller har strategisk inriktning i andra dokument men det absoluta flertalet uppger sig inte ha någon strategi. Bland landstingen är det ingen av de svarande utom en region som anser sig ha en strategi motsvarande kravställningen i RA-FS 2009:1 men några har reglerat delelement i ett långtidslagrande som format. Det man kan se i svaren är att många kommuner, landsting och regioner har försökt hitta olika typer av samarbetsformer för att gemensamt ta fram en inriktning där den mest framgångsrika tycks vara Sydarkivera.  Många respondenter uttrycker att frågan är svår att hantera autonomt eftersom man inte har kompetens eller resurser att ens utreda hur långtidsbevarandet skulle kunna gå till. Och som någon påpekar ”Vi kommuner har ju ett speciellt förhållande till Riksarkivets föreskrifter.”, det vill säga att man kan välja att efterleva dem men det är inget tungt argument eftersom man inte är skyldig att följa dem. Göteborgs Stads föreskrifter och riktlinjer om arkiv- och informationshantering är en imponerande ansats men inte heller den ger de svar som behövs.

Från myndigheterna har jag fått in svar där c.a. 50 myndigheter säger sig ha en strategi av vilka flertalet även bifogat strategin. Det förekommer en hel del disclaimers av typen ”den har några år på nacken” eller ”vi håller på att omarbeta den”. Ett antal myndigheter skriver också att de håller på att ta fram en strategi.

Det är ett rätt omfattande material att tränga igenom men det finns ändå några gemensamma drag som jag här ska sammanfatta i några punkter (observera att detta är generaliseringar – undantag finns). Jag är också angelägen om att återigen understryka att frågans komplexitet som ställer nästintill orimliga krav de enskilda myndigheterna.

Först en glädjande observation: få myndigheter har idag som uttalad strategi att ta ut digital information i pappersformat för arkivering. Visserligen förekommer detta fortfarande i verkligheten trots de mycket stora informationsförluster som detta leder till men nu är ambitionen åtminstone att komma vidare med ett kvalitativt bevarande av digital information.

De flesta strategier följer, föga förvånande, RA-FS:ens krav. Efterlevnaden kan uppfattas som litet väl hörsam eftersom det i vissa fall blir en upprepning av vad som står i RA-FS med tillägget att ”det ska vi göra”. Men det finns också många som gjort stora insatser för att beskriva hur den digitala informationen ska omhändertas konkret och i detalj. Det gör att vissa av dokumenten kanske inte egentligen är strategier utan mer av riktlinjer eller instruktioner.

Genomgående är att myndigheterna har avgränsat scoopet för strategin till den egna verksamhetens verksamhetssystem eller förvaltningsobjekt trots att dagens e-förvaltning i allt högre grad innebär integrerade informationshanteringslösningar. I de fall där det av strategierna ändå framgår att myndigheten ingår i myndighetsövergripande informationshantering nämns inte vad jag kunnat upptäcka hur detta ska hanteras arkivbildningsmässigt.
Jag kan inte se att eSam (en efterföljare till E-delegationen) ger någon vägledning i hur frågan ska omhändertas vare sig strategiskt eller operativt, teoretiskt eller praktiskt. Om jag ska utnämna en fråga som särskilt oroande är det just denna – att det skapas allt större allmänna handlingar där ansvaret för den långsiktiga hanteringen är till synes oklart. Att för den enskilda myndigheten göra de utredningsinsatser som krävs för att lösa frågeställningen och därefter få accept på detta i ett större sammanhang framstår inte som en optimal inriktning.

Föreskriften är från 2009 och är som jag tidigare redovisat inriktad på system och elektroniska handlingar. Det är sannolikt bakgrunden till att de strategier som jag tagit del av också är det. Det handlar om verksamhetssystem, inte tjänster och inte heller processer, samt är i hel del fall länkade till myndighetens systemförvaltningsmodell. Vissa formuleringar skulle kunna tolkas som att strategierna är tillämpbara även på tjänster. Elektroniska handlingar kan förekomma även i tjänster och tjänster skulle kunna vara förvaltningsobjekt. Sådana möjliga tolkningar verifieras dock inte i de mer instruktionslika tillvägagångssätt som ingår i strategierna.

Koppling till processorienterad arkivredovisning saknas ofta men man ser ansträngningar för att integrera arkivredovisning och bevarandeplaner (möjligen även klassificeringsstrukturer) på ett bra sätt men det framgår inte hur. Trots det tekniska perspektivet är det svårt att se en verkligt strategisk inriktning i strategierna. Man pekar ibland på att man valt en viss programvara eller en viss tjänst för lagring men inte för hur länge. Ibland omnämns att överlämning till arkivmyndigheten inte är aktuellt, ibland berörs inte slutarkivering alls.

Sammantaget är jag imponerad av den kompetens som arkivarier lagt in i sina strategier.  Även om jag inte sett en strategi som jag tycker uppfyller alla krav så finns det en stor gemensam resurs i de många strategierna att crowd-sourca ur för att kanske skapa en gemensam linje.  Ur ett forsknings- och kulturarvsperspektiv finns det  dock anledning att vara bekymrad. Det finns en inte oväsentlig risk inte bara för att information inte arkiveras utan också för att den information som verkligen tas om hand kommer att sakna tillräcklig proveniens, kontext och återsökningsmöjligheter.

E-arkiv och informationssäkerhet del 1

För mig är informationsförvaltning och informationssäkerhet nära sammanhängande frågor med många gemensamma förutsättningar och problem. Det största gemensamma problemet är kanske att de sällan integreras sinsemellan och inte heller med det som kallas digitalisering. Eftersom jag fått uppdrag att skriva en bok om dessa frågor började jag fundera på hur jag skulle få en bättre bild av hur sambanden ser ut i praktiken. En fråga som utkristalliserade sig var e-arkiv som en del av informationsförvaltningen.

För att kunna förstå frågan på rätt sätt är det viktigt att först analysera betydelsen av ”arkiv” och därmed av ”e-arkiv”. Trots att det både säljs och köps s.k. e-arkivlösningar finns det ingen definition av vad detta skulle kunna vara. Jag kommer att återkomma till denna fråga i ett senare inlägg men här nöjer jag mig med att utgå från att e-arkiv är en process för att långsiktigt bevara digital information med autenticitet, spårbarhet, konfidentialitet, sökbarhet samt med processuella värden i behåll. Samtliga dessa krav kan finnas i olika grad beroende på den information som ska bevaras. Den som delar min bedömning om vad ska ses som ett e-arkiv är sannolikt beredd på att acceptera att informationssäkerhet och e-arkiv har starkt inbördes beroende. Min utgångspunkt är också att en stor del av allmänna handlingar ska bevaras över tid liksom en inte obetydlig del av den information som produceras i privata verksamheter. Även om kraven på konfidentialitet och tillgänglighet i de flesta fall klingar av så är ändå slutsatsen att e-arkivlösningar måste kunna erbjuda minst lika bra informationssäkerhet som de digitala lösningar som hanterar informationens mer aktiva skeden. För e-arkivet ökar istället kraven på autenticitet som kan sägas vara en kombination av spårbarhet och riktighet. Genom den aggregering av information som planeras i många e-arkivlösningar ökar också kraven på att skydda mot obehörig åtkomst. Utan att utveckla detta ytterligare så måste med dessa förutsättningar ett mycket aktivt informationssäkerhetsarbete omge e-arkiven med riskanalyser och informationsklassning m.m. på minst samma nivå som för andra digitala lösningar.

I en allt mer digital värld är jag också mycket nyfiken på hur dessa frågor ska lösas nationellt och om vi inte måste tänka på ett annat sätt när det gäller det långsiktiga bevarandet än vad vi gjort när det gäller pappershandlingar. För den oinvigde har Riksarkivet varit slutarkivet för de allmänna handlingar som produceras i statliga myndigheter som i långsam process likt sedimentering vandrar från aktivt skede via mellanarkiv till slutlagring. Digitaliseringen gör hela denna process onödig, de digitala handlingar som ska bevaras för eftervärlden skulle kunna överföras till slutarkiv i samma ögonblick som de skapas och en kopia hanteras i verksamheten. Ändå tycks tankegången fortfarande var densamma i praktiken och någon slags mellanarkiv för digital information byggas upp av Statens Servicecenter som outsourcar tjänsten till något av de stora leverantörerna. Jag ställer mig frågande till hela tanken i detta, att tjänsten byggs upp inte av den myndighet med ansvar och kompetens inom arkivområdet utan en annan, men också inför hur erbjudandet eller påbudet uppfattas av de myndigheter som förväntas delta.

