Kan vi sluta vanvårda offentlighetsprincipen?

Offentlighetsprincipen ligger mig mycket varmt om hjärtat men de senaste decenniernas hantering av denna den svenska demokratins USP kan inte göra dess vänner annat än djupt bekymrade.Låt mig då bara först säga att jag  inte bara har ett känslomässigt engagemang för offentlighetsprincipen utan även en utbildning med inriktning på informationshantering och en mycket lång praktisk erfarenhet av frågor runt utlämnande av allmänna handlingar och det är med denna bakgrund som jag skildrar nedanstående fenomen.

Min oro fick ny näring förra veckan när jag från MSB begärde ut underlag rörande den uppföljningsstruktur som jag skrev om här. Jag begärde ut dels själva frågorna som ingick i den s.k. strukturen som beskrivits i rapporten, dels återkopplingen från de myndigheter som ingått som försökskaniner i projektet med framtagandet. Snabbt fick jag ut den första delen men när det kom till återkopplingen från myndigheterna blev det problem. Här ska jag inte gå in på själva reaktionerna från myndigheterna vilka var påfallande svala utan mer handläggningen som jag tyvärr följer ett mönster som blir allt vanligare bland myndigheter, regioner och kommuner.

Trots att innehållet i dokumentet var banalt inleddes handläggningen med att handläggaren sa att en sekretessprövning måste göras. Därefter fick jag efter någon dag dokumentet men flitigt maskat med hänvisning till OSL 18:8 (sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs) samt stämplat med sekretess.  Något motstridigt skriver handläggaren i mejlet:

Är du inte nöjd med detta kan du begära att frågan lämnas till myndigheten för ett skriftligt beslut som kan överklagas.

Som den rutinerade medborgare jag är svarar jag att jag självklart vill ett skriftligt beslut med besvärshänvisning vilket två dagar senare leder till följande besked:

Efter en förnyad bedömning har vi funnit att dokumentet kan lämnas ut i sin helhet.

Att jag redovisar hela handhavandet är för att visa hur rutiner och bristande kompetens hos handläggarna leder dels till extra arbete (maskning är ett tidskrävande pyssel) men också en stor risk för att medborgaren inte kan åtnjuta sina lagliga rättigheter. Gissningsvis finner sig de flesta i det första svaret och går inte vidare och missar därmed en möjlighet att få tal del av information som skulle kunna vara väsentlig.Om man ska vara petig så är det väl också så att jag faktiskt fick ett skriftligt avslag med hemligstämplingar och allt men utan besvärshänvisning.

Detta är naturligtvis fel sett till den grundlagsskyddade rätten enligt tryckfrihetsförordningen krav på handlingsoffentlighet:

2 kap 1§ Till främjande av ett fritt meningsutbyte, en fri och allsidig upplysning och ett fritt konstnärligt skapande ska var och en ha rätt att ta del av allmänna handlingar.

men strider även mot förvaltningslagens krav på myndigheter:

6 §   En myndighet ska se till att kontakterna med enskilda blir smidiga och enkla.

Myndigheten ska lämna den enskilde sådan hjälp att han eller hon kan ta till vara sina intressen. Hjälpen ska ges i den utsträckning som är lämplig med hänsyn till frågans art, den enskildes behov av hjälp och myndighetens verksamhet. Den ska ges utan onödigt dröjsmål.

Visserligen brukar regeln vara att den som ”har handlingen om hand”, dvs den tjänsteperson som har ärendet, också ska fatta beslut om huruvida den vid utbegäran ska lämnas ut eller inte vilket är bra ur serviceperspektivet. Men min erfarenhet är att den vanliga tjänstepersonen ofta drivs av ängslighet inte mot att eventuellt gå emot grundlagens intentioner utan för att skapa oro i organisationen och därför hellre fäller än friar. Denna uppfattning bygger jag på att jag vid ett flertal tillfällen sett samma förlopp: tjänstepersonen säger nej men när frågan i nästa steg kommer till en jurist så blir det en strikt juridisk prövning vilket leder till att handlingen lämnas ut. Tyvärr känner de flesta medborgare inte till att de sannolikt inte till att de måste upprepa sin fråga två gånger för att få rätt vilket inte heller kan ses som förenligt med förvaltningslagens krav. En bättre fungerande rutin är att handläggaren får svara ja men i de fall då man lutar åt att neka utbegäran bör frågan omedelbart gå till myndighetsjuristerna utan det kladdiga mellansteget med onödiga maskningar och felaktiga hemligstämplingar. Jag tror inte att det är möjligt att i stora myndigheter, särskilt inte de med viss säkerhetskaraktär, bibringa alla medarbetare rätt kompetens för att på ett rättssäkert sätt ta ställning till vad som verkligen ska ses som hemligt i lagens mening. Därför är det bästa sättet att omge offentlighetsprincipen med rätt respekt den rutin jag föreslår.

En annan litet dyster upplevelse i veckan var när jag deltog i en arkivfrukost med Riksarkivet där remissvaren på den nyligen levererade arkivutredningen diskuterades. I detta sammanhang ventilerades Riksarkivets eget remissvar och de initiativ som planerades som en följd av detta. Mycket var bra men själv reagerade jag starkt på att medborgarens rättigheter definierades som rätten till att informationen rörande den egna personen skulle vara korrekt osv. Avsaknaden av demokratiperspektivet var slående trots att arkivlagen har så stark knytning till just tryckfrihetsförordningen. Om medborgarens rätt till allmänna handlingar snarare handlar om en partsinsyn än den offentlighetsprincip som ska främja ”ett fritt meningsutbyte, en fri och allsidig upplysning” har vi tappat ett mycket viktigt demokratiskt inslag. Extra tråkigt är det om Riksarkivet som i sitt uppdrag har så stor möjlighet att driva dessa frågor hemfaller till att se medborgaren som kund till offentliga tjänster istället för som en deltagare i den ständigt pågående demokratiska processen.

Ytterligare en negativ faktor för offentlighetsprincipen är det stora fokus som idag ligger på öppna data där retoriken ibland går mot att öppna data skulle vara något som skulle kunna ge en ökad insyn eller ett demokratiskt värde. Jag skulle vara mycket glad om en bråkdel av det intresse och de resurser som läggs på öppna data skulle läggas på att stärka offentlighetsprincipen. Hoppet om detta är dock ytterst begränsat men jag tycker att vi åtminstone kunde låta bli att blanda ihop korten och låtsas som att öppna data för att bygga tjänster på något sätt skulle kunna utgöra en ersättning för offentlighetsprincipen. För att hårdra det skulle det gå alldeles utmärkt att kombinera öppna data med en diktatur vilket jag gissar att Kina skulle kunna vara ett exempel på.

Detta var bara några aktuella exempel på hur vi i mitt tycke vanvårdar offentlighetsprincipen. Jag ser ett mycket stort mörkertal av oförverkligad deltagardemokrati som blir följden av att vi inte månar om att aktivt sprida tillgången till allmänna handlingar. Tyvärr verkar myndigheter och det offentliga Sverige lämnat arenan och överlåtit till medierna driva frågan. Själv återvänder jag ofta till Lennart Lundquists Demokratins väktare för att hämta inspiration – om vi nu har en sådan tillgång som offentlighetsprincipen bör alla tjänstepersoner se sig som demokratins förkämpar och ta till sig att offentlighet är defaultläget och sekretessen endast ska användas då man har mycket tydliga skäl .

