Schrödingers information

På trettiotalet presenterade Erwin Schrödinger ett tankeexperiment som illustrerar en tänkt paradox där väldigt små fysikaliska partiklar kan befinna sig i ett så kallat överlagrat tillstånd. Konsekvensen av paradoxen är att en katt i ett slutet rum tillsammans med en instabil atomkärna skulle kunna uppfattas som samtidigt död och levande.

Jag tänker inte fördjupa mig ytterligare i kvantfysiken. Ur mitt perspektiv, som är att kontroll över informationen är centralpunkten både för informationssäkerhet och informationsförvaltning inklusive arkiv, finns det allt fler tillfällen då det är rimligt att använda tankeexperimentet som metafor och prata om Schrödingers information. Det är innebär information som både finns och inte finns på samma gång, något som är negativt för den som vill ha kontroll över sin information. Låt mig ta några exempel.

Det första exemplet är kanske det mest uppenbara och gäller formatet. Trots att jag är mycket pro-digitalisering så får ändå pappret och dess föregångare pergament m.m. sägas ha den stora fördelen att informationen som haft papper som bärare har varit möjlig att ta del av över seklerna. I och med att bärarna blivit digitala sluts cirkeln på sätt och vis då information precis som i gamla glömda teckenformer blir omöjlig att ta del av även om den faktiskt finns. Jag tänker då på den information som finns lagrat på medier och i format som inte längre går att läsa. Diskar som står och dammar, format som ligger som bilagor till mail, gamla applikationer som inte migrerats med till nutiden– oräkneliga exempel kan göras. Trots att de inte kan läsas ligger de kvar för ingen riktigt förmår att ta ställning och hålla i yxan.

Oförmågan att ta tag i yxan och faktiskt gallra är mitt andra exempel. Gallring har kallats arkivariens svåraste uppgift men jag ska inte här gå in på den i och för sig mycket väsentliga frågan om vad som ska gallras utan själva gallringsrutinen. Förutsättningen i myndigheter är att allmänna handlingar (vilket generellt är merparten av den information som myndigheten hanterar) ska bevaras. Undantaget är när ett gallringsbeslut fattats som kan göras av ett antal skäl vilket beskrivs i en av Riksarkivets få vägledande skrifter:

Vanligen syftar gallring till att myndighetens arkiv inte skall tyngas av allmänna handlingar som saknar påtagligt informationsvärde, allmänna handlingar som motsvaras av annan dokumentation i det egna arkivet eller andras arkiv, eller allmänna handlingar som har ett informationsvärde som är starkt begränsat i tiden. I fråga om personuppgifter kan gallring ibland syfta till att skydda enskildas personliga integritet. Rent ekonomiska bedömningar kan också ges mycket stor vikt, t ex när man har serier med få intressanta uppgifter i relation till omfånget.

Det som är själva poängen med gallringsbeslutet är att handlingarna sedan verkligen också förstörs. Ett gallringsbeslut är inte ett förslag utan handlingarna ska faktiskt som Riksarkivet skriver

 ske utan dröjsmål när gallringsfristen har löpt ut eller gallringstidpunkten har uppnåtts.

Detta efterlevs inte alltid. Ibland kan gallringsbeslut vara formulerade som att handlingar ”får” gallras vid en viss tidpunkt vilket kan ge intryck av att alternativet att handlingarna bevaras också finns. Inte sällan har jag i kommuner, landstings och myndigheters bestånd påträffat information som borde varit gallrad och därmed, sett till de fattade besluten, inte finns. Detta skapar naturligtvis en stor potentiell brist på rättssäkerhet för den enskilde där myndighetsbeslut säger att exempelvis en information rörande den enskilde inte finns men det sedan visar sig att den ändå gör det. Det rimmar också mycket illa med dataskyddsförordningen och ger dessutom ett intryck av att kommunen/myndigheten har en dålig ordning där man inte efterlever fattade beslut. Och hur skyddas en information som både finns och inte finns?

Ytterligare ett exempel som jag stött på är hanteringen av loggar. Loggar bör av integritetsskäl i de flesta fall gallras efter kort tid, default 3 månader om inte något annat framkommit vid informationsklassning, och då verkligen tas bort. I många verksamheter separeras dock inte loggarna från verksamhetsinformationen utan följer med i den allmänna back upen vilket gör att de ligger kvar år efter år. Integritetskänslig information från tjänster och passersystem som följer den anställdes alla aktiviteter på jobbet kan finnas kvar trots att många arbetsgivare har loggpolicys som säger något helt annat. Och för en myndighet blir det naturligtvis prekärt om loggarna begärs ut som allmän handling och man då måste ta ställning till om de finns eller inte finns trots att de rent faktiskt finns.

Det mest övergripande exemplet som jag redan tidigare varit inne på i en blogg är all den information som finns i en myndighet och som bedömts inte vara allmänna handlingar. Denna andel av den totala informationshanteringen ser jag som i stark tillväxt på gemensamma file servers, i olika egeninitierade molntjänst typ Dropbox och alla möjliga andra former. Informationen fångas inte upp i dokumenthanteringsplaner eller andra verktyg men finns likaväl.

Jag har inga patentlösningar på hur de här olika situationerna ska hanteras. Min spaning är helt enkelt bara att det är viktigt att vi inte har information som liknar katten i Schrödingers tankeexperiment.

Juridik eller arkiv?

Det här kommer att bli ett nördigt inlägg om arkivfrågor eftersom arkivfrågor per se är nördigt eller hur? För läsaren ska kunna sätta inlägget i ett sammanhang ska jag bekänna min bakgrund och därmed även antyda sambandet mellan informationssäkerhet och arkiv.

Min ingång till informationssäkerhet gick via arkiven. Under ett antal år arbetade jag som arkivarie, först på arkivinstitutioner och därefter som landstingsarkivarie. Som så många andra arkivarier hamnade jag i skrået via studier i historia, själv påbörjade jag en forskarutbildning i ekonomisk historia efter att ha läst politisk historia, förvaltningshistoria, naturvetenskapernas idéhistoria o.s.v., o.s.v.  Synsättet att arkivvetenskap (i den mån något sådant ens kan sägas existera) var en stödvetenskap för historieämnet föreföll därför inledningsvis logiskt även för mig. Sedan hände två saker: jag blev väldigt intresserad av metoder för att strukturera information och jag blev tvungen att börja tillämpa detta i en pågående verksamhet, inte bara i avställda arkiv. Jag skrev om proveniensprincipen sett ur det industrihistoriska perspektivet men insåg allt tydligare verksamhetsbehovet i att strukturera information. Det kändes egendomligt att betrakta detta verksamhetsbehov kikande ut från en arkivinstitution och dess behov som är helt annorlunda än verksamhetens. Jag fortsatte att skriva om dessa frågor och vikten av att arkivväsendet omorienterar sig och inte ser sig som en historiens hjälpvetenskap. Istället borde vi vända på processen och se att om arkivarierna specialiserar sig på informationshantering och stödjer verksamheten kommer behovet av långsiktigt bevarande också att hanteras. Däremot gäller inte det omvända. Jag kan väl inte säga att jag fick särskilt mycket gehör för detta utan blev istället betraktad som en arkivvärldens gossen Ruda som en riksarkivarie vänligt uttryckte det.

Nu har jag inte arbetat som arkivarie på många år men interagerar med arkivfrågor nästan dagligen då jag arbetar med informationssäkerhet vilket är naturligt då arkiven kan sägas att jämte krypton vara de informationssäkerhetsåtgärder som förekommit ända sedan antiken. OK, vi kan väl säga signering också så blir det tre antika åtgärdstyper. I vilket fall så sett ur mitt limbo-tillstånd där jag halvvägs utanför, halvvägs innanför arkivvärldens gränser uppfattar jag det som att den desorientering som funnits ända sedan sjuttiotalet fortfarande lever kvar. Jag ska inte här närmare gå in på hur denna desorientering mellan att delta i att utveckla myndigheternas informationshantering år ena sidan och å andra sidan ha blicken fäst vid det historiska materialet. Vad som är glädjande är att regeringen initierat en översyn av arkivområdet under Lars Ilshammars kompetenta ledning. Översynen ska bland annat analysera hur samhällsutvecklingen påverkat kraven på arkivsektorn, se över arkivlagstiftningen och Riksarkivet roll i förhållande till andra myndigheter. Det kan bli spännande!