Detta är bakgrunden till att jag i början av 2018 skickade ut en enkät till samtliga myndigheter, regioner/landsting och kommuner med följande frågor:

  1. Har ni tagit fram en strategi för bevarande av elektroniska handlingar enligt 3 kap 1 § i RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  2. Har ni en egen e-arkivlösning eller planerar ni att köpa en tjänst för det eller på annat sätt anlita utomstående?

  3. Om ni planerar att köpa en tjänst eller anlita utomstående: ser ni det som ett mellanarkiv? Vilken tidshorisont har ni för nyttjandet av tjänsten?

  4. Har ni en Plan för informationssäkerhet enligt 6 kap RA-FS 2009:1? Om ja skulle jag, om möjligt, vilja ta del av den.

  5. Om/när ni tagit fram en egen e-arkivlösning alternativt anlitat utomstående för tjänsten, har detta då föregåtts av en riskanalys och informationsklassning?

  6. Vilka är, som ni ser det, de viktigaste kraven på informationssäkerhet när det gäller e-arkiv?

Ur offentlighetsperspektivet är svarsfrekvensen dyster för detta är hur många som svarat till dags dato trots att förfrågan även innehöll en begäran om att få ta del av allmän handling:

62 kommuner (21 % av samtliga tillfrågade)

8 regioner/landsting (40 %)

86 myndigheter (24 %)

Några noteringar kan göras rörande de svarande. Bland kommuner är det påfallande att det snarare är de små kommunerna som ansträngt sig för att svara än de medelstora eller stora. Bland myndigheterna har universitet och högskolor varit exceptionellt bra på att svara (75 %). Av de myndigheter som ingår i eSam som är

 ”ett medlemsdrivet program för samverkan mellan 24 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.”

och som bland annat drivit på frågan om öppna data är det knappt hälften av de ingående myndigheterna som svarat på enkäten. Här skulle man kanske kunna önska litet mer av att leva som man lär och en vilja att förmedla information även i praktiken.

Hela tanken så som den formuleras idag är att ett ”e-arkiv” på något sätt är en applikation i egen regi, i samverkan, hos en myndighet eller i form av en molntjänst. Därför tyckte jag också att det var intressant att ställa frågor till olika typer av leverantörer hur de formulerat säkerhetskraven på sina lösningar. Här var svarsfrekvensen extremt låg när jag ställde dessa frågor:

  1. Kan ni redovisa på vilket sätt ni arbetat med informationssäkerhet i tjänsten?

  2. Vilka ser ni som de främsta informationssäkerhetsriskerna kopplade till tjänsten?

  3. Kan ni erbjuda tjänsten på olika skyddsnivåer? Är alla typer av information möjlig att hantera i dem?

  4. Vilka krav ställer ni på eventuella underleverantörer?

  5. Hur ser ni på ert ansvar i förhållande till användarna av tjänsten då det gäller att uppnå tillräcklig informationssäkerhet?

  6. Har ni ett eget internt ledningssystem för informationssäkerhet (LIS)?

  7. Har ni en utpekad informationssäkerhetsansvarig i er organisation?

  8. Har ni ett eget standardförslag på personuppgiftsbiträdesavtal och är det i så fall möjligt för mig att få ta del av?

  9. Är tjänsten planerad för att klara NIS-direktivet och civilt försvar?

Jag har på dessa frågor inte fått ett enda svar som inte varit av typen ”varför ställer du de frågorna” eller ”kan vi ta det per telefon istället”. Statens Servicecenter var dock mycket snabba och tillmötesgående och skickade över kravspecifikationen de använt när de försökt upphandla tjänsten e-arkiv. Min slutsats är att leverantörerna:

  1. Inte fått tydligt formulerade säkerhetskrav på sina tjänster

  2. Inte har tagit fram ett generellt presentationsmaterial som redovisar vilken säkerhet som deras tjänster erbjuder.

Att säkerhet i tjänsten inte är självklara frågor ser jag som mycket bekymmersamt och som en klar brist på mognad hos dessa tjänster vilket också komplicerar situationen för särskilt mindre organisationer som planerar att upphandla ett ”e-arkiv”.

I nästa blogginlägg kommer jag att redovisa de svar som inkommit från kommuner, landsting/regioner och myndigheter.

En notering i marginalen om kontroll över informationen

Som så många andra som arbetar med informationssäkerhet läser jag nu med stort intresse den granskning som på regeringens uppdrag genomförts av Transportstyrelsens upphandling av förändrad it-drift.

Det finns ett antal faktorer till den olyckliga händelseutvecklingen som förtjänar uppmärksamhet och säkert kommer att fortsätta att penetreras. En aspekt som jag menar borde analyseras närmare än vad som skett i granskningen är myndigheters (och även andra organisationers) behov av generell kontroll över sin information. För mig framstår att ha kontroll över vilken information som finns i organisation samt hur den hanteras som den mest basala förutsättningen för att uppnå en fungerande informationssäkerhet.

För myndigheter är detta inte krav kopplat enbart till informationssäkerhet utan finns även i offentlighetslagstiftningen och i arkivlagen. De allmänna handlingarna ska vara redovisade och snabbt återsökbara. I praktiken innebär det att en myndighet (inklusive kommuner) måste ha kontroll över den information som skapas, inkommer och på olika sätt hanteras i verksamheten.

Det hjälpmedel som används för att skapa den eftersträvade kontrollen kallas ofta dokumenthanterings- eller informationshanteringsplan. Det finns inget legalt krav på att ta fram dessa planer men realistiskt sett är det nödvändigt att ha den här typen av planer, oavsett vad de kallas, för att kunna systematiskt kunna beskriva vilken information som finns.

I fallet Transportstyrelsen skulle ett sådant verktyg kunnat ge ett bra stöd inför en eventuell outsourcing eftersom, rätt utformad, skulle planen ha identifierat vilken information som skulle ingå i upphandlingen och vilket krav på skydd ur olika hänseenden (säkerhetsskydd, personuppgifter m.m.) som måste tillgodoses.

Mitt intryck är att många myndigheter inte har de informationshanteringsplaner som vore nödvändiga för kontroll av informationshantering. De planer jag sett är ofta antingen fragmentariska (d.v.s. omfattar endast delar av verksamhetens informationshantering) eller inaktuella. Vanligt är också att de i alltför hög grad bara redovisar information som ser ut som ”dokument”.

Detta mitt intryck kan vara helt fel men jag tycker det vore en angelägen uppgift för Riksarkivet att utreda och göra till en prioriterad fråga. Med konsekvent användning av informationshanteringsplaner skulle inte bara offentlighets- och arkivbehovet kunna tas om hand utan det skulle också kunna utgöra ett väsentligt steg mot en stärkt informationssäkerhet. Och vara ett konkret samarbetsområde för informationssäkerhetsmänniskor och arkivarier! I all enkelhet tror jag inte att svensk förvaltning kommer att klara den pågående digitaliseringen utan betydligt bättre samordning, i annat fall kommer händelser liknande den på Transportstyrelsen att bli återkommande.

 

Schrödingers information

På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd. Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.

Jag tänker inte fördjupa mig ytterligare i kvantfysiken. Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information. Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information. Låt mig ta några exempel.

Det första exemplet är kanske det mest uppenbara och gäller formatet. Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m. sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna. I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns. Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa. Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras. Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.

Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel. Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen. Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras. Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter:

Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden. I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet. Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till omfånget.

Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs. Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver

 ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.

Detta efterlevs inte alltid. Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns. Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns. Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det. Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut. Och hur skyddas en information som både finns och inte finns?

Ytterligare ett exempel som jag stött på är hanteringen av loggar. Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort. I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år. Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat. Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.

Det mest övergripande exemplet som jag redan tidigare varit inne på i en blogg är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar. Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former. Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.

Jag har inga patentlösningar på hur de här olika situationerna ska hanteras. Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.

Juridik eller arkiv?

Det här kommer att bli ett nördigt inlägg om arkivfrågor eftersom arkivfrågor per se är nördigt eller hur? För läsaren ska kunna sätta inlägget i ett sammanhang ska jag bekänna min bakgrund och därmed även antyda sambandet mellan informationssäkerhet och arkiv.