Skammens rodnad på säkerhetskinden

Jag har alltid haft svårt för den oreflekterade gruppkänslan, när tillhörigheten till en grupp blir så viktig för ens (yrkes)identitet att det skuggar tankens klarhet. Tyvärr tycker jag att säkerhetsbranschen ofta drabbas en överdriven gruppkänsla som leder till ett grupptänk och inte minst av en oförståelse för hur det ser ut i ”verkligheten”. Att predika för kören, d.v.s. för andra säkerhetsmänniskor, är enklare än att öppet diskutera säkerhetsfrågor med människor som har andra och kanske viktigare prioriteringar än säkerhet.

Själv måste jag erkänna att jag grips av en skamkänsla över att erbjuda lösningar som tar så mycket tid från kärnverksamheten, dessutom med oklart resultat. Trots att säkerhetsbranschen av tradition är högerlutande, vilket i normala fall skulle leda till ett ifrågasättande av byråkrati, krångel, förmynderi och slöseri med skattemedel, så godtas orimligt insatskrävande säkerhetsåtgärder i just skattefinansierade verksamheter. Ganska hemmablint kan man tycka.

Låt mig bara ta några exempel. I Sverige finns runt 5000 grundskolor. Såsom praxis och stöd är utformade ska då informationsklassning genomföras om inte i samtliga grundskolor så åtminstone per förvaltning eller grundskoleområde, gärna med stöd av SKR:s KLASSA. Många kommuner väljer dessutom att ta in konsulter för att genomföra klassningarna med KLASSA för dyra pengar och utan att den så viktiga dialogen uppstår mellan verksamhet och informationssäkerhetsansvarig. Åtgärderna som levereras ur KLASSA är inte i de flesta fall konkreta utan snarare på en nivå som kräver en egen utredning för framtagning av åtgärder hos kommunen som använder verktyget. För mig känns det som en mycket dyrbar metod som ger ett resultat som i bästa fall är tveksamt. Som jag tidigare skrivit betraktar jag inte det som ett sätt att effektivisera säkerhetsarbetet och föreslår andra möjligheter.

Några andra som inte är så ängsliga för att ta säkerhetsresurser i anspråk är MSB. Myndigheten har nu tagit fram en egen mognadsmodell som såvitt jag kan se inte har något vetenskapligt stöd (däremot en närmast rörande metodbeskrivning med formel och allt). Det framgår inte heller varför man inte tydligare anslutit till ISO 27004 som visserligen nämns men lämnar få spår i utformningen. MSB har gått så långt att man skrivit in ISO 27001/27002 i sin föreskrift för statliga myndigheter så det skulle känts rätt logiskt att man då gått all in i standardfamiljen även då det gäller uppföljning.

Rapporten är ett svar på ett regeringsuppdrag:

MSB fick den 19 september 2019 i uppdrag av regeringen att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen. Uppföljningsstrukturen ska syfta till att aktörer i offentlig förvaltning regelbundet ska erbjudas att medverka i uppföljningen och få återkoppling som omfattar en bedömning om vilken nivå deras informationssäkerhetsarbete befinner sig på samt förslag på åtgärder som bör vidtas för att uppnå en högre nivå på informationssäkerhetsarbetet. Uppföljningsstrukturen ska även syfta till att MSB regelbundet ger regeringen en samlad bedömning om nivån på det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen.

Detta skulle kunna tolkas som något som liknar frivillig tillsyn eller revision men istället har MSB knåpat ihop något som enligt min bedömning (jag har ändå rätt många år i mätbranschen) kommer att ta avsevärd tid att hantera för de organisationer som väljer att delta utan egentlig nytta. Ja, visst får ledningen en överblick men även den som är mest besatt av mantrat ”ledningens genomgång” måste någon gång landa i att det är praktiska åtgärder som måste vidtas för att förbättra säkerheten – det räcker inte att rapportera aldrig så mycket. Jag vet hur betvingande det är med spindeldiagram, jag har stått inför otaliga ledningsgrupper och showat med gott resultat, men det som gav verklig nytta var något annat. Det var de insatser vi lade ner på att skriva detaljerade rekommendationer noggrant anpassade efter den specifika organisationens förutsättningar och risker. Efter att ha läst MSB:s rapport kan jag inte förstå hur denna typ av frågeställningar öht ska kunna besvaras och vad eventuella svar skulle kunna ha för kvalitet:

Hur räknar man ens procent på åtgärder? Är åtgärden att sätt lås på ett dokumentskåp lika mycket värd som att ändra backup-rutiner liksom? Måste åtgärderna att ha varit fullständigt genomförda för att räknas eller räcker det att de är påbörjade? Om det endast fullständigt genomförda åtgärder som ingår kommer då organisationen att prioritera kortsiktiga åtgärder och välja bort de som tar lång tid men som kanske har större betydelse för säkerheten? Att med så många grundläggande osäkerhet försöka tillämpa en formel som denna

 

ger mig ett intryck av ett helt verklighetsfrämmande projekt.

Ett tredje ack så resurskrävande villospår är de externa revisioner som många organisationer väljer att göra. Det är ett enkelt men kostsamt beslut att ta för ledningen. Och när man ser på leveranserna från inte minst större välrenommerade företag blir man ofta beklämd. Rapporterna, som inte sällan kommer i power point-format, är så uppenbart standardrekommendationer som av juniora konsulter klippts samman till något som inte är anpassat till kundens verksamhet och i vissa fall inte ens till svensk kontext. Hur svårtolkade (en eufemism) rapporterna kan vara tyder den absurda upplevelse som jag stött på när ett revisionsbolag anlitas för att uttolka ett annat revisionsbolags rapport och försöka göra om den till något som liknar förslag på begripliga åtgärder. Och nej, det blev inte så mycket begripligare i nästa led.

Trots den bristande kvaliteten i många revisionsrapporter får de orimligt stor betydelse i många organisationer. Ledningar tar dem på stort allvar och tycker sig ha fått ett underlag både för den så omtalade ”benchmarketingen” och för att att kunna vidta rätt säkerhetsåtgärder.  Det är inte så konstigt; ledningen tycker sig ha betalat dyrt för att få en professionell genomgång av ett område som man själv i de flesta fall är dåligt insatt i. Att ställa kritiska frågor är inte aktuellt, särskilt om det skulle kunna avslöja ens egen bristande kunskap.