Inspirerad av detta kommer här tre frågeställningar som kan förtjäna att tas med som faktorer då översynen genomförs och som dessutom är sammankopplade. Först en disclaimer:  i det följande kommer jag liksom som många andra som diskuterar arkivfrågor att strunta i de privata aktörernas behov och praxis gällande dessa frågor och endast ägna mig åt den offentliga sektorn och arkivväsendet i stat, kommun och landsting. Detta är en nästan oförlåtlig avgränsning men eftersom jag här kommer att ta upp några frågeställningar som i första läget framförallt berör det offentliga arkivväsendet finns det en viss logik i detta. Det kan dock inte nog understrykas vikten av att det offentliga arkivområdet idag måste ta mycket större hänsyn till privata aktörer eftersom allt större del av den offentligt finansierade verksamheten utförs av privata aktörer. Ta till exempel inom vården som i efterkrigstiden i all väsentlighet ombesörjdes av offentliga utförare men som sedan nittiotalet alltmer utförs av privata vårdgivare. Vårdinformationen som har ett mycket stort värde under lång tid för den enskilde patienten och ett stort forskningsvärde men lever idag ett osäkert liv eftersom det faktiskt inte längre är tydligt reglerat hur den ska hanteras långsiktigt.

Den första fråga jag tänkte lyfta är frågan är den utpräglade juridifiering som råder gällande arkivhanteringen. I Sverige har arkivväsendet en mycket nära koppling till statsmakten sedan lång tid och numera även en stark koppling i lagstiftningen mellan arkivlagen och offentlighetslagstiftningen. Detta kan ses som en välsignelse och jag tror inte det finns en idag levande arkivarie som inte hämtat legitimitet ur detta faktum och det är självklart att detta ger arkivverksamheten en potentiellt stark ställning i offentliga organisationer (nu blir det ju inte alltid så i praktiken). Men för att travestera femte Moseboken: en välsignelse kan samtidigt vara en förbannelse. Förbannelsen ligger i att samtidigt som offentlighetslagstiftningen definierar arkivens innehåll så definierar den arkivens avgränsning. I arkivlagen sägs att:

3 § En myndighets arkiv bildas av de allmänna handlingarna från myndighetens verksamhet och sådana handlingar som avses i 2 kap. 9 § tryckfrihetsförordningen och som myndigheten beslutar skall tas om hand för arkivering.

Vad som utgör en myndighets arkiv är alltså en juridisk definition, inte en arkivvetenskaplig. Detta är i sig värt att uppmärksamma men det får även djupgående praktiska konsekvenser. Det måste understrykas att vad som kan utgöra en allmän handling inte är übertydligt. Formuleringar som att ”handlingen ska vara upprättad eller inkommen till myndigheten” leder tankarna till information som liknar pappersdokument och som är vagt relaterade till postgång (detta är också vad som avspeglas i de heliga diarierna som ofta uppfattas som det som definierar vad som är myndighetens allmänna handlingar). Men detta är ju inte den enda information myndigheten använder. Om man jämför dokumenthanteringsplaner med vilka informationsmängder som en myndighet eller kommun verkligen använder för att utföra sina uppgifter är skillnaden ofta stor. Detta blir ganska uppenbart om man gör en processorienterad informationskartläggning där det, vågar jag hävda, alltid kan identifieras betydligt fler informationsmängder än vad som finns redovisat i dokumenthanteringsplanen. Det finns, tror jag, en outtalad föreställning om vad som ska räknas som allmänna handlingar som inte är uppdaterad så att den går att omsätta i en modern myndighets faktiska informationshantering där Skype, molntjänster och även mer traditionella it-system står för merparten av transaktioner. Och när kartan inte stämmer med verkligheten förefaller kartan vinna över verkligheten. Riksarkivet säger även på sina ställen att man jämställer arkivförteckning (som endast ska innehålla allmänna handlingar) och dokumenthanteringsplan:

Här hittar du svar på frågor som rör den andra delen av arkivredovisningen, den som beskriver vilken information som uppstår i myndighetens verksamhet och hur informationen förvaras. Traditionellt kallas denna redovisning för arkivförteckning eller dokumenthanteringsplan. De element som förekommer här är handlingsslag och handlingstyper samt förvaringsenheter.

Det finns också ofta en stark vilja att göra så litet information som möjligt till allmänna handlingar eftersom det uppfattas som negativt att allmänheten ska få tillgång till information som myndigheten vill ha för sig själv. Det kan både ske genom att man kallar information för ”arbetsmaterial” eller genom att man försöker dra ut på statusförändringen till allmän handling genom att kräva exempelvis att ett ”ärende” (detta fullständigt intetsägande begrepp i de flesta icke-exekutiva verksamheter) ska vara avslutat innan en enskild handling blir allmän.

Sammantaget menar jag att juridifieringen av arkivbegreppet, förutom att leda till att många arkivarier uppträder som någon slags barfotajurister istället för informationshanterare, får effekten att en stor diskrepans uppstår mellan det verkliga arkivet och det som kallas myndighetens arkiv. Med detta verkliga arkivet menar jag den information som myndigheten faktiskt använder för att bedriva sin verksamhet och som arkivteoretiskt borde ses som ”arkivet”. Jag tycker att arkivariekåren och arkivväsendet här sviker sin uppgift eftersom väsentlig information och väsentliga sammanhang här förloras.

Den andra frågan jag tänkte ta upp är gallring. Ingen vettig människa kan idag bortse från att det är ett stort problem att mängden information växer exponentiellt. Konsekvenserna blir bristande sökbarhet, bristande integritet, arbetsmiljöproblem, säkerhetsproblem eftersom det inte går att styra dessa gigantiska informationsmängder och faktiskt i slutändan ett miljöproblem. Arkivariens andra huvuduppgift måste därför att på ett professionellt sätt göra gallringsutredningar och sedan se till att information försvinner. Men trots att det i arkivlagen uttryckligen står att allmänna handlingar får gallras så sker detta inte alls med den fermitet som vore nödvändig, kanske beroende på att många arkivarier räds uppgiften och att det på olika sätt sägs att huvudregeln är att alla allmänna handlingar ska bevaras… Det finns också strukturella problem som att myndigheterna inte är sina egna arkivmyndigheter utan måste vänta på att Riksarkivet fattar gallringsbeslutet. Det mest utarbetade stödet för gallring som Riksarkivet tillhandahåller är såvitt jag kan se från 1999.

Även vad gäller gallring leder den ovan beskrivna juridifieringen till principiella problem med mycket stora konsekvenser. Gallring innebär att allmänna handlingar destrueras, när arbetsmaterial förstörs kallas det rensning. Om dokumenthanterings- och gallringsplaner endast omfattar allmänna handlingar innebär det att det i varje myndighet och kommun finns stora mängder av information där styrning saknas och där informationen inte ens är identifierad. Detta hävdar jag är det reella läget vilket är högst bekymmersamt inte minst ur säkerhetssynpunkt där kontroll av informationen är a och o.

Punkt tre på dagens lista (ja, jag hotar med att komma tillbaka till ämnet) är otidsenligheten och bristen på strategi i arkivområdet. Som ändå hyfsat insatt kan jag inte utläsa vad Riksarkivets strategi för långtidsbevarandet är mer än att man gör allt för att statliga myndigheter inte ska komma och försöka dumpa sina arkiv:

  • Leveranser bör inte innehålla handlingar yngre än 10 år. Leveranser med handlingar 10–20 år gamla övervägs särskilt noga med hänsyn till frekvens, sekretesstyngd och andra handläggningsfrågor.

  • Leverans från en och samma arkivbildare bör inte ske tätare än vart tionde år vad gäller pappershandlingar. Digitalt material bedöms utifrån egna, specifika förutsättningar.

På något sätt tycks man helt leva kvar i en pappersverklighet där arkivhandlingar inte fick levereras förrän efter 50 år och då helst inbundna. I en digital verklighet skulle vore den mest rimliga lösningar att man genom tydlig styrning överförde den information som ska bevaras för framtiden till Riksarkivet i samma stund som den skapas. Naturligtvis skulle detta kräva en massiv höjning av informationssäkerheten i Riksarkivets lagring och kommunikation men det skulle samtidigt vara den mest rationella hanteringen av en digital arkivbildning.

Det är möjligt att Riksarkivet har en mängd spännande strategiska diskussioner men dessa måste i så fall föras ut till de myndigheter och kommuner som idag sliter sitt hår och försöka räkna ut vad som förväntas att de ska göra. Och, don´t get me started, det handlar inte om de s.k. e-arkiv som nu försäljs.