Min ingång till informationssäkerhet gick via arkiven. Under ett antal år arbetade jag som arkivarie, först på arkivinstitutioner och därefter som landstingsarkivarie. Som så många andra arkivarier hamnade jag i skrået via studier i historia, själv påbörjade jag en forskarutbildning i ekonomisk historia efter att ha läst politisk historia, förvaltningshistoria, naturvetenskapernas idéhistoria o.s.v., o.s.v.  Synsättet att arkivvetenskap (i den mån något sådant ens kan sägas existera) var en stödvetenskap för historieämnet föreföll därför inledningsvis logiskt även för mig. Sedan hände två saker: jag blev väldigt intresserad av metoder för att strukturera information och jag blev tvungen att börja tillämpa detta i en pågående verksamhet, inte bara i avställda arkiv. Jag skrev om proveniensprincipen sett ur det industrihistoriska perspektivet men insåg allt tydligare verksamhetsbehovet i att strukturera information. Det kändes egendomligt att betrakta detta verksamhetsbehov kikande ut från en arkivinstitution och dess behov som är helt annorlunda än verksamhetens. Jag fortsatte att skriva om dessa frågor och vikten av att arkivväsendet omorienterar sig och inte ser sig som en historiens hjälpvetenskap. Istället borde vi vända på processen och se att om arkivarierna specialiserar sig på informationshantering och stödjer verksamheten kommer behovet av långsiktigt bevarande också att hanteras. Däremot gäller inte det omvända. Jag kan väl inte säga att jag fick särskilt mycket gehör för detta utan blev istället betraktad som en arkivvärldens gossen Ruda som en riksarkivarie vänligt uttryckte det.

Nu har jag inte arbetat som arkivarie på många år men interagerar med arkivfrågor nästan dagligen då jag arbetar med informationssäkerhet vilket är naturligt då arkiven kan sägas att jämte krypton vara de informationssäkerhetsåtgärder som förekommit ända sedan antiken. OK, vi kan väl säga signering också så blir det tre antika åtgärdstyper. I vilket fall så sett ur mitt limbo-tillstånd där jag halvvägs utanför, halvvägs innanför arkivvärldens gränser uppfattar jag det som att den desorientering som funnits ända sedan sjuttiotalet fortfarande lever kvar. Jag ska inte här närmare gå in på hur denna desorientering mellan att delta i att utveckla myndigheternas informationshantering år ena sidan och å andra sidan ha blicken fäst vid det historiska materialet. Vad som är glädjande är att regeringen initierat en översyn av arkivområdet under Lars Ilshammars kompetenta ledning. Översynen ska bland annat analysera hur samhällsutvecklingen påverkat kraven på arkivsektorn, se över arkivlagstiftningen och Riksarkivet roll i förhållande till andra myndigheter. Det kan bli spännande!

Inspirerad av detta kommer här tre frågeställningar som kan förtjäna att tas med som faktorer då översynen genomförs och som dessutom är sammankopplade. Först en disclaimer:  i det följande kommer jag liksom som många andra som diskuterar arkivfrågor att strunta i de privata aktörernas behov och praxis gällande dessa frågor och endast ägna mig åt den offentliga sektorn och arkivväsendet i stat, kommun och landsting. Detta är en nästan oförlåtlig avgränsning men eftersom jag här kommer att ta upp några frågeställningar som i första läget framförallt berör det offentliga arkivväsendet finns det en viss logik i detta. Det kan dock inte nog understrykas vikten av att det offentliga arkivområdet idag måste ta mycket större hänsyn till privata aktörer eftersom allt större del av den offentligt finansierade verksamheten utförs av privata aktörer. Ta till exempel inom vården som i efterkrigstiden i all väsentlighet ombesörjdes av offentliga utförare men som sedan nittiotalet alltmer utförs av privata vårdgivare. Vårdinformationen som har ett mycket stort värde under lång tid för den enskilde patienten och ett stort forskningsvärde men lever idag ett osäkert liv eftersom det faktiskt inte längre är tydligt reglerat hur den ska hanteras långsiktigt.

Den första fråga jag tänkte lyfta är frågan är den utpräglade juridifiering som råder gällande arkivhanteringen. I Sverige har arkivväsendet en mycket nära koppling till statsmakten sedan lång tid och numera även en stark koppling i lagstiftningen mellan arkivlagen och offentlighetslagstiftningen. Detta kan ses som en välsignelse och jag tror inte det finns en idag levande arkivarie som inte hämtat legitimitet ur detta faktum och det är självklart att detta ger arkivverksamheten en potentiellt stark ställning i offentliga organisationer (nu blir det ju inte alltid så i praktiken). Men för att travestera femte Moseboken: en välsignelse kan samtidigt vara en förbannelse. Förbannelsen ligger i att samtidigt som offentlighetslagstiftningen definierar arkivens innehåll så definierar den arkivens avgränsning. I arkivlagen sägs att:

3 § En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering.

Vad som utgör en myndighets arkiv är alltså en juridisk definition, inte en arkivvetenskaplig. Detta är i sig värt att uppmärksamma men det får även djupgående praktiska konsekvenser. Det måste understrykas att vad som kan utgöra en allmän handling inte är übertydligt. Formuleringar som att ”handlingen ska vara upprättad eller inkommen till myndigheten” leder tankarna till information som liknar pappersdokument och som är vagt relaterade till postgång (detta är också vad som avspeglas i de heliga diarierna som ofta uppfattas som det som definierar vad som är myndighetens allmänna handlingar). Men detta är ju inte den enda information myndigheten använder. Om man jämför dokumenthanteringsplaner med vilka informationsmängder som en myndighet eller kommun verkligen använder för att utföra sina uppgifter är skillnaden ofta stor. Detta blir ganska uppenbart om man gör en processorienterad informationskartläggning där det, vågar jag hävda, alltid kan identifieras betydligt fler informationsmängder än vad som finns redovisat i dokumenthanteringsplanen. Det finns, tror jag, en outtalad föreställning om vad som ska räknas som allmänna handlingar som inte är uppdaterad så att den går att omsätta i en modern myndighets faktiska informationshantering där Skype, molntjänster och även mer traditionella it-system står för merparten av transaktioner. Och när kartan inte stämmer med verkligheten förefaller kartan vinna över verkligheten. Riksarkivet säger även på sina ställen att man jämställer arkivförteckning (som endast ska innehålla allmänna handlingar) och dokumenthanteringsplan:

Här hittar du svar på frågor som rör den andra delen av arkivredovisningen, den som beskriver vilken information som uppstår i myndighetens verksamhet och hur informationen förvaras. Traditionellt kallas denna redovisning för arkivförteckning eller dokumenthanteringsplan. De element som förekommer här är handlingsslag och handlingstyper samt förvaringsenheter.

Det finns också ofta en stark vilja att göra så litet information som möjligt till allmänna handlingar eftersom det uppfattas som negativt att allmänheten ska få tillgång till information som myndigheten vill ha för sig själv. Det kan både ske genom att man kallar information för ”arbetsmaterial” eller genom att man försöker dra ut på statusförändringen till allmän handling genom att kräva exempelvis att ett ”ärende” (detta fullständigt intetsägande begrepp i de flesta icke-exekutiva verksamheter) ska vara avslutat innan en enskild handling blir allmän.

Sammantaget menar jag att juridifieringen av arkivbegreppet, förutom att leda till att många arkivarier uppträder som någon slags barfotajurister istället för informationshanterare, får effekten att en stor diskrepans uppstår mellan det verkliga arkivet och det som kallas myndighetens arkiv. Med detta verkliga arkivet menar jag den information som myndigheten faktiskt använder för att bedriva sin verksamhet och som arkivteoretiskt borde ses som ”arkivet”. Jag tycker att arkivariekåren och arkivväsendet här sviker sin uppgift eftersom väsentlig information och väsentliga sammanhang här förloras.

Den andra frågan jag tänkte ta upp är gallring. Ingen vettig människa kan idag bortse från att det är ett stort problem att mängden information växer exponentiellt. Konsekvenserna blir bristande sökbarhet, bristande integritet, arbetsmiljöproblem, säkerhetsproblem eftersom det inte går att styra dessa gigantiska informationsmängder och faktiskt i slutändan ett miljöproblem. Arkivariens andra huvuduppgift måste därför att på ett professionellt sätt göra gallringsutredningar och sedan se till att information försvinner. Men trots att det i arkivlagen uttryckligen står att allmänna handlingar får gallras så sker detta inte alls med den fermitet som vore nödvändig, kanske beroende på att många arkivarier räds uppgiften och att det på olika sätt sägs att huvudregeln är att alla allmänna handlingar ska bevaras… Det finns också strukturella problem som att myndigheterna inte är sina egna arkivmyndigheter utan måste vänta på att Riksarkivet fattar gallringsbeslutet. Det mest utarbetade stödet för gallring som Riksarkivet tillhandahåller är såvitt jag kan se från 1999.

Även vad gäller gallring leder den ovan beskrivna juridifieringen till principiella problem med mycket stora konsekvenser. Gallring innebär att allmänna handlingar destrueras, när arbetsmaterial förstörs kallas det rensning. Om dokumenthanterings- och gallringsplaner endast omfattar allmänna handlingar innebär det att det i varje myndighet och kommun finns stora mängder av information där styrning saknas och där informationen inte ens är identifierad. Detta hävdar jag är det reella läget vilket är högst bekymmersamt inte minst ur säkerhetssynpunkt där kontroll av informationen är a och o.