Vid ett inte oväsentligt antal tillfällen har jag tyckt när jag läst rapporterna att de varit mer eller mindre vilseledande när det gäller vilka åtgärder som rekommenderas. Eftersom de som utfört revisionen på ett industriellt sätt inte haft möjlighet att sätta sig in i kundens förutsättningar kan fokuseringen på de prefabricerade åtgärderna leda till både dubbelarbete när vissa element faktiskt redan finns på plats men under annan benämning än revisionsbolagets och till att väsentliga risker missas. Dessutom är hänsyn sällan tagen till beroendeförhållandet mellan olika åtgärder, något som kan göra att kundens åtgärdsarbete blir alldeles i onödan ineffektivt. Ibland betonar revisorerna väldigt specifika åtgärder som den som arbetar med säkerhet i organisationen vet att man redan klarat av på annat sätt eller att avsaknaden av åtgärden innebär en mycket liten risk. Detta går dock inte fram till ledningen som sätter en större tillit till den ytliga granskningen än till den egna personalens bedömningar – onödig kraft läggs då på att checka av åtgärdsförslagen istället för på att reducera verkliga risker. Säkerhetsarbetet kan därmed snedvridas på avgörande sätt för lång tid fram över.

Detta är bara tre exempel, det finns många fler metoder och krav som kan ses som på det hela taget tämligen improduktiva. Det är naturligtvis inte en slump att compliance och rapportering är så populärt. Det är betydligt lättare att ”granska” än att skapa fungerande säkerhetsåtgärder – tro mig, jag har varit på båda sidorna. Ibland skulle jag vilja gå så långt som att det borde vara förbjudet föreslå metoder och åtgärder för den som inte själv stått i det praktiska slitet att försöka förbättra säkerheten i en faktiskt existerande organisation. Det är först då en djupare förståelse för hur komplicerat det är att förbättra den verkliga säkerheten, inte bara den som finns i kolumner och poängsättning.  Säkerhetsbranschen har anammat synsätten som leder till största nackdelen med NPM med oklara rambeskrivningar, mätningar och rapporteringar en masse. Trots att aktörerna i branschen som sagt ofta i andra sammanhang klagar på administration tycks man blind för den negativa byråkrati man själv skapar och som äter upp resurserna som skulle gjort så mycket större nytta i kärnverksamheten.

 

Fler styr och räknar – färre vårdar patienter

Informationssäkerhetskraven såsom de ser ut idag trängs med likartade strukturer för hållbarhet, miljö, jämställdhet, ekonomi m.m. som alla är viktiga men samtidigt tar kraft från det egentliga uppdraget. Det är tyvärr inte så stor risk att vi råkar ut för något ansvarsutkrävande men vi borde verkligen se oss i spegeln och ställa frågan om vi är närande eller tärande. Sannolikt mest det senare vilket borde sporra oss till att tänka på att varje timme vi tvingar alternativt uppmuntrar andra till att lägga på att svara på frågor och rapportera tas från en sjuksköterska eller lärare eller någon som producerar något vettigt.

 

Mycket skrik för litet ull?

Tre rapporter rörande obligatorisk incidentrapportering har kommit sedan årsskiftet: två från MSB och en från IMY (Integritetsskyddsmyndigheten). Spännande läsning men säger rapporterna något väsentligt som jag kan dra nytta av i mitt säkerhetsarbete?

Under senare år har det nationella och även europeiska säkerhetsarbetet präglats av en klockarkärlek till obligatorisk inrapportering av incidenter. Själv känner jag mig mer ambivalent. Å ena sidan kan det tyckas som en självklarhet att det ska finnas en nationell lägesbild över vad som händer både för det akuta läget men även för att dra nytta av erfarenheterna som det brukar heta. Å andra sidan är incidentrapportering en aktivitet som rusar i komplexitet när man bara börjar skrapa på ytan, det räcker att försöka rigga en fungerande process i den egna organisationen för att inse det. Se bara den enkla processbeskrivning jag tagit fram som stöd för den enskilda organsiationer:

Tyvärr måste jag medge att jag inte är alldeles övertygad om att kvantitativa insamlingar av något så komplext som incidenter är det bästa sättet att bringa klarhet i vilka verksamhetsstörningar och andra typer av realiserade hot som kan kopplas till it-incidenter (vilket är det som MSB och NIS-direktivet fokuserar på). Förutom att det tynger de inrapporterande verksamheterna i kritiska faser undrar jag generellt om kvaliteten på rapporteringen och vilken säkerhetshöjande effekt den har.

Generellt är det ett problem att det saknas systematik i det nationella säkerhetsarbetet. I myndigheter, kommuner, regioner och företag försöker vi få till en PDCA-snurra med ett tydligt C men i de nationella satsningarna för att stödja säkerhetsarbetet tycks inte utvärdering ses som ett nödvändigt steg. För att ta ett par exempel så har jag frågat MSB om vilken utvärdering som skett av det s.k. Metodstödet som ligger ute Informationssäkerhet.se och vilken säkerhetshöjande effekt det haft samt ställt samma typ av fråga till SKR angående KLASSA. I båda fallen var svaret att man inte genomfört någon utvärdering och några planer i den riktningen nämndes inte heller. Det finns en risk att mycket blir vad jag brukar kalla ”religiös säkerhet”, d.v.s. åtgärder som vidtas i god tro men där det krävs just tro istället för evidens för att se resultaten. Ofta handlar det om det som jag redan skrivit om som Graeberskt: när arbetet stannar vid dokument som skrivs, mallar som fylls i, enkäter som besvaras och engångsutbildningar som inte leder till någon djupare kunskap. När en kommun glatt skriver om att deras styrande dokument blivit ”godkända” av tillsynsmyndigheten men att man inte tittat på hur det faktiskt ser ut i verkligheten tycker jag mig leva i Graebers värld av BS jobs. Det finns en risk att nationell incidentrapportering blivit så populär just för att den kan röra sig i denna värld.

Vad kommer man då fram till i rapporterna?  För att få litet grepp om frågan har jag gjort en sammanställning av 2020 års inrapporterade incidenter:

Läs mer

Standardens paradox

Under de (alltför) många år jag arbetat med informationssäkerhet har ingen företeelse varit mer omhuldad än de standarder som använts som stöd i arbetet. När jag började var det BS 77 99 och nu har vi en hel 27000-familj.

Även om jag under alla år har haft en god hjälp av standarderna har jag aldrig riktigt kunna gripas av samma entusiasm som de många, inklusive utgivare av myndigheters föreskrifter, som sett standarderna som ett magiskt spö som det i princip räcker att hänvisa till så försvinner säkerhetsproblemen. Jag har redan skrivit ett antal inlägg, bl a här och här  berör den ganska problematiska övertro som finns i Sverige till standardens kraft att skapa bättre informationssäkerhet. Med tiden har jag kommit att fråga mig om sättet att se på framför allt ISO 27000 kanske snarare stjälpt än hjälpt informationssäkerhetsarbetet.

En rejäl tankeställare fick jag när jag hade uppdraget att försöka få in säkerhetsperspektivet i en utredning om e-hälsa. Få saker har jag misslyckats så kapitalt med och en av orsakerna, förutom mina egna brister, var att både utredaren och utredningens sekretariat så fort frågan kom upp smashade bort den som en irriterande fluga med: vi gör en hänvisning till att standarder ska användas. Eftersom jag inte förstår en vink när jag får den eller snarare bryr mig om den så fortsatte jag och försökte även få ett förtydligande vilka standarder som skulle användas och hur. Som ni säkert förstår fick jag aldrig några svar på mina frågor utan det ansågs helt tillfyllest att säkerhetsproblem skulle hanteras via ”standarder”. Självklart förstår jag lockelsen i att det skulle kunna fungera så. Problemet är att det inte gör det.