Förhoppningsvis kan en klok översyn leda till att desorienteringens dimmor litet börjar upplösas och att en riktning tas ut.

Frånvaron av den goda offentlighetsstrukturen

Den goda offentlighetsstrukturen, eller bristen på sådan, är värd ett blogginlägg till. För att sammanfatta mitt förra inlägg så är det inte bara kraven i OSL som gör att offentlighetsstrukturen inom myndigheter, kommuner och landsting bör prioriteras. Den transparens som ingen politiker, högre tjänsteman eller konsult någonsin missar att närmast religiöst lyfta fram på konferenser och i strategier som en förutsättning för en fungerande demokrati borde innebära att insyn är en central fråga.

Ett annat högaktuellt skäl är att god tillgång till korrekt information från källan är ett av de mest verksamma sätten att bekämpa den farsot av informationspåverkan som bedrivs av både politiska och kommersiella intressen.

Ytterligare en anledning som kanske är mer av motiverande karaktär är att om kravet på systematik och sökbarhet i informationshanteringen (som en god offentlighetsstruktur förutsätter)  realiseras skulle det innebära enorma effektivitetsvinster för den offentliga förvaltningen. Då skulle ju nämligen även medarbetarna på myndigheten eller i kommunen helt plötsligt få arbetsverktyg och en överblick som är  revolutionerande jämfört med i dag. Något som borde ligga helt i linje med de officiella digitaliseringssträvandena. I en kommentar till mitt förra blogginlägg i frågan framkom också att myndigheter ibland får anlita konsulter för att söka fram allmänna handlingar hos andra myndigheter, ett tydligt tecken på bristande insynsmöjligheter även mellan myndigheter.

Trots alla dessa goda anledningar i heta områden är ändå inte offentlighetsstrukturen god och de finns få indicier på att andra än enstaka torra bloggare intresserar sig för frågan. Och när man ändå närmar sig frågan så fastnar man i diarieföringen vilket jag ser som den återvändsgränd vi sprungit i sedan 1970-talet utan att någonsin bromsa in och fundera vad vi håller på med.

Innan jag tittar vidare på några myndigheters mer eller mindre ambitiösa insatser på området ska jag därför skriva litet om diarieföring som fenomen och dess roll som ett klent substitut för en god offentlighetsstruktur. Vad som måste noteras är att det inte finns någon skyldighet för myndigheter att diarieföra information utan skyldigheten är att allmänna handlingar ska vara registrerade. Däremot är kravet på god offentlighetsstruktur obligatoriskt. Varför är det här intressant? Jo, därför att diarieföring inte på något sätt borgar för en god offentlighetsstruktur – snarare tvärtom. Diarieföring är från början ett sätt att dagligen lista in- och utgående korrespondens (därav ordet diarium som litet slarvigt kan översättas som ”dagbok”). Sedan medeltiden och ännu tidigare har detta varit ett sätt för hov, kyrkliga institutioner och en begynnande förvaltning att hålla ordning på korrespondensen. I Sverige finns exempel från bruk och proto-industri där man redan tidigt började föra diarium – eftersom jag ordnade arkivet minns jag med särskild kärlek Långvinds bruk och dess diarium från 1600-talet.

Problemet är bara att diarieföringen sedan 1600-talet inte på något sätt utvecklats i samma takt som övrig informationshantering utan utgör en slags museal kvarleva i dagens förvaltning. Trots att myndigheter har både en och två registratorer (även kommuner och landsting) så ger inte diarieföring vare sig insyn utifrån eller möjlighet till styrning av informationshanteringen internt i myndigheten. Ingen tycks heller ställa krav på att det ska kunna gå att söka information eller registrera den utan personlig hjälp av en registrator. Att diariet omfattar endast en bråkdel av de allmänna handlingar som finns i myndigheten (d.v.s. att endast vissa typer av korrespondens samt dokument som ser ut som pappershandlingar) verkar inte heller väcka oro. Istället lever diarieföringen kvar som en ritual som blir allt mer tom år för år. Fossiliseringen har pågått under årtionden vilket också visar sig vid en snabb sökning på Libris. Sökningen renderar inte i en enda längre text som på djupet analyserar hur diarieföring i traditionell utformning skulle kunna ersättas av sökverktyg som bättre uppfyller andemening i OSL de senaste 30 åren.  En DIVA-sökning är ungefär lika nedslående.

 

 

Diarieföringen sker idag med en stor arbetsinsats och i it-system som utformats för att i mesta mån efterlikna papperskartotek och slippar i tre färger. Det finns ingen formell utbildning till registrator (Mitthögskolan har haft enstaka kurser på arkivutbildningen) utan detta är ett yrke som traderats från kvinna till kvinna och idag är mer en konstform än en funktionell sökfunktion. Det räcker att titta på sökmöjligheten som erbjuds i ett diarieföringssystem för att förstå hur lång bort från en Google-sökning vi är och vilken omöjlig nivå av förförståelse som krävs för att göra en sökning ens inom en myndighet.

För att ge ytterligare ett par exempel på hur det i realiteten ser ut för den som söker på en myndighets webbplats och vill ha insyn, inte bara tillgång till tjänster, så ska jag här beskriva ett par myndigheter som borde ha särskilt intresse för de här frågorna.

Lantmäteriet

Lantmäteriet har varit mycket framgångsrika när det gäller digitalisering och öppna data. När jag gnällt över att öppna data (som ju är näringsinriktade tjänster) prioriterats framför insyn ur ett demokratiskt perspektiv har jag ibland fått det lugnande beskedet att de två frågorna hänger ihop. Den myndighet som satsar ambitiöst på öppna data kommer att vara lika ambitiös när det kommer till insynsperspektivet har varit tanken. Men stämmer det i verkligheten?

Lantmäteriet har visserligen en lockande flik under Om oss som heter Diariet och informationsredovisning. Kan man bli annat än sugen på att kika in där? Under Informationsredovisning  finns en redovisning över olika hjälpmedel som används inom Lantmäteriet som t.ex.:

Informationshanteringsplan, som innehåller upp
gifter hämtade från Arkivförteckningen. Denna sammanställs som ett stöd till verksamheten. Planen beskriver verksamhetens processer och dess handlingstyper. För varje handlingstyp finns beskrivande och styrande information som t ex format, gallring, lagring och förvaring.

Den skulle jag gärna vilja ta del eftersom den ju vore en första ingång för att förstå vilken information som Lantmäteriets processer hanterar. Detta verkar dock bara vara en teaser för planen är inte tillgänglig på webben och det finns heller ingen hänvisning till hur jag skulle kunna ta del av den. Däremot kan jag klicka mig i in informationsredovisningsverktyget Klara där jag kan få ta del av

Historik och information om Lantmäteriets föregångare hittas i informationsredovisningsprogrammet Klara på respektive arkivbildare.

Det är alltså själva arkivredovisningarna som ligger här. Märkligt nog är även det nya materialet ordnat enligt allmänna arkivschemat framtaget 1903 och sammantaget är detta inte ett sätt att presentera information för målgrupper utanför den snäva arkivariekretsen. För att ändå vara någorlunda rättvis kan  en högmotiverad utomstående få ett visst grepp om det historiska materialet men knappast en insyn i dagens verksamhet.

Att det står Diariet och informationsredovisning är missvisande; något diarium kan jag inte hitta utan vad som gäller är att ta personlig kontakt med registratorerna om man inte söker remisser och remissvar samt rapporter som presenteras under egna flikar.

Sammantaget är bedömningen att Lantmäteriet möjligen har en halvgod offentlighetsstruktur när det gäller arkivbildningen men knappast när det gäller pågående verksamhet. Tesen att en satsning på öppna data med automatik leder till samma engagemang i insynsfrågor finner inte särskilt mycket stöd här.

MSB

Det är kanske litet dumt att titta på en myndighet där jag själv arbetat eftersom jag då har en betydligt bättre förförståelse än den vanlige invånaren. Men eftersom MSB har en roll gällande psykologisk försvar (oklart exakt vilken) och i att motverka informationspåverkan tycker jag det är intressant att se om och hur myndigheten själv understödjer källkritik med en god offentlighetsstruktur.