Punkt tre på dagens lista (ja, jag hotar med att komma tillbaka till ämnet) är otidsenligheten och bristen på strategi i arkivområdet. Som ändå hyfsat insatt kan jag inte utläsa vad Riksarkivets strategi för långtidsbevarandet är mer än att man gör allt för att statliga myndigheter inte ska komma och försöka dumpa sina arkiv:

  • Leveranser bör inte innehålla handlingar yngre än 10 år. Leveranser med handlingar 10–20 år gamla övervägs särskilt noga med hänsyn till frekvens, sekretesstyngd och andra handläggningsfrågor.

  • Leverans från en och samma arkivbildare bör inte ske tätare än vart tionde år vad gäller pappershandlingar. Digitalt material bedöms utifrån egna, specifika förutsättningar.

På något sätt tycks man helt leva kvar i en pappersverklighet där arkivhandlingar inte fick levereras förrän efter 50 år och då helst inbundna. I en digital verklighet skulle vore den mest rimliga lösningar att man genom tydlig styrning överförde den information som ska bevaras för framtiden till Riksarkivet i samma stund som den skapas. Naturligtvis skulle detta kräva en massiv höjning av informationssäkerheten i Riksarkivets lagring och kommunikation men det skulle samtidigt vara den mest rationella hanteringen av en digital arkivbildning.

Det är möjligt att Riksarkivet har en mängd spännande strategiska diskussioner men dessa måste i så fall föras ut till de myndigheter och kommuner som idag sliter sitt hår och försöka räkna ut vad som förväntas att de ska göra. Och, don´t get me started, det handlar inte om de s.k. e-arkiv som nu försäljs.

Förhoppningsvis kan en klok översyn leda till att desorienteringens dimmor litet börjar upplösas och att en riktning tas ut.

Frånvaron av den goda offentlighetsstrukturen

Den goda offentlighetsstrukturen, eller bristen på sådan, är värd ett blogginlägg till. För att sammanfatta mitt förra inlägg så är det inte bara kraven i OSL som gör att offentlighetsstrukturen inom myndigheter, kommuner och landsting bör prioriteras. Den transparens som ingen politiker, högre tjänsteman eller konsult någonsin missar att närmast religiöst lyfta fram på konferenser och i strategier som en förutsättning för en fungerande demokrati borde innebära att insyn är en central fråga.

Ett annat högaktuellt skäl är att god tillgång till korrekt information från källan är ett av de mest verksamma sätten att bekämpa den farsot av informationspåverkan som bedrivs av både politiska och kommersiella intressen.

Ytterligare en anledning som kanske är mer av motiverande karaktär är att om kravet på systematik och sökbarhet i informationshanteringen (som en god offentlighetsstruktur förutsätter)  realiseras skulle det innebära enorma effektivitetsvinster för den offentliga förvaltningen. Då skulle ju nämligen även medarbetarna på myndigheten eller i kommunen helt plötsligt få arbetsverktyg och en överblick som är  revolutionerande jämfört med i dag. Något som borde ligga helt i linje med de officiella digitaliseringssträvandena. I en kommentar till mitt förra blogginlägg i frågan framkom också att myndigheter ibland får anlita konsulter för att söka fram allmänna handlingar hos andra myndigheter, ett tydligt tecken på bristande insynsmöjligheter även mellan myndigheter.

Trots alla dessa goda anledningar i heta områden är ändå inte offentlighetsstrukturen god och de finns få indicier på att andra än enstaka torra bloggare intresserar sig för frågan. Och när man ändå närmar sig frågan så fastnar man i diarieföringen vilket jag ser som den återvändsgränd vi sprungit i sedan 1970-talet utan att någonsin bromsa in och fundera vad vi håller på med.

Innan jag tittar vidare på några myndigheters mer eller mindre ambitiösa insatser på området ska jag därför skriva litet om diarieföring som fenomen och dess roll som ett klent substitut för en god offentlighetsstruktur. Vad som måste noteras är att det inte finns någon skyldighet för myndigheter att diarieföra information utan skyldigheten är att allmänna handlingar ska vara registrerade. Däremot är kravet på god offentlighetsstruktur obligatoriskt. Varför är det här intressant? Jo, därför att diarieföring inte på något sätt borgar för en god offentlighetsstruktur – snarare tvärtom. Diarieföring är från början ett sätt att dagligen lista in- och utgående korrespondens (därav ordet diarium som litet slarvigt kan översättas som ”dagbok”). Sedan medeltiden och ännu tidigare har detta varit ett sätt för hov, kyrkliga institutioner och en begynnande förvaltning att hålla ordning på korrespondensen. I Sverige finns exempel från bruk och proto-industri där man redan tidigt började föra diarium – eftersom jag ordnade arkivet minns jag med särskild kärlek Långvinds bruk och dess diarium från 1600-talet.

Problemet är bara att diarieföringen sedan 1600-talet inte på något sätt utvecklats i samma takt som övrig informationshantering utan utgör en slags museal kvarleva i dagens förvaltning. Trots att myndigheter har både en och två registratorer (även kommuner och landsting) så ger inte diarieföring vare sig insyn utifrån eller möjlighet till styrning av informationshanteringen internt i myndigheten. Ingen tycks heller ställa krav på att det ska kunna gå att söka information eller registrera den utan personlig hjälp av en registrator. Att diariet omfattar endast en bråkdel av de allmänna handlingar som finns i myndigheten (d.v.s. att endast vissa typer av korrespondens samt dokument som ser ut som pappershandlingar) verkar inte heller väcka oro. Istället lever diarieföringen kvar som en ritual som blir allt mer tom år för år. Fossiliseringen har pågått under årtionden vilket också visar sig vid en snabb sökning på Libris. Sökningen renderar inte i en enda längre text som på djupet analyserar hur diarieföring i traditionell utformning skulle kunna ersättas av sökverktyg som bättre uppfyller andemening i OSL de senaste 30 åren.  En DIVA-sökning är ungefär lika nedslående.

 

 

Diarieföringen sker idag med en stor arbetsinsats och i it-system som utformats för att i mesta mån efterlikna papperskartotek och slippar i tre färger. Det finns ingen formell utbildning till registrator (Mitthögskolan har haft enstaka kurser på arkivutbildningen) utan detta är ett yrke som traderats från kvinna till kvinna och idag är mer en konstform än en funktionell sökfunktion. Det räcker att titta på sökmöjligheten som erbjuds i ett diarieföringssystem för att förstå hur lång bort från en Google-sökning vi är och vilken omöjlig nivå av förförståelse som krävs för att göra en sökning ens inom en myndighet.

För att ge ytterligare ett par exempel på hur det i realiteten ser ut för den som söker på en myndighets webbplats och vill ha insyn, inte bara tillgång till tjänster, så ska jag här beskriva ett par myndigheter som borde ha särskilt intresse för de här frågorna.

Lantmäteriet

Lantmäteriet har varit mycket framgångsrika när det gäller digitalisering och öppna data. När jag gnällt över att öppna data (som ju är näringsinriktade tjänster) prioriterats framför insyn ur ett demokratiskt perspektiv har jag ibland fått det lugnande beskedet att de två frågorna hänger ihop. Den myndighet som satsar ambitiöst på öppna data kommer att vara lika ambitiös när det kommer till insynsperspektivet har varit tanken. Men stämmer det i verkligheten?

Lantmäteriet har visserligen en lockande flik under Om oss som heter Diariet och informationsredovisning. Kan man bli annat än sugen på att kika in där? Under Informationsredovisning  finns en redovisning över olika hjälpmedel som används inom Lantmäteriet som t.ex.:

Informationshanteringsplan, som innehåller upp
gifter hämtade från Arkivförteckningen. Denna sammanställs som ett stöd till verksamheten. Planen beskriver verksamhetens processer och dess handlingstyper. För varje handlingstyp finns beskrivande och styrande information som t ex format, gallring, lagring och förvaring.

Den skulle jag gärna vilja ta del eftersom den ju vore en första ingång för att förstå vilken information som Lantmäteriets processer hanterar. Detta verkar dock bara vara en teaser för planen är inte tillgänglig på webben och det finns heller ingen hänvisning till hur jag skulle kunna ta del av den. Däremot kan jag klicka mig i in informationsredovisningsverktyget Klara där jag kan få ta del av

Historik och information om Lantmäteriets föregångare hittas i informationsredovisningsprogrammet Klara på respektive arkivbildare.