Om man tittar bakåt så var standarder i industrisamhällets begynnelse en typ av nationella och internationella överenskommelser om framför allt utformningen av tekniska produkter och mått. En av mina favoriter är standarden för avstånd mellan hålen för hålslag. Det är ju ett sant kaos som väntar om hålslagen utformas hur som helst och ingen vet vilka pärmar som kan användas för vilka papper.  Men vad händer egentligen när man flyttar över standardiseringsidéen från vidden för järnvägsspår till hur organisationer ska styra olika verksamhetsområden? När standarder som framtagits utan kontroll från lagstiftare och den egna förvaltningen ska leva sida vid sida med den ordinarie styrningen?

I en mycket intressant artikel från Örebros universitet har författarna (Andersson, Karlsson och Hedström) genom diskursanalys försökt förstå hur framtagandet av standarder i 27000-serien egentligen går till. Som en bakgrund gör de en åtskillnad mellan s.k. de facto-standarder som ta fram av ett företag eller flera företag tillsammans som har ett konkret behov av standardisering. Den andra typen av standarder benämns de jure-standarder som kan utvecklas av olika lagstiftande organ alternativt myndigheter eller av oberoende standardorganisationer som ISO.  27000-serien är alltså en de jure-standard men ligger utanför det lagstiftande området.

Artikeln lyfter också fram att denna typ av standarder strävar efter att skapa en konsensus av vad som bland experter inom området anses vara ”best practice” vilket även framgår tydligt i arbetet med informationssäkerhetsstandarden:

De jure standards play a central role in information security, and organizations are increasingly required to demonstrate compliance with them (Smith et al., 2010; Tsohou et al., 2010). Standards are said to be consensus-based; they reflect “best practices,” as negotiated by experts. In fact, on their website, ISO refers to “standards” and “best practices” interchangeably. “Best practice” is generally referred to as “a working method or set of working methods that is officially accepted as being the best to use in a particular business or industry” (Cambridge Dictionary, 2019). The rhetoric is that standardization is “governed by the principles of consensus, openness, transparency, national commitment and technical coherence” (CEN, 2015) where “groups of experts from all over the world” (ISO, 2014) make “top quality standards” (ETSI, 2014 1423). Thus, the negotiation between experts takes place in discourses, where best practices are constructed through wordings of the standards.

De jure information security standards are likewise made valid and legitimate through an “appeal to common practice and authority” (Siponen and Willison, 2009). However, there is a lack of empirical evidence for what is considered best practice in standardization, because the discourses governing the reasoning remains hidden from public view. It is, therefore, difficult to evaluate the reliability and objectivity of information security standards (Siponen and Willison, 2009). Thus, when considering the pervasive and normative role these best practices have on safeguarding information, information systems, and infrastructures controlled by such systems, it is important to understand the discourses that construct them. If these standards do not represent best practices, then a large number of countermeasures would share the same type of vulnerabilities.

Det kan alltså ifrågasättas vad standardens ställningstagande egentligen bygger, om dess anspråk på att vila på ”best practice” uppfylls. Eftersom den inte bygger på evidens skulle dess USP bestå just i en bred erfarenhetsbaserad kunskap. Om inte denna grund finns påverkas naturligtvis standardens legitimitet. Senare i artikeln framgår på ett litet roande och samtidigt avslöjande sätt hur ytterst få som deltar i standardarbetet även om man tågat omkring på standardiseringsmötena som en fåmansprocession under beteckningen ”Sweden”. Artikelförfattarna gör en maktanalys av själva arbetet med framtagandet av standarder men jag tycker att en vidare maktanalys av hur en mycket liten krets knutna till standardarbetet har haft ett helt dominerande inflytande över svensk förvaltnings arbete med informationssäkerhet. Resultatet har blivit en hegemonisk doktrin om att ISO 27000 är den enda framkomliga vägen att arbeta med informationssäkerhet i svensk förvaltning trots att denna doktrin vare sig bygger på evidens eller ”best practice”.

Så här 11 år efter att ISO 27000 pekades ut som vägledande för svenska myndigheters arbete med informationssäkerhet i MSB:s föreskrift MSBFS 2009:10 (ytterligare markerat i de följande föreskrifterna fram till den nu gällande MSBFS 2020:6) så tycker jag inte det är uppenbart att det var ett helt lyckat vägval. Detta bygger jag på att informationssäkerhetsarbetet knappast kan ses som särdeles framgångsrikt mätt med tillgängliga måttstockar, d.v.s. de granskningar som gjorts både generellt och de som gjorts med inriktning på samhällsviktiga sektorer som exempelvis sjukvård. Låt oss komma ihåg att detta inte är den enda möjliga vägen att välja. I Finland antogs i år en rekommendationssamling  av informationshanteringsnämnden under finansministeriet som explicit undviker att hänvisa till någon standard:

Rekommendationerna hänvisar inte till några allmänna standarder eller referensramar och ger inga anvisningar om tekniska lösningar, som kan förändras till och med snabbt. Utifrån en riskbedömning som görs från fall till fall ska varje myndighet välja tillräckligt säkra tekniska lösningar som är lämpliga i den aktuella situationen.

Jag kommer ihåg att ansvariga för Normen i Norge förde samma resonemang i sina regler för informationssäkerhet i vården, man ville inte referera till någon särskild standard. Uppfattningen var att det var möjligt  att plocka ut det man ville ha ur standarder utan att behöva ansluta sig till en helhet som inte kunde kontrolleras av norsk sjukvård.

När standarder lämnar tekniska specifikationer och övergår till organisatorisk styrning uppstår paradoxala effekter. Jag tänker nu på att ISO 27000 innehåller mycket allmänna krav, att det ska finnas informationsklassning men inte hur den ska utföras eller vilken normskala som ska tillämpas. Varje organisation ska själv ta fram sitt eget komplexa ledningssystem med de komponenter som anvisas i standarden men utformningen och tillämpningen kommer att se väldigt olika ut, det tror jag varje erfaren konsult kan intyga. Istället för centrala regler som specificerar olika lösningar får vi alltså en mängd olika regelverk som ska användas i samma infrastruktur. Standarden leder alltså sannolikt till mindre standardisering på grund av sin inriktning på enskilda organisationer istället för på helhet.

Bräckligheten i kunskapsunderlaget och det fragmentiserade resultatet är två orsaker att ompröva ISO 27000 ställning i den offentliga verksamhetens informationssäkerhetsarbete i Sverige. Vi behöver inte kasta ut barnet med badvattnet men vi måste våga ifrågasätta doktrinen även om de som har byggt upp en stark ställning med hjälp av standarden riskerar att ta illa upp. Informationssäkerhet är en för viktig fråga för att vi ska ha råd med heliga principer som inte tål att diskuteras.

Den byråkratiska informationssäkerheten

Statskontorets publikationer är en underskattad men ständig källa om inte till glädje så till mycket nyttig kunskap. Under sommaren har jag en forskningsantologi kallad Statlig förvaltningspolitik för 2020-talet. Min bedömning är att denna antologi är ett måste för den som arbetar med informationshantering eller informationssäkerhet i offentlig sektor. Här får man så mycket sammanhang och tankar att man går ur boken som en tjänsteperson eller konsult stärkt och betydligt bättre rustad att hantera sitt uppdrag.