Tyvärr finns inte ens ett diarium tillgängligt (remisser och remissvar finns utlagda). Tanken verkar vara att man ska ringa eller maila registraturen. Med min ”lokalkännedom” uppfattar jag det som att MSB:s webbplats är tämligen orörd sedan myndighetens tillblivelse 2009. Om något ska göras åt detta jungfruliga tillstånd bör en god offentlighetsstrukturen vara ett centralt mål med tanke på de budskap som lämnas till externa parter om vikten av källkritik.

Efter detta tappar jag litet motivationen att närgranska fler myndigheters webbplatser. Jag bläddrar igenom eSams övriga medlemmar, d.v.s. myndigheter som uttryckt ett stort intresse för digitalisering: Migrationsverket, Statens Servicecenter, Arbetsförmedlingen, Kronofogden…  Det ser ungefär likadant ut hos de flesta, i korthet hänvisar man till att ta kontakt med registrator. Det verkar ha formats en icke-uttalad standard för hur liten ansträngning myndigheter tillåts göra för att skapa insyn.

För mig är det förvånande att omvärlden, och då kanske allra mest journalister, finner sig i den dåliga insynen i myndigheters verksamhet och att kritiken som riktas då riktas nästan enbart mot bristande diarieföring och rutiner för utlämnande. Exempel på detta är när Peter Wolodarski idag (15 oktober) riktar en helsida med i och för sig mycket välmotiverad kritik mot UD för att man tar alldeles för lång tid på sig att lämna ut handlingar. Wolodarski utvecklar den kritik som redan framförts av JO om brister i diarieföring och utlämnande. Självklart är detta brister som måste tas på stort allvar och i sitt svar på Facebook säger Margot Wallström att hon ska göra det:

I DN i dag den 15 oktober tar Peter Wolodarski upp de anmärkningar som Utrikesdepartementet fått från Justitieombudsmannen för att inte skyndsamt nog ha lämnat ut information om mejl om Sveriges kampanj till FN:s säkerhetsråd.

Det ska inte råda något tvivel om att jag delar Wolodarskis syn på värdet i offentlighetsprincipen. Öppenhet och transparens är värden som Sverige förknippas med och främjar över hela världen.

I det aktuella fallet begärdes information om drygt 74 000 mejl ut. För vart och ett måste vi ta ställning till om någon uppgift omfattas av sekretess i enlighet med offentlighets- och sekretesslagen. Det är ingen liten uppgift: grovt skattat bedöms detta ärende ta ungefär ett och ett halvt års arbetstid.

JO bedömer att UD inte har handlagt ärendet tillräckligt skyndsamt. I vissa fall har UD, enligt JO, inte heller tagit ställning löpande till registrering av mejl i ärendet. Som departementschef för UD ser jag allvarligt på JO:s anmärkningar. UD har sedan år 2014 sett över och förändrat rutinerna för hur vi hanterar utlämning av handlingar. Förfrågningar om att få ta del av allmänna handlingar är arbetsuppgifter som ska hanteras skyndsamt och gå före annan verksamhet, och vi tillsätter extra resurser vid arbetstoppar. Vi fortsätter nu vårt arbete för att förbättra dessa rutiner

Men även om diarieföringen och utlämnandet skulle fungera oklanderligt enligt de normer som gäller idag menar jag att detta inte på något sätt är tillräckligt för att skapa en god offentlighetsstruktur på det sätt som OSL kräver, bl.a:

2 § Varje myndighet ska upprätta en beskrivning som ger information om
1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar,
2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar,
3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar,

Jag hävdar att det med dagens teknik är fullt möjligt att ge offentlighetsprincipen ett reellt innehåll, ge insyn, ge möjlighet till förståelse för vilken information som finns och ge tillgång till allmänna handlingar utan onödiga dröjsmål. Men istället för god offentlighetsstruktur fortsätter vi med en fullständigt obsolet diarieföring.

Varför nöjer vi oss med så litet?  Varför låter vi inte digitaliseringens omvandlande kraft användas här där det är så angeläget?

Test: Offentlighetsstrukturen hos tre myndigheter

I dessa dagar då vikten av att kunna gå till källan för att kontrollera fakta har blivit alltmer uppenbar borde offentlighetsprincipen lyfts fram som den nationalklenod den är bara av det skälet. Så är inte fallet vad jag kan se, trots 250-årsjubileet förra året. I så fall skulle den exempelvis haft en central plats i den nationella digitala strategin men avsnittet Demokratin värnas i digitala miljöer som börjar bra med

Digitalisering bidrar till att skapa förutsättningar för ett öppet och inkluderande demokratiskt samhälle med goda möjligheter att uttrycka och sprida åsikter, idéer och information.

utmynnar endast i förslag rörande medier. Ord som insyn och offentlighetsprincip förekommer överhuvudtaget inte i strategin.

 Tråkigt tycker jag, särskilt med tanke på att insikten om insynens betydelse för ett väl fungerande samhälle fanns (i alla fall med hjälp av vissa politiska påtryckningar) till och med hos Adolf Fredrik (på bilden ovan) som annars mest intresserade sig för att svarva snusdosor. Han undertecknade 1766 lagtexten som motiverade offentlighetsprincipen med:

”Att vi eftersinnat den stora båtnad allmänheten av en rättskaffens skriv- och tryckfrihet tillflyter i det en obehindrad inbördes upplysning uti varjehanda nyttiga ämnen icke allenast länder till vetenskapers och goda slöjders uppodling och utspridande, utan ock gifver en hvar af undersåtarne ymnigare tillfälle att dess bättre känna och värdera ett visligen inrättadt regerings-sätt; ävensom ock denna frihet bör anses för ett af de bästa hjälpmedel till sedernas förbättring och laglydnadens befrämjande, då missbruk och olagligheter genom trycket bliva för allmänhetens ögon ådagalagda.”

 

Dagens ministrar är knappast distraherade av att svarva snusdosor, ändå missas hur gynnsamt insyn är för samhället i de förvaltningspolitiska utspelen.

Men trots allt är ju faktiskt offentlighetsprincipen, om än undanskymt, fortfarande det som gäller för myndigheter, landsting och kommuner. I en digital verklighet skulle också själva innebörden av principen kunna förverkligas, långt bortom tunga ritualer bland uråldriga diarieföringsprinciper och pappershantering. En positiv bieffekt av en mer digital och utvecklad tillämpning är att det också skulle kunna leda till ett indirekt försvar av offentlighetsprincipen som nu ibland ifrågasätts av att den kan vara administrativt tyngande för vissa verksamheter. Det är naturligtvis ett orimligt argument men med en smidigare hantering skulle det återkommande ifrågasättande av enskildas möjlighet till insyn kunna reduceras så att det inte längre utgör ett hot.

I ett tidigare blogginlägg har jag skrivit om behovet av att utveckla offentlighetsprincipen och Peter Seipels viktiga text om de olika tolkningar som är möjliga. Som jag ser det finns det både ett mycket stort behov av att utveckla offentlighetsprincipen samtidigt som möjligheterna att göra det i princip är oändliga. Det som avgör är enbart om det finns en vilja att förbättra insynen eller inte. Att döma av de insatser som hittills gjorts av regeringar oavsett färg de senaste decennierna, då frågor som 24-timmarsmyndigheter, e-förvaltning och digitalisering varit ständigt prioriterade, är viljan inte besvärande intensiv. Faktiskt knappt synlig.

För att inte bara fördomsfullt anta saker har jag gjort ett litet test av nuläget. Offentlighetsprincipen innebär inte enbart att man kan begära ut allmänna handlingar. Myndigheten ska underlätta för den intresserade att få insyn i själva handlingarna men inte bara det; man ska även ha en så kallad god offentlighetsstruktur. Detta beskrivs i offentlighets- och sekretesslagen (OSL) 4 kap. Allmänna åtgärder för att underlätta sökande efter allmänna handlingar, m.m. där det särskilt betonas att en myndighet särskilt ska beakta att enskilda bör ges goda möjligheter att söka allmänna handlingar samt:

Beskrivning av en myndighets allmänna handlingar

2 § Varje myndighet ska upprätta en beskrivning som ger information om
1. myndighetens organisation och verksamhet i syfte att underlätta sökande efter allmänna handlingar,
2. register, förteckningar eller andra sökmedel till myndighetens allmänna handlingar,
3. tekniska hjälpmedel som enskilda själva kan få använda hos myndigheten för att ta del av allmänna handlingar,
4. vem hos myndigheten som kan lämna närmare upplysningar om myndighetens allmänna handlingar, deras användning och sökmöjligheter,
5. vilka bestämmelser om sekretess som myndigheten vanligen tillämpar på uppgifter i sina handlingar,
6. uppgifter som myndigheten regelbundet hämtar från eller lämnar till andra samt hur och när detta sker, och
7. myndighetens rätt till försäljning av personuppgifter.