Det är alltså själva arkivredovisningarna som ligger här. Märkligt nog är även det nya materialet ordnat enligt allmänna arkivschemat framtaget 1903 och sammantaget är detta inte ett sätt att presentera information för målgrupper utanför den snäva arkivariekretsen. För att ändå vara någorlunda rättvis kan  en högmotiverad utomstående få ett visst grepp om det historiska materialet men knappast en insyn i dagens verksamhet.

Att det står Diariet och informationsredovisning är missvisande; något diarium kan jag inte hitta utan vad som gäller är att ta personlig kontakt med registratorerna om man inte söker remisser och remissvar samt rapporter som presenteras under egna flikar.

Sammantaget är bedömningen att Lantmäteriet möjligen har en halvgod offentlighetsstruktur när det gäller arkivbildningen men knappast när det gäller pågående verksamhet. Tesen att en satsning på öppna data med automatik leder till samma engagemang i insynsfrågor finner inte särskilt mycket stöd här.

MSB

Det är kanske litet dumt att titta på en myndighet där jag själv arbetat eftersom jag då har en betydligt bättre förförståelse än den vanlige invånaren. Men eftersom MSB har en roll gällande psykologisk försvar (oklart exakt vilken) och i att motverka informationspåverkan tycker jag det är intressant att se om och hur myndigheten själv understödjer källkritik med en god offentlighetsstruktur.

Tyvärr finns inte ens ett diarium tillgängligt (remisser och remissvar finns utlagda). Tanken verkar vara att man ska ringa eller maila registraturen. Med min ”lokalkännedom” uppfattar jag det som att MSB:s webbplats är tämligen orörd sedan myndighetens tillblivelse 2009. Om något ska göras åt detta jungfruliga tillstånd bör en god offentlighetsstrukturen vara ett centralt mål med tanke på de budskap som lämnas till externa parter om vikten av källkritik.

Efter detta tappar jag litet motivationen att närgranska fler myndigheters webbplatser. Jag bläddrar igenom eSams övriga medlemmar, d.v.s. myndigheter som uttryckt ett stort intresse för digitalisering: Migrationsverket, Statens Servicecenter, Arbetsförmedlingen, Kronofogden…  Det ser ungefär likadant ut hos de flesta, i korthet hänvisar man till att ta kontakt med registrator. Det verkar ha formats en icke-uttalad standard för hur liten ansträngning myndigheter tillåts göra för att skapa insyn.

För mig är det förvånande att omvärlden, och då kanske allra mest journalister, finner sig i den dåliga insynen i myndigheters verksamhet och att kritiken som riktas då riktas nästan enbart mot bristande diarieföring och rutiner för utlämnande. Exempel på detta är när Peter Wolodarski idag (15 oktober) riktar en helsida med i och för sig mycket välmotiverad kritik mot UD för att man tar alldeles för lång tid på sig att lämna ut handlingar. Wolodarski utvecklar den kritik som redan framförts av JO om brister i diarieföring och utlämnande. Självklart är detta brister som måste tas på stort allvar och i sitt svar på Facebook säger Margot Wallström att hon ska göra det:

I DN i dag den 15 oktober tar Peter Wolodarski upp de anmärkningar som Utrikesdepartementet fått från Justitieombudsmannen för att inte skyndsamt nog ha lämnat ut information om mejl om Sveriges kampanj till FN:s säkerhetsråd.

Det ska inte råda något tvivel om att jag delar Wolodarskis syn på värdet i offentlighetsprincipen. Öppenhet och transparens är värden som Sverige förknippas med och främjar över hela världen.

I det aktuella fallet begärdes information om drygt 74 000 mejl ut. För vart och ett måste vi ta ställning till om någon uppgift omfattas av sekretess i enlighet med offentlighets- och sekretesslagen. Det är ingen liten uppgift: grovt skattat bedöms detta ärende ta ungefär ett och ett halvt års arbetstid.

JO bedömer att UD inte har handlagt ärendet tillräckligt skyndsamt. I vissa fall har UD, enligt JO, inte heller tagit ställning löpande till registrering av mejl i ärendet. Som departementschef för UD ser jag allvarligt på JO:s anmärkningar. UD har sedan år 2014 sett över och förändrat rutinerna för hur vi hanterar utlämning av handlingar. Förfrågningar om att få ta del av allmänna handlingar är arbetsuppgifter som ska hanteras skyndsamt och gå före annan verksamhet, och vi tillsätter extra resurser vid arbetstoppar. Vi fortsätter nu vårt arbete för att förbättra dessa rutiner

Men även om diarieföringen och utlämnandet skulle fungera oklanderligt enligt de normer som gäller idag menar jag att detta inte på något sätt är tillräckligt för att skapa en god offentlighetsstruktur på det sätt som OSL kräver, bl.a:

2 § Varje myndighet ska upprätta en beskrivning som ger information om
1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar,
2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar,
3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar,

Jag hävdar att det med dagens teknik är fullt möjligt att ge offentlighetsprincipen ett reellt innehåll, ge insyn, ge möjlighet till förståelse för vilken information som finns och ge tillgång till allmänna handlingar utan onödiga dröjsmål. Men istället för god offentlighetsstruktur fortsätter vi med en fullständigt obsolet diarieföring.

Varför nöjer vi oss med så litet?  Varför låter vi inte digitaliseringens omvandlande kraft användas här där det är så angeläget?

Test: Offentlighetsstrukturen hos tre myndigheter

I dessa dagar då vikten av att kunna gå till källan för att kontrollera fakta har blivit alltmer uppenbar borde offentlighetsprincipen lyfts fram som den nationalklenod den är bara av det skälet. Så är inte fallet vad jag kan se, trots 250-årsjubileet förra året. I så fall skulle den exempelvis haft en central plats i den nationella digitala strategin men avsnittet Demokratin värnas i digitala miljöer som börjar bra med

Digitalisering bidrar till att skapa förutsättningar för ett öppet och inkluderande demokratiskt samhälle med goda möjligheter att uttrycka och sprida åsikter, idéer och information.

utmynnar endast i förslag rörande medier. Ord som insyn och offentlighetsprincip förekommer överhuvudtaget inte i strategin.

 Tråkigt tycker jag, särskilt med tanke på att insikten om insynens betydelse för ett väl fungerande samhälle fanns (i alla fall med hjälp av vissa politiska påtryckningar) till och med hos Adolf Fredrik (på bilden ovan) som annars mest intresserade sig för att svarva snusdosor. Han undertecknade 1766 lagtexten som motiverade offentlighetsprincipen med:

”Att vi eftersinnat den stora båtnad allmänheten av en rättskaffens skriv- och tryckfrihet tillflyter i det en obehindrad inbördes upplysning uti varjehanda nyttiga ämnen icke allenast länder till vetenskapers och goda slöjders uppodling och utspridande, utan ock gifver en hvar af undersåtarne ymnigare tillfälle att dess bättre känna och värdera ett visligen inrättadt regerings-sätt; ävensom ock denna frihet bör anses för ett af de bästa hjälpmedel till sedernas förbättring och laglydnadens befrämjande, då missbruk och olagligheter genom trycket bliva för allmänhetens ögon ådagalagda.”

 

Dagens ministrar är knappast distraherade av att svarva snusdosor, ändå missas hur gynnsamt insyn är för samhället i de förvaltningspolitiska utspelen.

Men trots allt är ju faktiskt offentlighetsprincipen, om än undanskymt, fortfarande det som gäller för myndigheter, landsting och kommuner. I en digital verklighet skulle också själva innebörden av principen kunna förverkligas, långt bortom tunga ritualer bland uråldriga diarieföringsprinciper och pappershantering. En positiv bieffekt av en mer digital och utvecklad tillämpning är att det också skulle kunna leda till ett indirekt försvar av offentlighetsprincipen som nu ibland ifrågasätts av att den kan vara administrativt tyngande för vissa verksamheter. Det är naturligtvis ett orimligt argument men med en smidigare hantering skulle det återkommande ifrågasättande av enskildas möjlighet till insyn kunna reduceras så att det inte längre utgör ett hot.

I ett tidigare blogginlägg har jag skrivit om behovet av att utveckla offentlighetsprincipen och Peter Seipels viktiga text om de olika tolkningar som är möjliga. Som jag ser det finns det både ett mycket stort behov av att utveckla offentlighetsprincipen samtidigt som möjligheterna att göra det i princip är oändliga. Det som avgör är enbart om det finns en vilja att förbättra insynen eller inte. Att döma av de insatser som hittills gjorts av regeringar oavsett färg de senaste decennierna, då frågor som 24-timmarsmyndigheter, e-förvaltning och digitalisering varit ständigt prioriterade, är viljan inte besvärande intensiv. Faktiskt knappt synlig.