Ur en informationssäkerhetskonsults vinkel är det framför allt avsnitten om hur förpappring, managementbyråkrati, användning av standarder och konsulter riskerar leda inte bara till onödig administration utan också till bristande styrförmåga. Tyvärr är det mycket som känns obehagligt välbekant. Det är dystert att blir varse om hur det område man själv jobbar inom liksom man själv kanske är en förgiftad gåva till uppdragsgivaren, att det kostar mer än det smakar. Vi kanske ödmjukt borde inse att informationssäkerhet alltför ofta ger upphov till mer byråkrati än nytta, till mer krångel än säkerhet. En ständigt närvarande fråga borde vara hur kan vi skapa bättre säkerhet utan att tynga våra uppdragsgivare och utan att ta kraft från organisationernas verkliga uppgifter. Hur mycket har alla de icke-fungerande ledningssystem inte kostat i pengar, incidenter och en falsk trygghet som hindrat att man vidtagit reella säkerhetsåtgärder. Slutligen är det för mig oetiskt att ta mer resurser från kärnverksamheten till säkerhet om det inte går att påvisa att det är nödvändigt.

Givna frågor borde vara:

  1. Har den här åtgärden en säkerhetshöjande effekt som står i paritet med den kostnad och krångel som den orsakar verksamheten?
  2. Är den här åtgärden verkligen avpassad till och tar hänsyn till verksamhetens egentliga behov av säkerhet? Indirekt: vet jag som vill lansera den tillräckligt mycket om verksamhetens behov för att kunna avgöra det?
  3. Kommer den här åtgärden verkligen att fungera i praktiken eller är den en ren pappersprodukt? Och kommer den även att fungera över tid, t.ex. när konsulten lämnat skeppet?
  4. Finns det verkligen inte ett effektivare sätt att reducera risken till en acceptabel nivå?

Varför fungerar då så mycket av informationssäkerhetsarbetet så dåligt trots de avsevärda resurser som läggs på det från olika håll? Efter att ha begrundat Statskontorets antologi vill jag på prov lansera hypotesen att många av informationssäkerhetens tillkortakommande beror på att arbetet bedrivits som en del i den new public management-trend som varit rådande i svensk förvaltning de senaste decennierna. NPM diskuteras frekvent i antologin och många av dessa resonemang kan med lätthet översättas till informationssäkerhetsområdet. Kännetecknande för NPM är bland annat en strävan att styrformerna i offentlig förvaltning ska likna de i privata företag. Konsekvenserna blir i korthet decentralisering, ram/mål-styrning, standarder och en massa mätande. Det som regleras är vad som ska göras men inte hur. Ansvaret för hur åtgärder ska genomföras trycks ner i den decentraliserade strukturen. Någon som kommer att tänka på den så omtalade ansvarsprincipen kanske?

NPM kan låta lockande men jag skulle säga att informationssäkerheten nationellt och i de enskilda organisationerna lidit stor skada av att det inte funnits en inriktning att ge tydliga direktiv om hur olika säkerhetsåtgärder ska utföras. Det är en närmast kuslig suboptimering att varje organisation ska räkna ut allt själva. Kravet på kortsiktig leverans och mätbarhet gör att det strategiska arbetet försummas.

Dessutom leder till en bristande samordning i en alltmer integrerad informationsinfrastruktur där en parts investering i säkerhet görs helt urarva genom att andra aktörer har gjort andra bedömningar och därmed inte infört samma skydd. Fokus ligger också på dokument, standarder och rapportering, allt i enlighet med NPM:s styrfilosofi.

Jag tror inte att motståndet mot att få en konkretare styrning i säkerhetsfrågor ligger hos enskilda myndigheter, kommuner eller regioner, tvärtom är en vanlig utgångspunkt i diskussioner att man vill ha tydlighet och stöd i att veta vilka säkerhetsåtgärder som är adekvata och uppdaterade. Snarare uppfattar jag att myndigheterna med föreskriftsrätt duckar och inte vill ta det ansvar som det innebär att peka med hela handen. Det är liksom lättare att klaga på den bristande säkerheten i förvaltningen än att ge ett ändamålsenligt stöd.

Jag vill lansera ett förslag som jag haft sedan jag jobbade på MSB som exempel på hur vi skulle kunna bryta med ovanstående ineffektiva styrning och få en bättre och billigare säkerhet. Mitt förslag är och har varit att erbjuda stöd i form av standardiserade skyddsnivåer och det jag kallar normerande klassningar. Skyddsnivåer har jag skrivit om tidigare så därför koncentrerar jag mig på de normerande klassningarna.

Det mest uppenbara exemplet på hur det skulle kunna fungera gäller kommunal verksamhet. Tänk er att det finns 290 kommuner med samma tio obligatoriska uppgifter. Det leder till att man har i grunden har mycket likartade processer även om man ofta har egna beteckningar på förvaltningar, processer och informationsmängder. I större kommuner kan det vara så att flera organisatoriska enheter ägnar sig åt samma slags verksamhet, exempelvis förskola eller äldreomsorg. Man kan också anlita utomstående leverantörer för att driva verksamhet som till exempel ett äldreboende.

En viktig grundprincip för kommunal verksamhet är likvärdighet, dvs. att invånare har rätt att förvänta sig samma kommunala service oavsett var man bor eller vem som är utförare. I det här sammanhanget bör det tolkas som att invånare har rätt till samma säkerhet och integritet. Detta uppnås dock knappast om informationsklassningar genomförs på tusentals olika sätt med helt olika resultat (jag kommer inte att ta upp SKR:s KLASSA här eftersom jag gjort det på annat ställe och kommit fram till att det inte är ett verktyg för informationsklassning utan möjligen för att ställa baskrav på enskilda system och som dessutom ger precis samma risk för olikartade bedömningar som om man inte använde verktyget).

Vad som skulle leda till både ensartade bedömningar och dramatiskt minskad resursåtgång är att göra normerande klassningar på prioriterade processer i kommunal verksamhet. Man skulle då gå igenom en generisk process, exempelvis utbetalning av försörjningsstöd, se vilka informationsmängder som stödjer och skapas  i de olika aktiviteterna i processen. Därefter kan informationsmängderna klassas och den normerande klassningen användas av samtliga som utbetalar försörjningsstöd. I och med att aktiviteter och informationsmängder är förvånansvärt konstanta över tid i många processer (tro mig, jag har gått igenom ett stort antal processer även i ett ”historiskt” perspektiv) så skulle denna grund kunna användas under lång tid. Uppdateringar måste göras då exempelvis lagstiftning eller andra nya förutsättningar leder till att en förändrad bedömning blir nödvändig. Även denna förvaltningsinsats har allt att vinna på att genomföras kollektivt och inte av varje informationsägare. Och, observera, den normerande klassningen är bara ett stöd. Det står varje informationsägare fritt att välja en annan nivå eftersom ansvaret för säkerheten kvarstår hos hen.

Ytterligare en poäng är att det här finns mycket stora samordningsvinster att göra även med dataskydd och arkiv.