 

Vad är då rimliga förväntningar på god offentlighetsstruktur idag om man redan 1766 beslutade följande:

”och bör till den ändan uti alla arkiver fri tillgång lämnas att sådana handlingar få avskriva på platsen eller utbekomma i bevittnad avskrift och det vid samma tjänsteansvar som nyss nämnts”

Själv tycker jag att det är en miniminivå utifrån OSL:s krav i ett digitalt Sverige att myndigheters webbplatser ska vara ingången för den enskilde att söka information inte bara om myndighetens tjänster utan om vilka allmänna handlingar som finns i myndigheten. Det bör alltså finnas en beskrivning av myndighetens processer och den information som genereras ur dessa processer alternativt stödjer processerna. Eftersom myndigheter ändå enligt en föreskrift sedan 2008 är skyldiga att ha en processorienterad arkivredovisning borde inte detta vara ett ohemult krav. Sättet att beskriva verksamheten och informationen måste självklart vara så att en utomstående kan förstå den utan att ha kontakt med myndighetens personal, typ registratorer. Det är viktigt att understryka att det inte går att begränsa sig till vilka handlingar som finns registrerade i diariet vilket ju naturligtvis är en bråkdel av alla de allmänna handlingar som finns i myndigheternas it-tjänster och -system. Inte heller kan offentlighetsstrukturen sägas gälla de tjänster som en myndighet har i förhållande till allmänheten – insynen måste riktas främst mot myndighetens egen verksamhet om den ska tjäna de syften som uppställts.

Som utomstående bör jag också ha möjlighet att söka på och identifiera enskilda allmänna handlingar, även detta utan att behöva ta kontakt med myndigheten. Myndigheten bör också i detta sammanhang kunna redovisa väsentliga uppgifter som om på vilket sätt personuppgifter kan ingå i olika handlingar och vilka gallringsbeslut som fattats om olika informationsmängder.

Slutligen bör jag kunna ta del av handlingarna digitalt. Inte heller detta gäller endast de handlingar som finns i diariet utan samtliga allmänna handlingar. En sekretessprövning måste i många fall ske innan utlämnandet men även detta är en rutin som borde kunna effektiviseras och där de handlingar som per definition är offentliga ligger tillgängliga för nedladdning. Så är ju redan fallet med protokoll m.m. från de politiska församlingarna i kommunerna.

För att göra en liten temperaturmätning har jag formulerat, i mitt tycke, tre rimliga frågor för test på några myndigheter/kommuner för att se hur utvecklad deras offentlighetsstruktur är:

  1. Får jag en beskrivning av verksamheten och av de allmänna handlingar som är kopplade till myndighetens processer?
  2. Kan jag själv söka och identifiera enskilda allmänna handlingar?
  3. Kan jag ta del av handlingarna digitalt?

För att börja uppifrån tänkte jag i det här blogginlägget börja med några centrala myndigheter. Med avsikt avstår jag från att testa regeringens hemsida eftersom jag redan tillbringat mycket tid med att snurra runt på den för att söka information – sällan med önskat resultat. Istället tänkte jag titta på några myndigheter som har uppdrag så att de skulle kunna påverka offentlighetsstrukturen hos andra myndigheter alternativt varit delaktiga i nationella digitaliseringsaktiviteter.

Riksarkivet

Riksarkivet har vid sidan om uppdraget om det långsiktiga bevarandet också gett ut föreskrifter om bland annat arkivredovisning vilket är grunden för hur myndighetens allmänna handlingar redovisas. Myndigheten har även ingått i E-delegationen och där haft uppdrag bland annat att genomföra projekt om e-diarium. Riksarkivet har sedan den 1 juli år 2016 i uppdrag att främja arbetet med att tillgängliggöra information och öppna data från statliga myndigheter. Detta är ett axplock av Riksarkivets aktiviteter på området vilket skulle föranleda en att tro att myndighetens egen offentlighetsstruktur är väl utvecklad.

startsidan  finns ingenting som leder en besökare intresserad av Riksarkivets verksamhet och de allmänna handlingar som stödjer den. Jag går via Om Riksarkivet vidare till Om oss och kan då gå in på fliken Organisation som visare den traditionella matrisbilden. Organisationen beskrivs också i fyra ”processområden” vilket känns något motstridigt som begrepp men ger en ganska tydlig bild av vad man sysslar med. Däremot saknas helt uppgifter om vilken information som stödjer processerna.

Jag gör en sökning på diarium för att kanske hitta myndighetens diarium så att jag åtminstone kan se vilka allmänna handlingar som är diarieförda men får då 202 träffar som handlar om olika projekt som Riksarkivet deltagit i för att bland annat utveckla e-diarium. En träff känns aningen ironisk: en nyhetsnotis om en rapport där Riksarkivet framhåller de enorma samhällsvinster som skulle kunna göras med e-diarium och e-arkiv. Det är möjligt att de bland de 202 träffarna döljer sig något litet myndighetsdiarium som jag inte upptäckte när jag skummade igenom söklistan men då är det så väl dolt att i praktiken inte är sökbart.

Vad jag kan se är de enda allmänna handlingar som identifierade, sökbara och även möjliga att ta del av digitalt de remissvar som Riksarkivet skrivit. Det är svårt att säga något annat att det är ett klent resultat för en myndighet som borde hålla fanan högt för en god offentlighetsstruktur.

Pensionsmyndigheten

Pensionsmyndigheten är en stor myndighet och har också varit involverad i flertalet mer eller mindre lösa organisationer inom digitaliseringsområdet som exempelvis E-delegationen. Myndigheten är nu hemvist för eSam, ett medlemsdrivet program för samverkan mellan 21 myndigheter och SKL. Samarbetet syftar till att underlätta och påskynda digitaliseringen av det offentliga Sverige.

På Pensionsmyndighetens webbplats finns betydligt mer av den information jag söker än hos Riksarkivet. Från första sidan kan jag gå in via Om oss och klicka vidare till en föredömligt tydlig box: Lagar, regler och allmänna handlingar. Här finns en länk till en arkivbeskrivning i pdf-format som också ger exempel på handlingar som används i olika ärendeslag/processer. Arkivbeskrivningen redovisar också sökverktyg som finns samt Pensionsmyndighetens gallringsregler. Exemplariskt ur arkivariesynpunkt men sannolikt svårt att koppla informationen till en enskild handling som önskar göra det; t.ex. för att begära ut en enskild handling eller försöka se om en handling som man vill ta del av kommer att gallras.

Dessutom finns ett e-diarium som lider av den svaghet som alla andra diarier har, nämligen att man måste vara registrator för att kunna använda det som söksystem. Heliga åtgärder som att man måste lägga in datum för att kunna få fram resultat är en avgörande nackdel för den som är van att googla men så är inte heller diarieföringssystemen utformade för att ge bredare allmänhet sökmöjligheter.  Eftersom det saknas fritextsökning måste den som söker ha mycket hög grad av förförståelse för att kunna göra en lyckad sökning. Här måste jag veta vilken typ av ärende som Pensionsmyndigheten anser att en handling ingår i eller vem som är ”motpart” för att kunna göra en sökning. När jag skriver in ”digitalisering” får jag exempelvis fram enbart två handlingar eftersom det är de enda handlingar (gissar jag) som har ”digitalisering” i rubriken. Det saknas alltså metadatahantering vilket leder till att en myndighet som har haft väldigt många fingrar i digitaliseringsburken ändå via sitt diarium framstår som helt utanför. Den instruktion till diariet som presenteras visar väl litet på svårigheterna:

Så söker du i e-diariet

  • Ange namn på ett ärende eller motpart. Du kan skriva in hela eller delar av namnet.

  • Du kan söka ärenden inom olika verksamhetsområden.

  • Du kan söka bland pågående ärenden, avslutade ärenden eller alla ärenden.

  • Ett ärende-ID består av ett prefix (till exempel VER), årtal och löpnummer och skrivs på följande sätt: VER 2010-2.

  • Via datumfälten anger du vilket datumintervall sökningen ska göras inom.

  • Sökresultatet sorteras efter datum som du själv kan sortera på.