För att inte bara fördomsfullt anta saker har jag gjort ett litet test av nuläget. Offentlighetsprincipen innebär inte enbart att man kan begära ut allmänna handlingar. Myndigheten ska underlätta för den intresserade att få insyn i själva handlingarna men inte bara det; man ska även ha en så kallad god offentlighetsstruktur. Detta beskrivs i offentlighets- och sekretesslagen (OSL) 4 kap. Allmänna åtgärder för att underlätta sökande efter allmänna handlingar, m.m. där det särskilt betonas att en myndighet särskilt ska beakta att enskilda bör ges goda möjligheter att söka allmänna handlingar samt:

Beskrivning av en myndighets allmänna handlingar

2 § Varje myndighet ska upprätta en beskrivning som ger information om
1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar,
2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar,
3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar,
4. vem hos myndigheten som kan lämna närmare upplysningar om myndighetens allmänna handlingar, deras användning och sökmöjligheter,
5. vilka bestämmelser om sekretess som myndigheten vanligen tillämpar på uppgifter i sina handlingar,
6. uppgifter som myndigheten regelbundet hämtar från eller lämnar till andra samt hur och när detta sker, och
7. myndighetens rätt till försäljning av personuppgifter.

 

Vad är då rimliga förväntningar på god offentlighetsstruktur idag om man redan 1766 beslutade följande:

”och bör till den ändan uti alla arkiver fri tillgång lämnas att sådana handlingar få avskriva på platsen eller utbekomma i bevittnad avskrift och det vid samma tjänsteansvar som nyss nämnts”

Själv tycker jag att det är en miniminivå utifrån OSL:s krav i ett digitalt Sverige att myndigheters webbplatser ska vara ingången för den enskilde att söka information inte bara om myndighetens tjänster utan om vilka allmänna handlingar som finns i myndigheten. Det bör alltså finnas en beskrivning av myndighetens processer och den information som genereras ur dessa processer alternativt stödjer processerna. Eftersom myndigheter ändå enligt en föreskrift sedan 2008 är skyldiga att ha en processorienterad arkivredovisning borde inte detta vara ett ohemult krav. Sättet att beskriva verksamheten och informationen måste självklart vara så att en utomstående kan förstå den utan att ha kontakt med myndighetens personal, typ registratorer. Det är viktigt att understryka att det inte går att begränsa sig till vilka handlingar som finns registrerade i diariet vilket ju naturligtvis är en bråkdel av alla de allmänna handlingar som finns i myndigheternas it-tjänster och -system. Inte heller kan offentlighetsstrukturen sägas gälla de tjänster som en myndighet har i förhållande till allmänheten – insynen måste riktas främst mot myndighetens egen verksamhet om den ska tjäna de syften som uppställts.

Som utomstående bör jag också ha möjlighet att söka på och identifiera enskilda allmänna handlingar, även detta utan att behöva ta kontakt med myndigheten. Myndigheten bör också i detta sammanhang kunna redovisa väsentliga uppgifter som om på vilket sätt personuppgifter kan ingå i olika handlingar och vilka gallringsbeslut som fattats om olika informationsmängder.

Slutligen bör jag kunna ta del av handlingarna digitalt. Inte heller detta gäller endast de handlingar som finns i diariet utan samtliga allmänna handlingar. En sekretessprövning måste i många fall ske innan utlämnandet men även detta är en rutin som borde kunna effektiviseras och där de handlingar som per definition är offentliga ligger tillgängliga för nedladdning. Så är ju redan fallet med protokoll m.m. från de politiska församlingarna i kommunerna.

För att göra en liten temperaturmätning har jag formulerat, i mitt tycke, tre rimliga frågor för test på några myndigheter/kommuner för att se hur utvecklad deras offentlighetsstruktur är:

  1. Får jag en beskrivning av verksamheten och av de allmänna handlingar som är kopplade till myndighetens processer?
  2. Kan jag själv söka och identifiera enskilda allmänna handlingar?
  3. Kan jag ta del av handlingarna digitalt?

För att börja uppifrån tänkte jag i det här blogginlägget börja med några centrala myndigheter. Med avsikt avstår jag från att testa regeringens hemsida eftersom jag redan tillbringat mycket tid med att snurra runt på den för att söka information – sällan med önskat resultat. Istället tänkte jag titta på några myndigheter som har uppdrag så att de skulle kunna påverka offentlighetsstrukturen hos andra myndigheter alternativt varit delaktiga i nationella digitaliseringsaktiviteter.

Riksarkivet

Riksarkivet har vid sidan om uppdraget om det långsiktiga bevarandet också gett ut föreskrifter om bland annat arkivredovisning vilket är grunden för hur myndighetens allmänna handlingar redovisas. Myndigheten har även ingått i E-delegationen och där haft uppdrag bland annat att genomföra projekt om e-diarium. Riksarkivet har sedan den 1 juli år 2016 i uppdrag att främja arbetet med att tillgängliggöra information och öppna data från statliga myndigheter. Detta är ett axplock av Riksarkivets aktiviteter på området vilket skulle föranleda en att tro att myndighetens egen offentlighetsstruktur är väl utvecklad.

startsidan  finns ingenting som leder en besökare intresserad av Riksarkivets verksamhet och de allmänna handlingar som stödjer den. Jag går via Om Riksarkivet vidare till Om oss och kan då gå in på fliken Organisation som visare den traditionella matrisbilden. Organisationen beskrivs också i fyra ”processområden” vilket känns något motstridigt som begrepp men ger en ganska tydlig bild av vad man sysslar med. Däremot saknas helt uppgifter om vilken information som stödjer processerna.

Jag gör en sökning på diarium för att kanske hitta myndighetens diarium så att jag åtminstone kan se vilka allmänna handlingar som är diarieförda men får då 202 träffar som handlar om olika projekt som Riksarkivet deltagit i för att bland annat utveckla e-diarium. En träff känns aningen ironisk: en nyhetsnotis om en rapport där Riksarkivet framhåller de enorma samhällsvinster som skulle kunna göras med e-diarium och e-arkiv. Det är möjligt att de bland de 202 träffarna döljer sig något litet myndighetsdiarium som jag inte upptäckte när jag skummade igenom söklistan men då är det så väl dolt att i praktiken inte är sökbart.

Vad jag kan se är de enda allmänna handlingar som identifierade, sökbara och även möjliga att ta del av digitalt de remissvar som Riksarkivet skrivit. Det är svårt att säga något annat att det är ett klent resultat för en myndighet som borde hålla fanan högt för en god offentlighetsstruktur.

Pensionsmyndigheten

Pensionsmyndigheten är en stor myndighet och har också varit involverad i flertalet mer eller mindre lösa organisationer inom digitaliseringsområdet som exempelvis E-delegationen. Myndigheten är nu hemvist för eSam, ett medlemsdrivet program för samverkan mellan 21 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.

På Pensionsmyndighetens webbplats finns betydligt mer av den information jag söker än hos Riksarkivet. Från första sidan kan jag gå in via Om oss och klicka vidare till en föredömligt tydlig box: Lagar, regler och allmänna handlingar. Här finns en länk till en arkivbeskrivning i pdf-format som också ger exempel på handlingar som används i olika ärendeslag/processer. Arkivbeskrivningen redovisar också sökverktyg som finns samt Pensionsmyndighetens gallringsregler. Exemplariskt ur arkivariesynpunkt men sannolikt svårt att koppla informationen till en enskild handling som önskar göra det; t.ex. för att begära ut en enskild handling eller försöka se om en handling som man vill ta del av kommer att gallras.

Dessutom finns ett e-diarium som lider av den svaghet som alla andra diarier har, nämligen att man måste vara registrator för att kunna använda det som söksystem. Heliga åtgärder som att man måste lägga in datum för att kunna få fram resultat är en avgörande nackdel för den som är van att googla men så är inte heller diarieföringssystemen utformade för att ge bredare allmänhet sökmöjligheter.  Eftersom det saknas fritextsökning måste den som söker ha mycket hög grad av förförståelse för att kunna göra en lyckad sökning. Här måste jag veta vilken typ av ärende som Pensionsmyndigheten anser att en handling ingår i eller vem som är ”motpart” för att kunna göra en sökning. När jag skriver in ”digitalisering” får jag exempelvis fram enbart två handlingar eftersom det är de enda handlingar (gissar jag) som har ”digitalisering” i rubriken. Det saknas alltså metadatahantering vilket leder till att en myndighet som har haft väldigt många fingrar i digitaliseringsburken ändå via sitt diarium framstår som helt utanför. Den instruktion till diariet som presenteras visar väl litet på svårigheterna:

Så söker du i e-diariet

  • Ange namn på ett ärende eller motpart. Du kan skriva in hela eller delar av namnet.