Jamen systemen och it-tjänsterna säger ni uppbragt – varför finns inte de med i konceptet??? Det gör de faktiskt eftersom it-säkerheten hanteras i de standardiserade skyddsnivåerna och gör man sin processorienterade informationskartläggning rätt så identifierar man inte bara de digitala lösningar som används som bärare utan även de andra medier som faktiskt används. Dessutom förekommer idag information i många fall i flera versioner på olika bärare så därför kan man inte gå nerifrån och upp. Slutligen är bärarna inte alls lika konstanta som aktiviteter och informationsmängder så att ha dem som utgångspunkt för strategiskt styrning skulle vara göra sig själv en stor otjänst.

En passant kan sägas att samma synsätt sannolikt skulle kunna användas av SÄPO till allas nytta. Att göra generiska säkerhetsskyddsanalyser för exempelvis kommuner och regioner skulle avlasta dessa aktörer och ge ett mer likvärdigt skydd. (Jag flyr nu eftersom jag vet att detta är en helig ko som absolut inte får besudlas….).

Min förutsägelse är att det inte finns något ljus som automatiskt kommer att slås på i denna mörka byråkratiska tunnel utan det är vi själva genom att tänka fritt och nytt som måste skapa det. Det är inte i mängden dokument säkerheten sitter.

Riskmenageriet

Det är lätt att bli tidsblind men jag tror att vi även efterhand kommer att uppfatta våren 2020 som den värsta krisperioden i Sverige sedan andra världskriget. Skadad av historiska studier är jag väl medveten om hur svårt det är att bedöma nutiden medan den pågår men har ändå blivit fascinerad av hur den nationella beredskapen fungerar när det som alla pratar om men ingen sett inträffar. Det vill säga den stora samhällskrisen.

En termometer på hur väl det svenska krissystemet mår är den centrala myndigheten för dessa frågor Myndigheten för samhällsskydd och beredskap, MSB. Jag hade egentligen, efter att ha studerat ett ganska stort antal allmänna handlingar, tänkt fortsätta skriva om hur myndigheten hanterat det beryktade enkätverktyget. Det är i sig en intressant historia som i delar redan skildrats av flera medier, kanske mest heltäckande av Arbetaren bland annat här. När man läser handlingarna är det så många överraskande steg allt sedan regeringen den 19 mars ger MSB ett uppdrag (Ju2020/01165/SSK) :

Regeringen uppdrar åt Myndigheten för samhällsskydd och beredskap (MSB) att säkerställa att myndigheternas information med anledning av utbrottet av det nya coronaviruset är samordnad och tydlig samt att det finns effektiva kanaler för att föra ut informationen. I uppdraget ingår att skyndsamt utarbeta ett nationellt informationsmaterial som på ett effektivt sätt ska kommuniceras till så många som möjligt.

MSB får 75 miljoner (!) för att genomföra uppdraget under 2020, ett uppdrag som till synes inte på något sätt innehåller smittspårning eller insamlande av uppgifter. Kanske är det de 75 miljonerna som snedvrider uppdraget från början, kanske lockar de 75 miljonerna till sig aktörer som ger myndigheten tips om vad de skulle kunna hitta på för att sätta sprätt på pengarna. I vilket fall så är det inte MSB:s professionella kommunikatörer som får lead i detta jättelika kommunikationsuppdrag utan Avdelningen för cybersäkerhet och säkra kommunikationer. Det formella beslutet på denna interna delning kommer den 26 mars, dagen efter att MSB bjudit in Folkhälsomyndigheten till ett möte där den förra myndigheten erbjuder den senare ett digitalt verktyg, allt enligt minnesanteckning från mötet:

Kort möte med GD Folkhälsomyndigheten (FHM) sen em 25/3.

MSB tar upp initiativ kring digitalt verktyg för digital självskattning.

GD FHM positiv, betonar att ett sådant här verktyg inte ska driva fysisk testning i fel riktning. Viktigt att anpassa svar på självskattning så respondenten inte förväntar sig att bara för att man gör digitalt test så får man fysiskt test.

Vad som händer under veckan där MSB:s samordningsuppdrag för myndigheters kommunikation angående corona övergår till att handla om ett digitalt verktyg för självskattning av smitta är för mig okänt men det är uppenbart att det är MSB som vill ha verktyget. Litet småaktigt vill jag poängtera det eftersom jag själv blivit åthutad på sociala medier av en i utvecklingsarbetet involverad konsult när jag hävdade att det var så det låg till. Några dagar efter åthutningen gick MSB officiellt ut och sa att det var på deras initiativ som verktyget tagits fram. Note to self som konsult: undvik att agera som dina kunders talesperson om du inte formellt blivit ombedd. Enligt den juridiska utredning som MSB låter en extern byrå genomföra framgår det att det inte ingår i MSB:s uppdrag att bedriva smittspårning. Därför måste man ha med sig expertmyndigheten FHM för att kunna genomföra projektet med digital självskattning. Redan här går det se de problem som snart kommer att göra att projektet blir en återvändsgränd. Rollen som samordnande myndighet kräver respekt för olika aktörers uppdrag och mandat och detta särskilt i trängda lägen, inte att man försöker ta över andra myndigheters uppgifter.

Sedan följer en närmast smärtsam historia fram till slutlig nedläggning via ett antal anhalter där det blir allt tydligare att ingen utom MSB (och leverantör samt konsulter) är intresserade av verktyget. Kontentan blir x antal miljoner i sjön (konsultkostnaderna är inte medräknade i de 6,4 miljoner som MSB ska betala till leverantören), en granskning av Konkurrensverket och ett rejält tapp i anseende när MSB som bäst skulle behöva det. Sannolikt har MSB tappat i förmåga att genomföra det egentliga uppdraget från regeringen: att samordna myndigheters information angående corona vilket knappast kan glädja uppdragsgivaren. Det går att föreställa sig mindre trivsamma samtal på regeringskansliet.

Som en slutkommentar till Arbetaren säger MSB:s pressekreterare:

Vi tar hellre kritik för att vi skyndar på att ta fram en lösning som på något sätt kan vara till hjälp när människor dör, än att få kritik för att vi sitter på händerna och inte gör något. Vi ansåg att vi var, och är, i ett läge där det var viktigt att agera när det handlar om människoliv.

MSB reagerar alltså exakt på det sätt som jag skrivit om i ett tidigare inlägg, att göra NÅGOT känns alltid bättre även om detta något är inte leder framåt eller förbättrar situationen. I krissituation är det viktiga tillit och att alla vet vem som ska göra vad. I bakhuvudet gnager en liten olustig känsla av att myndigheten kan ha reagerat på yttre påverkan vilket lett fram till haveriet. Det är lätt att glömma bort att de vanligaste påverkanskampanjerna är de ekonomiska.