 

Man kan också gå in via Senast diarieförda handlingar som redovisar diarienummer, ärenderubrik och datum för handlingar som diarieförts de senaste sju dagarna. Även här krävs ofta en hög grad av förförståelse för att kunna tillgodogöra sig informationen och handlingarna är inte läsbara i sig en när de är uppenbart offentliga.

Sammantaget har Pensionsmyndigheten gjort en stark ansats för att få en god offentlighetsstruktur men fortfarande känns det som att det är starkt inifrån-och-ut-perspektiv som präglat det som gjorts. De är olika delar som satts ihop utan att en riktig synergi uppstått och e-diariet som är den enda egentliga sökmöjligheten är dels inte ett fungerande sökverktyg för en utomstående, dels innehåller det endast begränsade delar av de allmänna handlingar som finns inom myndigheten. Det går inte heller att förstå var det förekommer personuppgifter eller vilka handlingar som gallras när.

ESV

En annan viktig myndighet i digitaliseringsbranschen är ESV som ska stödja regeringen och Regeringskansliet med att ta ett helhetsgrepp om digitaliseringen och driva utvecklingen framåt, tillsammans med myndigheterna. Bland annat genom att analysera den offentliga sektorns digitalisering, följa myndigheternas it-användning, utveckla metodstöd och ge stöd inom nyttorealisering. Det är också ett uppdrag som förpliktigar och där ambitionen för den egna verksamhetens digitala hantering borde finnas.

Att döma av ESV:s webbplats ligger myndigheten tyvärr på samma nivå som Riksarkivet med enbart remissvar som tillgängliga allmänna handlingar.

Genomgången av de tre myndigheterna gav inte ett positivt resultat. Jag kan ana flera bakomliggande orsakerna till det dåliga utfallet som inte är knutet till de enskilda myndigheterna utan snarare är generella. Det främsta skälet tror jag är att offentlighetsprincipen obekväm. Bara häromdagen hörde jag en statlig tjänsteman till synes obrydd förklara att hen inte brydde sig om att diarieföra handlingar eftersom det var så jobbigt när utomstående började ringa och fråga om ärendet. Men det obekväma ligger också på en helt annan nivå, kunskap är makt och en tämligen oproblematisk hypotes är att den som har makt gärna vill ha kvar den orubbad. Kanske är det därför det finns så få högljudda förespråkare för verklig insyn bland högre tjänstemän och politiker. En annan orsak är den rådande förvaltningsfilosofin som är och under en längre tid har varit starkt influerad av New Public Management där offentlig sektor ses i huvudsak som en tjänsteleverantör bland andra. Eftersom denna trend har varit i princip synkroniserad med digitaliseringen har demokrati- och insynsaspekter varit kraftfullt nedprioriterade. Ett tredje skäl kan vara den bristande styrning myndigheter internt har av sin informationshantering. Min erfarenhet är att många myndigheter inte styr sin informationsförsörjning på ett systematiskt sätt och därmed kan man inte heller presentera den på ett begripligt sätt utåt. Sannolikt är den bristande sökbarheten och den fragmentariska beskrivningen den samma inifrån som utifrån, något som inte gynnar verksamheter som är helt beroende av sin informationsförsörjning.  Sammantaget finns allt att vinna på att ägna sig åt att utveckla den goda offentlighetsstrukturen vilket alldeles särskilt bör gälla de myndigheter som i någon mån ska utgöra föregångare för andra.

Jag tar gärna emot synpunkter på det jag nu skrivit, om det är missvisande, har felaktiga utgångspunkter eller om jag missat något på de webbplatser jag gått in på.

Är KLASSA ett bra verktyg?

Det finns alldeles för få verktyg som kan användas som stöd för informationsarbetet och det är därför i sig positivt att SKL tagit fram ett stöd för klassning. Klassning vid sidan om riskanalys den mest centrala aktiviteten för att styra informationssäkerheten vilket gör det extra intressant med ett verktyg.  Verktyget är framtaget för kommunal verksamhet med krav som ursprungligen sägs hämtade från två äldre stöd från MSB:s föregångare KBM; BITS (Basnivå för IT-Säkerhet) och BITS+. Dessa stöd togs fram 2006 och har sedan inte uppdaterats efter att ett beslut fattades redan runt 2009 att lämna BITS därhän.

Kraven har sammanställts och utvecklats till en kravkatalog som även har en koppling till ISO 27000-serien:

I samarbete mellan ett antal kommuner bearbetades kravkataloger och funktioner under våren 2015 och blev verktyget du är inne i nu. Kraven mappades om till ISO 2700x och förtydligades.

Jag bestämde mig för att göra ett test av verktyget för att se hur det fungerar i den vardagliga situation som informationsklassning är i en organisation med ett systematiskt informationssäkerhetsarbete. För att ge den som läser testet en bild av mina utgångspunkter tänker jag i detta inlägg först beskriva förutsättningarna för informationsklassning, och särskilt informationsklassning i kommunal verksamhet. Jag ska också försöka tolka KLASSA:s övergripande metodsyn.

Förutsättningar i SS-ISO IEC 27002:14

Utgångspunkten för informationssäkerhetsarbete i offentlig verksamhet är i många fall ISO-standarden, så också för mig och, om än inte direkt utsagt, för KLASSA.

Målet med klassning definieras i SS-ISO IEC 27002:14 som:

Att säkerställa att information får en lämplig skyddsnivå i enlighet med dess betydelse för organisationen.

Säkerhetsåtgärden är:

Information ska klassas i termer av rättsliga krav, värde, verksamhetsbetydelse och känslighet för obehörigt röjande eller modifiering.

Och vägledning för införande:

Klassning och tillhörande säkerhetsåtgärder för informationen bör ta hänsyn till verksamhetens behov av spridning eller begränsning av informationen samt till de legala kraven. Andra tillgångar än information kan också klassas i överensstämmelse med klassningen av den information som är lagrad i, behandlas av eller på annat sätt hanteras eller skyddas av tillgången.

Ett problem med standarden är att begreppen inte är modellerade vilket ställer till problem till exempel genom att begreppet ”tillgång” både kan användas för själva informationen och för de bärare som används för att hantera informationen som till exempel en applikation eller ett papper. Denna brist blir alltmer problematisk eftersom organisationer i allt högre grad använder molntjänster eller delar tjänster på andra sätt vilka knappast kan ses som organisationens tillgångar. Detta ska jag fördjupa mig i vid ett annat tillfälle. Här räcker det att säga att standarden tämligen tydligt säger att det är information som ska klassas. Som en följd av den klassning som gjorts av informationen kan även andra tillgångar klassas, t.ex. genom en klassning av system.

Enligt standarden ska:

Modellen för informationsklassning bör omfatta regler för klassning samt kriterier för granskning av klassificering över tid. Skyddsnivån i modellen bör bedömas genom att analysera konfidentialitet, riktighet och tillgänglighet samt andra krav för den aktuella informationen.

I 27001 finns bilaga A som ofta brukar uppfattas som en kravlista för att uppfylla standarden avsnittet A.8.2. Informationsklassning med där målet med klassningen sägs vara:

Att säkerställa att information får en lämplig skyddsnivå i överensstämmelse med dess betydelse för organisationen.

Den modell som används ska alltså inte bara innehålla beskrivning av säkerhetsåtgärder i olika skyddsnivåer utan också kriterier som för skyddsnivåer som ger en kontinuitet över tid oavsett den snabba tekniska utvecklingen. Klassningen ska kunna genomföras utifrån konfidentialitet, riktighet och tillgänglighet men också utifrån andra krav som är aktuella.

Mina egna krav

Efter att ha arbetat med informationsklassning i vitt skilda organisationer med helt olika typer av informationshantering kan jag se vissa generella krav som måste uppfyllas om klassningsaktiviteten  ska få en säkerhetshöjande effekt.