  • Du kan söka ärenden inom olika verksamhetsområden.

  • Du kan söka bland pågående ärenden, avslutade ärenden eller alla ärenden.

  • Ett ärende-ID består av ett prefix (till exempel VER), årtal och löpnummer och skrivs på följande sätt: VER 2010-2.

  • Via datumfälten anger du vilket datumintervall sökningen ska göras inom.

  • Sökresultatet sorteras efter datum som du själv kan sortera på.

 

Man kan också gå in via Senast diarieförda handlingar som redovisar diarienummer, ärenderubrik och datum för handlingar som diarieförts de senaste sju dagarna. Även här krävs ofta en hög grad av förförståelse för att kunna tillgodogöra sig informationen och handlingarna är inte läsbara i sig en när de är uppenbart offentliga.

Sammantaget har Pensionsmyndigheten gjort en stark ansats för att få en god offentlighetsstruktur men fortfarande känns det som att det är starkt inifrån-och-ut-perspektiv som präglat det som gjorts. De är olika delar som satts ihop utan att en riktig synergi uppstått och e-diariet som är den enda egentliga sökmöjligheten är dels inte ett fungerande sökverktyg för en utomstående, dels innehåller det endast begränsade delar av de allmänna handlingar som finns inom myndigheten. Det går inte heller att förstå var det förekommer personuppgifter eller vilka handlingar som gallras när.

ESV

En annan viktig myndighet i digitaliseringsbranschen är ESV som ska stödja regeringen och Regeringskansliet med att ta ett helhetsgrepp om digitaliseringen och driva utvecklingen framåt, tillsammans med myndigheterna. Bland annat genom att analysera den offentliga sektorns digitalisering, följa myndigheternas it-användning, utveckla metodstöd och ge stöd inom nyttorealisering. Det är också ett uppdrag som förpliktigar och där ambitionen för den egna verksamhetens digitala hantering borde finnas.

Att döma av ESV:s webbplats ligger myndigheten tyvärr på samma nivå som Riksarkivet med enbart remissvar som tillgängliga allmänna handlingar.

Genomgången av de tre myndigheterna gav inte ett positivt resultat. Jag kan ana flera bakomliggande orsakerna till det dåliga utfallet som inte är knutet till de enskilda myndigheterna utan snarare är generella. Det främsta skälet tror jag är att offentlighetsprincipen obekväm. Bara häromdagen hörde jag en statlig tjänsteman till synes obrydd förklara att hen inte brydde sig om att diarieföra handlingar eftersom det var så jobbigt när utomstående började ringa och fråga om ärendet. Men det obekväma ligger också på en helt annan nivå, kunskap är makt och en tämligen oproblematisk hypotes är att den som har makt gärna vill ha kvar den orubbad. Kanske är det därför det finns så få högljudda förespråkare för verklig insyn bland högre tjänstemän och politiker. En annan orsak är den rådande förvaltningsfilosofin som är och under en längre tid har varit starkt influerad av New Public Management där offentlig sektor ses i huvudsak som en tjänsteleverantör bland andra. Eftersom denna trend har varit i princip synkroniserad med digitaliseringen har demokrati- och insynsaspekter varit kraftfullt nedprioriterade. Ett tredje skäl kan vara den bristande styrning myndigheter internt har av sin informationshantering. Min erfarenhet är att många myndigheter inte styr sin informationsförsörjning på ett systematiskt sätt och därmed kan man inte heller presentera den på ett begripligt sätt utåt. Sannolikt är den bristande sökbarheten och den fragmentariska beskrivningen den samma inifrån som utifrån, något som inte gynnar verksamheter som är helt beroende av sin informationsförsörjning.  Sammantaget finns allt att vinna på att ägna sig åt att utveckla den goda offentlighetsstrukturen vilket alldeles särskilt bör gälla de myndigheter som i någon mån ska utgöra föregångare för andra.

Jag tar gärna emot synpunkter på det jag nu skrivit, om det är missvisande, har felaktiga utgångspunkter eller om jag missat något på de webbplatser jag gått in på.

Hallå – vem är det jag talar med?

Jag satt egentligen och skrev om förslaget till ny säkerhetsskyddslag. Den är en uppgift som kräver sin kvinna och man unnar sig kanske en stund av rekreerande slösurfande emellanåt. Twitter är den digitala motsvarigheten till lösgodis fast mer irriterande och nu har jag börjat observera ett ”nytt” irriterande fenomen. Det kan tyckas som en struntsak men ju mer jag tänker på det så är det inte det. Jag menar de offentliga chefer som skriver på Twitter och andra sociala medier med twitterbiografier som ”Enhetschef på myndigheten X men twittrar som privatperson” eller ”Avdelningschef på myndigheten Y men tweetsen är mina egna”. Sedan fylls deras flöden av myndighetsmeddelanden, bilder på dem själva i olika myndighetssammanhang samt inte minst en massa åsikter i frågor relaterade till deras myndighetsutövning.

På en nivå är jag beredd att utbrista ”skaffa dig ett liv” – om man som privatperson är fullkomligt besatt av sitt jobb mår man nog inte så bra. Men naturligtvis är det inte så att de här cheferna egentligen agerar som privatpersoner utan som en del i sin yrkesroll, i vissa fall uppmuntrat av arbetsgivaren. Många myndigheter tycks se det som ett egenvärde att enskilda tjänstemän är synliga i sociala medier, litet oklart varför om ni frågar mig.

Men om nu myndighetsledningen tycker det är bra att cheferna i verksamheten är ute och visar sig i sociala medier varför gör de då inte officiellt som myndighetsföreträdare utan som ”privatpersoner”? Jag kan bara se två skäl till detta vilka båda rimmar illa med svensk förvaltningstradition och med de förväntningar som medborgare har rätt att ha i förhållande till sina myndigheter.

Det första är att man vill slingra sig undan offentlighetsprincipen. Teorin är att om man skriver om myndighetens verksamhet som privatperson som kommer inte vare sig tweets man själv skriver eller tweets som riktas till en att räknas som allmänna handlingar. Ursprungligen var nog skälet att det är litet knöligt att diarieföra och lagra tweets och att det därför är frestande att komma på kreativa lösningar för att undvika det. Men jag tror att det numera, vid sidan om en administrativ slapphet, skapats en mystisk frizon där även generaldirektörer gör uttalande i sakfrågor blandat med kommentarer om fotboll. Rent strikt betraktas information kopplat till myndighetens ärenden som allmänna handlingar oavsett om de kommer in eller skickas ut i form av flaskpost eller twitter men detta tycks ha kommit bort i den allmänna villervallan. Den bristande kontrollen över myndighetens information liksom att lagar inte efterlevs är frågor av vikt i ett informationssäkerhetsperspektiv.

Allvarligare är kanske ändå det andra, möjligen outtalade skälet, till att chefer släpper loss i sociala medier förklädda till privatpersoner. För att ta ett axplock har jag sett personer i chefspositioner eller motsvarande: retweeta opinionsbildare inom det egna myndighetsområdet med starkt berömmande ord, retweeta rapporter med klart tvivelaktigt vetenskapligt värde med lika berömmande ord, upprört kritisera regeringen för att den egna verksamheten (d.v.s. myndighetens, inte privatpersonens) fått för litet medel samt i förklenande ordalag beskrivit enskilda folkvalda. Intrycket är i många fall att myndigheterna bedriver lobbyverksamhet genom sina ”privata” chefer som i sin tur retweetar opinionsbildare som ställföreträdande kommunikatörer av myndighetens linjer. Med tanke på att de retweetade opinionsbildarna inte är särskilt nyanserade i sina åsikter rör sig intrycket av myndigheten allt längre från det litet gråa men förtroendeingivande till en hetsig åsiktsförmedlare.

Det måste understrykas att jag inte på något sätt vill minska offentligt anställdas möjligheter att uttrycka åsikter, delta i den allmänna debatten eller vara politiskt aktiva. Snarare tvärtom, jag tycker att det vore högst önskvärt att fler människor på olika sätt är engagerade i samhället. Vad jag vänder mig emot är att offentligt anställda chefer opinionsbildar inom sina egna verksamhetsområden och därmed skapar en flytande gräns mellan å ena intresse- och lobbygrupper och å andra sidan myndigheten. Kalla mig konservativ men det är ett faktum att svenska tjänstemän inte är politiskt tillsatta och ska inte politisera myndigheternas verksamhet på det sätt som jag menar att ovanstående tweets är exempel på. Tjänstemannen får inte heller förväxlas med privatpersonen eftersom det skapar förvirring och minskar förtroendet för myndigheterna. Och, inte minst, när nu betydelsen av källkritik och av att kunna identifiera vem som står bakom ett budskap förefaller det orimligt att myndigheter agerar som så dåliga exempel.