Det skulle vara lätt att göra sig lustig över denna tragikomiska historia. Det är inte min intention. Istället får den mig, liksom många andra i dessa dagar, att reflektera över den svenska beredskapen och myndigheters förmåga. Framförallt funderar jag på hur MSB (och andra myndigheter) förefaller så synnerligen oförberedda på en pandemi att man är tvungen att kasta sig in i så äventyrliga och ofruktbara aktiviteter som webenkäten. Pandemi är verkligen inte en svart svan i ett riskperspektiv utan snarare vad Michele Wucker kallar en ”grå noshörning”:

A “gray rhino” is a highly probable, high impact yet neglected threat: kin to both the elephant in the room and the improbable and unforeseeable black swan. Gray rhinos are not random surprises, but occur after a series of warnings and visible evidence.

Pandemier har redan inträffat och har varit på MSB:s short list över samhällsrisker ända sedan myndigheten startade. Ändå tycks inte nödvändiga förberedelser för samordning i en pandemisituation ha gjorts. Detta ska inte MSB lastas för utan snarare de regeringar som styrt under perioden. Kanske måste djurmetaforerna gå vidare till svarta strutsar (ja, jag vet att det inte är så i verkligheten att strutsar gräver ner huvudet vid annalkande fara men det är en bra metafor).

Nu pratas det i alla politiska läger om vikten av att förbättra den civila beredskapen och kanske till och med snegla tillbaka till beredskapens guldålder i Sverige: 1970-talet. Problemet med detta är att det innebär att ett antal av dagens heliga kor måste slaktas om det ska fungera. Det är inte bara mycket stora ekonomiska resurser som behövs. Vi har under närmare 40 år demonterat den starka staten som är en förutsättning för en sammanhållen nationell beredskap och istället privatiserat och fragmentiserat ansvaret utan tanke på hur alla skärvor ska kunna skapa en helhet då det behövs. Typexemplet på detta är ansvarsprincipen som inte är inskriven i någon lag men som har haft en förödande inverkan på den gemensamma styrningen av krisberedskapen. Fragmentiseringen har inte kompenserats med en stark myndighet som nationellt nav. MSB:s roll är istället att försöka samordna utan sammanhållen nationell planering och i stort utan mandat att faktiskt styra samhällsviktiga aktörer. Fallet med webenkäten får tolkas som ett utslag av MSB:s omöjliga roll och borde vara ett exempel av många som bör leda till att ansvarsprincipen omprövas och att en verklig krisberedskapsmyndighet med fullt mandat skapas.

När krisen kommer

Kriser har den fördelen att de oftast tar slut. Att framgångsrikt hantera kriser bygger därför på att man inte bara hanterar nuet utan även framtiden. Folkhälsomyndigheten har varit beundransvärda i att de lyckats hålla blicken uppe och fått allt fler att förstå att bekämpningen av coronaviruset inte bara handlar om drastiska åtgärder här och nu utan att vi både måste tänka på nästa virusvåg som kanske kommer redan i höst. Ett annat budskap är att vad som ska värnas är folkhälsa där virusbekämpningen inte får överskuggande sekundäreffekter som i totalen skapar större ohälsa och död än själva viruset.

Däremot når nu MSB:s insatser en sådan nivå att de t.o.m. får vara med i satirinslaget Public Service i P1, en ynnest som är få myndigheter förunnad. Inslaget handlar förstås om den famösa enkätappen som jag omnämnde i mitt förra inlägg och som nu även tagits upp i Ekot.

MSB har hintat om lanseringen av appen med en  näraliggande men okänd startpunkt. Tyvärr har myndigheten inte någon kommunikationslinje i frågan, vid konkreta frågor som i Eko-inslaget kommer endast  undflyende svar. Jag kan förstå det. Det är svårt att sälja in en lagring av personuppgifter på befolkningsnivå i en amerikansk molntjänst. Eftersom jag själv varit engagerad i svagheterna i projektet Hälsa för mig så har jag svårt att känna stark tilltro till att det snabbt går att vispa ihop en dylik tjänst med tillräcklig säkerhet och med tillräcklig respekt för dataskyddsförordningen. Det är ju liksom ingen slump att eSam gjort ett uttalande om det olämpliga i att använda molntjänster när personuppgifter eller annan känslig information förekommer.

Vid sidan om själva enkätappen är MSB:s kommunikation om den lika märklig. Grunden för fungerande kriskommunikation är att inte skapa mer oro än nödvändigt utan delge de fakta som finns och som är relevanta i den aktuella situationen. MSB har nu haft några olyckliga veckor trots att de ska vara samhällets experter på kriskommunikation. Kanske tröttnade man att vara transportsträckan i dagliga presskonferensen på Folkhälsomyndigheten och att det var orsaken till att man helt plötsligt spicade upp sin monotona redogörelse om samordningsmöten med länsstyrelserna med att föranstalta en möjlig vattenbrist. En signal som ledde till att redan hårt tyngda kommuner fick svara på helt irrelevanta frågor om icke-existerande vattenbrister från oroliga medborgare och medier. Sedan detta smyglanserande av enkätappen som skapar frågor som inte besvaras utan skjuts till en obestämd framtid. Detta leder inte till en större tillit i krisen.

Någon skulle kunna invända att nu när vi står inför en så stor kris som denna blir frågor som säkerhet och integritet underordnade. Jag håller inte med om detta utan som jag skrev i mitt tidigare inlägg så är det när vi är som mest pressade som vi måste försöka tänka klart och följa de rutiner vi satt i normalläget, t.ex. gällande riskbedömningar. Vi ser nu hur det runt om i världen sker överträdelser mot grundläggande rättigheter och att auktoritära medel som inkräktar på individens sfär alltför villigt vidtas. I Sverige har vi en lång stabil tradition av tillit och respekt men det finns ingen garanti att vi klarar att bevara detta.  Att myndigheterna sköter sig, inte genar eller agerar impulsivt är också grunden för den tillit som krävs för krisbekämpningen – inklusive att genomföra smittspårning m.m. Efterklokt skulle man möjligen kunna kritisera myndigheterna för att de inte tagit fram ett smittspårningsverktyg i mellantiden sedan svininfluensan för ett decennium sedan utan börja ad hoca nu för då skulle säkerhetsfrågorna sannolikt kunnat hanteras på ett systematiskt sätt men det båtar föga.

Naturligtvis skulle man kunna säga att det är dumt att spekulera när så litet är känt och allt det jag skriver nu står på en mycket vacklande grund. Ändå är detta en så viktig fråga att det är svårt att låta bli och spekulationernas kvalitet blir även den ett resultat av MSB:s kommunikationsplan. För mig är det svårt att förstå hur en kombination av inloggning med BankID, amerikansk molntjänst och och känsliga personuppgifter inte skulle leda till mycket stora risker och att dataskyddsförordningen inte kan efterlevas. MSB:s gedigna juridiska kompetens har möjligen gjort en annan bedömning men det är just den man skulle vilja ta del av, särskilt som den rimligen redan är färdigställd om breddlanseringen ska ske i dagarna. Med den som underlag skulle kriskommunikationen kunna ske utan att orimliga spekulationer och onödig oro uppstår. Mitt förslag är att, särskilt efter medieuppmärksamheten, MSB omedelbart presenterar den som är av stort intresse särskilt för oss som följt diskussionerna efter eSams uttalande. Har MSB lyckats knäcka den nöten så är det stora nyheter för både offentliga och privata organisationer. Eller så har jag och en hel del andra missuppfattat upplägget (inte alls otroligt)  och då vore det ju  bra om MSB gick ut och beskrev hur det egentligen ser ut.