  1. Det måste vara information och organisation som är i centrum. Precis som standarden pekar på så är första steget att identifiera information, klassa den utifrån värdet och betydelsen för verksamheten inklusive betydelsen av att kunna uppfylla externa krav. Att klassa system, vilket fortfarande förekommer, ger en i mitt tycke svag verksamhetsanknytning. Detta eftersom det inte råder ett ett-till-ett-förhållande mellan verksamhet, informationsmängder och system. Det är i de allra flesta fall bara en delmängd av en verksamhets information som hanteras i samma system och det är därför svårt att få en bild av informationens betydelse och värde för verksamheten genom att bara titta på ett system. Ytterligare ett skäl att undvika att blanda samman klassning av information respektive av system kan illustreras av ett exempel jag använt flera gånger. En kommun som ska klassa konsekvenserna av att informationen om att stänga fönstren och hålla sig inomhus vid en gasolycka inte når fram till invånarna kan inte bara klassa webbplatsen. Istället måste man titta just på informationen, därefter se vilka bärare och rutiner som är lämpliga inklusive reservlösningar. Att bara titta på webbplatsen belyser helt enkelt inte situationen.
  2. Det måste finnas skyddsnivåer som är beskrivna för de bärare som används för informationen. Med det avser jag system, applikationer och it-tjänster men även krav på hur den pappersbundna hantering som alltjämt finns kvar ska ske. Skyddsnivåerna måste även innefatta krav på det fysiska skyddet som omger information och utrustning.
  3. Skyddsnivåerna måste vara beskrivna på ett konkret sätt som går att använda som en kravspecifikation både för den egna verksamheten, dels som stöd vid upphandlingar.
  4. Det måste gå att differentiera så att det görs åtskillnad på krav från de olika aspekterna konfidentialitet, riktighet, spårbarhet och tillgänglighet. Att ha höga krav på tillgänglighet innebär på intet vis att man alltid har samma höga krav på konfidentialitet. Åtgärder för uppnå det ena kan ofta motverka det andra vilket kan leda till att informationsklassning försämrar möjligheten att uppnå en anpassad säkerhet.
  5.  Det  måste det finnas en aktiv förvaltning av både krav och föreslagna skyddsåtgärder så att de inte blir vilseledande och i värsta fall kan leda till en falsk trygghet som underminerar ett systematiskt säkerhetsarbete som hela tiden måste möta nya risker.
  6.  Jag har alltid förordat att information som faller under säkerhetsskyddslagen, d.v.s. som kan på verka rikets säkerhet, ska behandlas separat eftersom det för denna information finns fastställda krav på rutiner och utrustning som ligger utanför verksamhetens normala miljö. Det är ofta lätt att identifiera denna typ av information och skapa ett separat spår för den och sedan fortsatta den övriga klassningen.

Test av KLASSA

Som användare möts man av ett fräscht och lättnavigerat gränssnitt vilket skapar förväntningar.  Jag utlovas att kunna få ”informationssäkerhetsklassa” (litet knölig term men det är kanske för att göra en distinktion mot det KLASSA som används i ett arkivperspektiv) informationen i ett verksamhetssystem, att göra en handlingsplan och att få en lista med upphandlingskrav. Redan här finns ju ett problem genom att det är ”informationen i ett verksamhetssystem” som ska klassas vilket ger en rätt föråldrad syn på relationen mellan verksamhet, information och it-lösning som jag försökt beskriva ovan.

Positivt är dock att klassa har med aspekten spårbarhet. Detta är en nödvändighet för de organisationer som har verksamhet inom vård med tanke på de krav som ställs på detta i den relativt nya föreskriften från Socialstyrelsen HSFL-FS  2016:40.

Men vilket praktiskt stöd får jag genom KLASSA? Jag tänker mig att jag klassar informationen i två olika verksamhetssystem med stor spännvidd. Det första är ett tänkt rumsbokningssystem för kommunhuset i Söpple, det andra ett vårdsystem för äldreomsorgen i samma kommun.

Jag erbjuds att klassa i fem nivåer från 0= ingen eller försumbar skada till 4= synnerligen allvarlig skada. För nivå 4 finns en oklar formulering:

Röjande av informationen medför skada för rikets säkerhet som inte endast är ringa.Systemet behandlar information som omfattas av sekretess och rör rikets säkerhet (hemliga uppgifter) där röjande av information kan ge oöverskådliga konsekvenser där t ex omfattande fara för liv och hälsa föreligger.Informationen omfattas av t ex säkerhetsskyddslagstiftningen.

Är det endast för uppgifter som är hemliga eller är det även andra uppgifter som kan utgöra omfattande fara för liv och hälsa om de röjs? Säkerhetsskyddslagen säger inget om liv och hälsa – det är andra värden som avses skyddas i den lagstiftningen. Det är inte heller rimligt att föreställa sig att sjukvård ska bedrivas med den utrustning och de rutiner som säkerhetsskyddet stipulerar (RÖS- och signalskydd för att ta ett par exempel). Detta är en besvärande oklarhet. När jag som test fyller i nivå 4 får jag till svar:

Du har klassat kravområdet Konfidentialitet som nivå 4. Kraven på dessa typer av system hanteras inte via KLASSA. Kontakta organisationens informationssäkerhetsansvarige för hantering av denna typ av information.

Jag förstår helt enkelt inte var liv och hälsa kommer in här eftersom konstruktörerna av KLASSA verkar avse endast rikets säkerhet.

För mitt rumsbokningssystem fyller jag i att det kan bli måttliga skade-effekter i alla aspekter (nivå 1) och får ut en kravlista som jag sedan kan bedöm hur väl jag uppfyller. Skadeeffekten är beskriven som:

  • Inga märkbara större svårigheter för verksamheten att nå målen.

  • Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation.

  • Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan.

 

Med tillägget

  • Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet till systemet.

för aspekten tillgänglighet.

För vårdsystemet väljer jag lika konsekvent nivå 3 vilket står för:

  • Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen.

  • Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt.

  • Individers liv och hälsa äventyras.

med tillägget:

  • Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet.

Jag har några synpunkter på beskrivningar av skadeeffekterna som jag väljer att hoppa över i detta redan alltför långa inlägg. Istället ska jag fokusera på det stöd jag får ut.

 

Grunden är att konstruktörerna har gått via kravbilagan till ISO 27000. Detta leder till ett stort principiellt problem och några praktiska.  Det principiella består i en underförstådd tolkning av kraven i bilaga inte ska tolkas som en helhet utan att säkerheten höjs genom ju fler av kraven som uppfylls. Detta är inte min tolkning vilken istället är att alla organisationer som eftersträvar att följa standarden ska uppfylla samtliga krav men på olika nivå beroende på sitt behov av skydd. Organisationer som certifierar sig gör ju ett Statement of Applicability (SoA) om de inte anser att kravet är tillämpbart i deras organisation.

Det praktiska resultatet av detta principiella val i KLASSA är att listan över säkerhetskrav (som numreras utifrån standarden) är betydligt kortare för rumsbokningssystemet än för vårdsystemet. Detta skulle kunna förefalla rimligt och som ett tecken på att säkerhetskraven är lägre – alltså färre krav. Jag tycker dock inte det när man ser vilka krav som saknas för rumsbokningssystemet. Exempel på vad som saknas är rena hygienfaktorer som krav på sekretessförbindelser, att identiteter inte återanvänds, styrning av loggar och uppdateringar, nätverkssäkerhet, relationen till leverantören, leverantörens åtkomst och granskning. Dessa säkerhetskrav påverkar ju inte enbart rumsbokningssystemet utan i värsta fall hela miljön som de finns i.

Att KLASSA tar sin utgångspunkt i standardens krav i sin rena form i de flesta fallen (undantag är till exempel identifieringslösningar) leder till den litet paradoxala följden att det ställs mycket få tekniska krav trots att det är system som klassas. Det leder också till att kraven är mycket öppna för tolkning och inte till någon större hjälp vare sig intern eller vid upphandling som till exempel:

 Information tillhörande systemet som lagras på externa molntjänster eller på flyttbar lagringsmedia, exempelvis mobiltelefoner, USB-minnen och externa hårddiskar, hanteras och skyddas på motsvarande sätt som övrig information tillhörande systemet.

Eller ur det excelark som kan användas som stöd för upphandling:

Leverantören ska ha en rutin för att både avaktivera användarkonton och permanent ta bort konton från systemet.

En sammantagen bedömning

Trots att behovet är stort och ansatsen tycker jag inte att KLASSA är ett bra verktyg. I vissa fall skulle jag till och med säga att det är en riskfaktor i sig eftersom KLASSA på de lägre säkerhetsnivåerna plockar bort så många självklara säkerhetsåtgärder att ett system som sägs uppfylla kraven kan vara i avsaknad av elementära säkerhetsåtgärder. Detta är en risk i systemet och i värsta fall för hela it-miljön som det finns i. Om en leverantörs åtkomst inte är styrd och begränsad i ett system kan det leda till obehörig åtkomst även i andra integrerade lösningar för att bara ta ett exempel.