Tema e-demokrati: Låt inte Öppna data skymma offentlighetsprincipen

Insynen i den offentliga verksamheten och tillgången till allmänna handlingar gynnar medborgarens individuella rättssäkerhet liksom medborgarens kontroll över de offentliga institutionernas funktion. Dessutom, vilket känns alltmer betydelsefullt, kan tillgången till allmänna handlingar göra att det offentliga samtalet har stöd i relevanta fakta och gemensam kunskap. Sammantaget finns det alltså alla skäl till att se den svenska offentlighetsprincipen, med den unika rätt den ger medborgarna till insyn, som en oskattbar tillgång för demokratiutveckling. Att offentlighetsprincipen helt handlar om informationshantering borde ha lett till att den ägnats stort intresse i e-demokratisammanhang.

Nu för ju visserligen e-demokrati i sig en tynande tillvaro i digitaliseringssatsningarna men det är ändå häpnadsväckande att offentlighetsprincipen snarare motverkas än utvecklas. Departement, myndigheter och kommuner verkar alltför ofta göra sitt bästa för att undvika att lämna ut även den information som helt uppenbart är allmän och offentlig. KU och JO kritiserar departement och myndigheter för deras förhalande och försvårande av utlämningsärenden, utan synbarlig effekt. Det har gått så långt att det t.o.m. startats tjänster för att ge stöd för den som vill begära ut allmänna handlingar hos trilskande myndigheter  Offentlighetsprincipen inskränks också genom allt fler krav på sekretess, inte minst uppges ofta säkerhetsaspekter vara skälet till önskan om sekretess.

2 kap Tryckfrihetsförordningen (TF) handlar om allmänhetens rätt att ta del av allmänna handlingar. Det är en rättighet som lagstiftaren inser inte är så lätt att komma i åtnjutande av om medborgaren inte känner till vilken information som hen har rätt att del av. Förvaltningslagen innehåller därför krav gällande serviceskyldighet, tillgänglighet och öppenhet som tillsamman brukar kallas god offentlighetstruktur. Det betyder att departementet/myndigheten/kommunen inte bara ska ta ställning till de begärande om utlämning av allmänna handlingar som medborgare lyckas formulera på fri hand. Man ska också orientera medborgaren om vilka handlingar som finns och rimligen hur de är relaterade till verksamheten. Det ska vara möjligt för medborgaren att få en överblick över myndighetens information och vilka handlingar som skulle vara lämpliga att begära ut om man är intresserad av en viss fråga. Detta gäller naturligtvis även för den insyn som den granskande journalistiken behöver.

För c.a. 15 år sedan gjorde jag ett test av 20 kommuner, 20 landsting och 20 myndigheter för att se hur väl de levde upp till kravet på god offentlighetsstruktur. Resultatet var nedslående. Visserligen hade några lagt ut sina diarier på sin webbplats men eftersom diariesystemen är utformade för registratorer var de oanvändbara som sökverktyg även för mig som  är specialist inom området. De kräver en förförståelse för organisationen som ingen utomstående har, till exempel vilken organisatorisk enhet som hanterar en viss fråga, vad ärendetypen kallas, vad dokumenttypen kallas o.s.v. Min slutsats var att den goda offentlighetsstrukturen var obefintlig. Vid en stickprovskontroll i dag är läget i princip oförändrat. Gå in på valfri myndighet, landsting, region eller kommun och testa, de flesta är i nivå med regeringen själva där man efter mycket letande på webbplatsen kan komma fram hit ett dokument som mycket översiktligt beskriver handlingar som kan finnas. De myndigheter som häromveckan uppmanade till bättre källkritik kan inte heller ses som några föredömen då gäller att erbjuda allmänheten möjligheter att ta del av de allmänna handlingar som skulle kunna utgöra motvikt till falska nyheter. Goda undantag kan finnas som när kommuner gör en ansträngning för att ge insyn i nämnders beslutshandlingar, i övrigt är det ett tämligen kompakt mörker.

Tanken att digitaliseringen kan vara ett kraftfullt redskap för att utöka medborgarens möjlighet till insyn som fanns på 1970-talet har dött någonstans på vägen. Ända in i slutet av nittiotalet förekom i it-kommissionens hägn flera goda ansatser där jag särskilt vill lyfta fram Peter Seipels beskrivning av hur offentlighetsprincipen kan tolkas på ett minimalistiskt respektive ett maximalistiskt sätt.

Man kan urskilja tre olika slag av handlingsoffentlighet: ärendeinsyn, verksamhetsinsyn och kunskapsinsyn. Den första kategorin ger endast möjligheter till insyn i handlingar hänförliga till ett bestämt ärende. Sökanden måste kunna identifiera ärendet i fråga och de begärda handlingarna måste ha ett klart samband med detta. Principen kan tolkas olika snävt: vad som är ett ärende kan t.ex. uppfattas på olika vis och sambandet mellan handling och ärende kan vara av mer eller mindre formell art. Den andra kategorin ger en mer omfattande insyn och förutsätter inte att begärda handlingar har anknytning till något visst av sökanden identifierat ärende. Den begränsas av sitt syfte att ge möjligheter till inblick i myndigheternas verksamhet. Begränsningen kan t.ex. i praktiken utformas som en ändamålsprövning inriktad på att utlämnandet måste vara nödvändigt för att ge möjlighet att bedöma rättsenligheten och lämpligheten av myndighetens åtgärder. Den tredje kategorin innebär i sin mest extrema form att myndigheternas hela informationsinnehav skall stå till allmänhetens fria förfogande och lämnas ut i begärda urval och former. Informationsinnehavet betraktas som en gemensam tillgång som alla i samhället har varit med om att bygga upp och därför också bör få tillgodogöra sig.

Det innebär inte att han bortser från de intressekonflikter som en mer omfattande insyn för med sig:

Att en enskild önskar viss insyn i en myndighets verksamhet är inte detsamma som att myndigheten är intresserad av att ge sådan insyn. Snarare uppstår det ofta konflikter mellan önskemål om insyn och önskemål om insynsbegränsning. Det ligger i offentlighetsprincipens natur att ge upphov till sådana konflikter. De gäller inte bara den enskilde informationssökaren kontra den ”drabbade” myndigheten utan generellt, på samhällsnivå. En vidsträckt öppenhet har sina fördelar men också sitt pris.

Jag uppmuntrar alla att läsa Seipel och reflektera över insynens för- och nackdelar. Insynen är den korrigerande kraften som, förutom att skapa ett bättre offentligt samtal och medvetna medborgare, motverkar korruption och maktmissbruk. Borde inte detta vara oerhört angelägna frågor idag?

Trots digitaliseringens möjligheter finns det få tecken på att de tagits tillvara när det gäller att förbättra insynen i myndigheters verksamheter eller i olika beslutsprocesser. Senare års utredningar och andra nationella insatser som E-delegationen, Digitaliseringskommissionen, eSam och regeringens Vision ägnar inget intresse åt hur insynen skulle kunna förbättras. Istället lever vi kvar i den petrifierade diarieföringen omgiven av brusande internet där medborgarens möjlighet till insyn ständigt minskar istället för ökar.

Denna negativa utveckling skyms av de entusiastiska insatser som görs under beteckningen Öppna data som ibland framställs som relaterad till demokratiska värden. Att Öppna data skulle stärka demokratin är dock tveksamt. EU:s PSI-direktiv som blivit Lag (2010:566) om vidareutnyttjande av handlingar från den offentliga förvaltningen  har som sitt syfte att:

att främja utvecklingen av en informationsmarknad genom att underlätta enskildas användning av handlingar som tillhandahålls av myndigheter.

Öppna data handlar alltså om näringspolitik och inte om demokrati. Även om jag inte på något sätt vill nedvärdera betydelsen av näringspolitik skulle det i denna tid av ganska vinglig demokratisk utveckling sitta bra med en rejäl satsning på offentlighetsprincipen. Ardalan Shekarabis tillitsreform borde inte enbart sträcka sig till tilliten inom myndigheterna utan även omfatta tilliten till myndigheterna. Förbättrad insyn är kanske det mest verkningsfulla medlet för att förbättra tilliten till förvaltningen. Det är också dags att styra bort från New Public Management även i detta avseende och låta myndigheter vara något mer än bara tjänsteleverantörer. Mitt förslag är att Shekarabi och Alice Bah Kuhnke slår sig ihop, lyfter blicken från Öppna data och gör en långsiktig satsning på offentlighetsprincipen som en del av digitaliseringen.