Av de sex krav jag ställde upp fyller KLASSA endast delvis upp krav 2, 4 och 6 om man gör en välvillig tolkning.

Jag hoppas SKL gör ett omtag och då även ser över till exempel kraven från dataskyddsförordningen och integrerar även dem.

 

Jag tar en för laget och läser ytterligare en utredning om digitalisering

Man tror ju nästan inte det är möjligt att utreda digitalisering ytterligare en gång men det får man ändå ge regeringen – att sätta fart på utredandet, det kan den! Nu har den emotsedda utredningen om en ”ny” digitaliseringsmyndighet presenterats, med det litet sekelskiftesdoftande namnet SOU 2017:23 digitalforvaltning.nu.

Spoilervarning eller service till er som inte vill läsa längre än hit:

  • Utredningen tycker att regeringen ska ta litet mer ansvar och ta fram en plan för digitaliseringen, tydliggöra ansvarsförhållanden, ställa krav på uppföljning m.m., m.m.
  • Man föreslår att antingen ska Esam plus litet annat flytta till ESV och utgöra en myndighetsfunktion för digitalisering. Tjänsterna Mina meddelanden och e-legitimation ska förvaltas av myndigheten. Alternativt kan en helt ny myndighet bildas för detta ändamål.
  • Man promotar Mina meddelanden och säger att det krävs en ny förordning för att bland annat reglera personuppgiftsansvaret i tjänsten
  • Och  trycker på att ”informationssäkerhet och integritetsskydd beaktas i varje skede av arbetet med att bygga ut den digitala förvaltningen”

Först vill jag ge utredningen en eloge för den 40-sidiga historik som ingår. En randanmärkning är att historieskrivningen skulle blivit ännu intressantare om den även inkluderat en teoretisk diskussion i ett förvaltningshistoriskt perspektiv. Det skulle ge digitaliseringen den kontext som så ofta saknas. Det har dock inte varit utredningens uppdrag att anlägga en mer djuplodande syn på digitaliseringens roll i samhället och i förvaltning. Istället har regeringen velat ha en analys av och förslag till:

effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.

Mer konkret handlar det om att ge förslag på hur staten skapa en organisation och ansvarsfördelning för nationella tjänster som Mina meddelanden och Svensk e-legitimation. Dessa två tjänster har ju inte riktigt levererat enligt regeringens ambition och ytterligare ett uppdrag för utredningen har varit att föreslå

åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.

I övrigt är det välbekant stoff där uppgifter som i princip har funnits sedan tiden för 24-timmarsmyndigheten flyttas omkring litet i myndighetsstrukturen.

Utredningen börjar i moll. Sverige har halkar efter i digitaliseringen trots att regeringar oavsett färg sedan länge hävdat att vi ska vara bäst. I parentes sagt har jag aldrig förstått varför strävan är att vara bäst istället för att vara tillräckligt bra men det kanske bara är trist och pragmatisk jante-inställning. Utredningen söker den främsta orsaken till det icke-fördelaktiga läget i att staten under lång tid valt en decentraliserad ansvarsmodell för digitaliseringen. Hypotesen framförs med hänvisning till det stora antal utredningar från andra myndigheter (Riksrevisionen, E-delegationen, ESV och Digitaliseringskommissionen) som alla pekat på samma sak. En reflektion under läsningen är att myndigheterna visserligen enigt pekat på fenomenet men därefter lämnat helt olika svar på lösning. E-delegationen föreslår t.ex. någon slags mjuk samordningslösning som ska leda till ökad samordning medan Digitaliseringskommissionen istället föreslår en ny myndighet. Det är inte alldeles lätt att vara regering och inom ett drygt år få två helt olika förslag på lösningar från sina utredningar…

Avsnittet om organisation är begripligt vilket är något mer än vad som kan sägas om avsnittet En nationell digital infrastruktur. Det inleds med utredningens bedömning

Politiken för digital förvaltning bör utformas mot bakgrund av dess roll i den nationella digitala infrastrukturen.

Jag läser meningen om och om igen och förstår absolut ingenting. Är det politiken som bör utformas med bakgrund av dess roll i den nationella digitala infrastrukturen? Eller är det den digitala förvaltningen? Vilken roll har i så fall i politiken alternativt den digitala förvaltningen i den nationella digitala infrastrukturen? Och vad är den nationella digitala infrastrukturen? Är det lösningar som staten kontrollerar, är det infrastruktur som används för nationella tjänster?  Utredaren tycks mena att infrastrukturfrågan inte nödvändigtvis behöver kräva några heltäckande statliga beslut utan att den liksom växer fram organiskt av offentliga och privata aktörer. Det hela mynnar ut i fler frågor och egentligen inga svar.

Det avsnitt som jag av naturliga skäl är mest intresserad av är det som handlar om informationssäkerhet, integritetsskydd och personuppgiftsansvar. Utredarens bedömningar är idag att betrakta som truismer; säkerhet måste integreras i digitaliseringen, kommuner och myndigheter behöver mera stöd för att göra det men myndigheter som har ansvar för att ge stöd i ovanstående frågor är inte koordinerade. Detta är kända sanningar sedan länge så det en ny utredning skulle kunna tillföra skulle vara att komma ett steg längre än att pliktskyldigt skriva att det är viktiga frågor och föreslå vad som ska göras för att förbättra situationen.

Och det här jag återigen stöter på ett generellt problem med dagens utredningsväsende. Min referensram är tyvärr härliga utredningsinsatser som t.ex. Emigrationsutredningen 1907-1913 under Gustaf Sundbärg. Utredningen genomfördes av tidens främsta forskare på området, ny kunskap skapades och regeringen fick dessutom ett mycket kvalificerat beslutsunderlag. Dagens utredningar verkar alltför ofta bara innebära ett legitimerande av ett beslut som redan ligger och väntar. Teori, analys och vetenskaplig kompetens är inte särskilt efterfrågat. Istället hamnar utredningarna i det som jag inledningsvis gav en eloge; en sammanställning av redan publicerade källor. ”Kompilation” skulle läraren på den forskarutbildning jag påbörjade men aldrig avslutade morra innan han gav ett underkänt betyg hänvisande till det mest nesliga felsteget i skrivandet näst det rena fusket. Nu ska jag inte vara alltför njugg, utanför säkerhetsområdet finns det resonemang om hur offentligt finansierade aktörer kan betraktas som tillför ny kunskap men det känns mer som undantag. Jag har också förståelse för att utredningen med den korta tid (sedan i slutet av november 2016) som stått till förfogande knappast kan göra några djupdykningar. Frågan blir då varför man väljer att tillsätta en utredning och inte helt enkelt låta tjänstemännen på RK ta fram ett beslutsunderlag i den riktning som regeringen tänkt sig besluta. Elakt tänker jag att kanske statliga utredare om digitalisering är en av de yrkesgrupper som kan vara ersättas med robotar eftersom de ständigt kompilerar litet till utan att tillföra någon ny analys.  Vilket omedelbart slå tillbaka på mig själv för självklart skulle mitt itererade gnäll på statliga utredningar om digitalisering precis lika lätt kunna göras av en robot.

I avsnittet om informationssäkerhet, integritetsskydd och personuppgiftsansvar kompileras det sida upp och sida ner från MSB, PTS och Datainspektionens webbplatser och föreskrifter samt från Riksrevisionens rapporter, tidigare SOU:er o.s.v..  Ingen ny kunskap och ingen analys men utredningen försäkrar som så många utredningar före den att informationssäkerhet och integritet är superviktiga förutsättningar för digitalisering. Författningsförslaget gällande den nya myndigheten ser ut så här:

11 § Myndigheten ska samverka med Datainspektionen, Myndigheten för samhällsskydd och beredskap samt Post- och telestyrelsen i frågor om digitalisering av förvaltningen, personlig integritet och informationssäkerhet.

Det är ju ett förslag som är svårt att undvika att uppfylla…

Jag uppfattar detta som det svagaste partiet i utredningen eftersom det saknar riktning, nytänkande och konkreta förslag. Pliktskyldigt refererande skjuter ingen hare. Det intressanta är när utredningen själv diskuterar s.k. eget utrymme (liksom även Mina meddelanden för den delen), vilket är en fråga med många säkerhetsdimensioner finns inte tillstymmelse till riskanalys eller diskussion om säkerhetsaspekter. Detta skildrar i ett nötskal hur informationssäkerhet och integritet hanteras i förhållande till digitalisering; välmenande omnämnande men ingen praktik.