Är det så att MSB inte har ett vattentätt underlag så kommer man att underminera det mycket mödosamma arbete som bedrivs i många, om inte de flesta, organisationer, idag för att nå fram till ett ansvarsfull sätt att hantera molntjänster. Detta menar jag vore förödande för MSB som den myndighet som ska samordna samhällets informationssäkerhetsarbete slarvar med säkerheten. Det skulle leda till att det svenska samhället skulle få ännu svårare att bemästra de mycket utmanande uppgifter vi redan står inför. MSB:s egen verksamhet är ett show room för hur det är tänkt att andra myndigheter ska agera och förutom legitimitet finns det också mycket reell säkerhet att förlora om inte MSB klarar sin roll att leda genom sitt exempel.

MSB:s skrift Om krisen eller kriget kommer har en aningen märklig titel som om det finns ett krisfritt alternativ. Jag tror både myndigheten och vi andra skulle tjäna på att ”när” snarare än om, i alla fall när det gäller kriser. När krisen verkligen kommer skapas ett skilje där organisationer och individer ofrivilligt visar sitt virke, om man klarar att fungera rationellt även under press. Planering för vad som ska göras när allt står på ända är ett bra sätt att stärka sitt virke. Så än mer att kunna upprätthålla sina principer och sin planering när krisen väl inträffar.

Länge fanns en syn att säkerhet var ett hinder för en fungerande verksamhet. Långsamt har vi tagit oss till en situation där allt fler ser att säkerhet inte är hinder för verksamheten utan en förutsättning, och då alldeles särskilt i svåra situationer. Vi kan inte gå tillbaka till ett antingen det ena eller det andra, vi måste fortsätta kämpa för både effektivitet och säkerhet. Det är bra om MSB befinner sig på rätt sida i det arbetet så att inte nya stora problem har skapats som ger utslag när krisen väl är över.

Nej, det är inte alltid bäst att göra ”något”

Jag kommer nu att ikläda mig rollen av glädjedödare i dessa ändå så svåra tider – jag ber om ursäkt för det. Under de senaste veckorna i coronans tid så blommar olika personligheter och mänskliga beteenden för att hantera kriser ut. I denna vilda blandning av känslor och rationalitet är det inte lätt att urskilja vad som är vad. Jag tänker nu oftare än vanligt på hur viktigt individens men också organisationens sätt att agera varit i de mer kritiska situationer jag varit inblandad i och vem jag skulle vilja ha vid min sida i en verkligt akut situation.

Att inte låta känslorna styra i en krissituation kan nog alla hålla med om i teorin. Vi vet att stress försämrar vår tankeförmåga och att det därför i krissituationer är lätt att tillgripa helt fel lösningar eller missa uppenbara svagheter i handlingsalternativen. Likaså är historien rik på exempel där boten varit värre än soten, d.v.s. att de åtgärder man vidtagit för att hantera ett akut problem på kort eller lång sikt lett till värre konsekvenser än det ursprungliga problemet kunnat orsaka. En illustration på detta är agapaddan som trettiotalet importerades till Australien från Hawaii som ett slags biologiskt bekämpningsmedel av en skalbagge som hotade sockerbetsodlingar. Nu finns det över 100 miljoner av den giftiga paddan som hotar djur- och växtlivet på hela kontinenten.

Detta försvåras av att de sekundära problemen kanske uppstår inom ett helt annat område än där den ursprungliga krisen rör sig. De som arbetar med krishanteringen kan därmed inte överblicka de möjliga sekundära konsekvenserna eftersom man kanske inte ens har rätt kompetens för att upptäcka dem. Jag ska inte här gå in på det utslitna filosofiska järnvägsproblemet där olika liv ställs mot varandra utan nöjer mig med att säga att ALLA mår bra av att läsa filosofi och dessutom tänka några extra varv.

När vi blir utsatta för en  pressande situation får många individer och organisationer ett starkt behov av att agera. Att agera är ångestdämpande i sig för det ger känslan av att påverka hotet oavsett effekten av åtgärderna. Just här menar jag att det just nu finns ett riskabel situation när både individer och myndigheter i positiv anda försöker bekämpa coronan eftersom man i vissa fall tycks släppa sitt ordinarie säkerhetstänkande (vilket väl i ärlighetens namn inte är på toppnivå ens i normalläget). Samma sak med integritet och skyddet av personuppgifter. De nya och provisoriska arbetssätten leder till nya risker som måste fångas upp och reduceras.

Anekdoter om hur man helt plötsligt fått oväntat besök i sitt Teams- eller Zoom-möte florerar utan att det observeras som ett säkerhetsproblem. Okritiska reportage om hur kreativa elever fått skolor att börja använda Discord (!) i skolans uppgifter. Entreprenörer som flashar om att de håller på att utveckla appar för smittspårning. Säkerhet och integritet nämns ytterst sällan och då bara i formuleringar som ”liv går före allt” vilket implicit tycks betyda ”vi struntar i informationssäkerhet och integritet”. Extra betänksam blir jag av att många tycks inspirerade av Kinas övervakningsmetoder och i denna uppskruvade anda inte tycks se vad de kostar. När det i fredags kom ett kort meddelande på Ekot att MSB håller på att ta fram någon form av app för smittspårning åt FHM men inte vill kommentera hur den ska utformas undrar jag hur genomtänkt den lösningen egentligen är (särskilt ironiskt med tanke på att MSB varit en bastion mot spårbarhet som säkerhetsdimension). Eller är detta myndigheter som drabbats av ett akut behov av att se verksamma ut och därför är beredda att hoppa över säkerhetsskacklarna? Det är svårt att se hur en sådan lösning skulle kunna tas fram med tillräcklig legal och säkerhetsmässig analys på så kort tid.

När jag pratar om vikten av säkerhet avser jag inte enbart konfidentialitet. Om man ska skapa olika rapporteringstjänster måste även behovet av riktighet, spårbarhet och tillgänglighet bedömas – annars riskerar man faktiskt att få lösningar där boten är värre än soten. En lösning för akut rapportering som bygger på sms (förekommer faktiskt) leder till falsk trygghet och att nödvändiga åtgärder kanske inte sätts in för att ta ett enkelt exempel.

Det är just i krissituationer som det systematiska informationssäkerhetsarbetet prövas. Det är nu som informationsklassningar och riskanalyser har som störst betydelse för att medvetna risker ska kunna tas av den som är riskägare. Jag vill inte att all kreativitet och god vilja ska kväsas men vi måste arbeta på ett sätt som inte leder till större skador på sikt.  Även om det är kontraintuitivt så måste medvetna bedömningar göras av risker och lagstiftning respekteras. Appar som används för rapportering av symptom för diagnos är exempelvis medicinsk-teknisk utrustning och måste uppfylla kraven på sådan. Vi kan inte ge oss hän åt våra känslor utan måste låta systematiken ge oss tillgång till rationaliteten. Extra illa om en myndighet som MSB signalerar att säkerhet skulle vara av underordnad betydelse i krislägen. Det är nu vi som mest behöver vårt förnuft och då är det inte alltid bäst att göra ”något” utan vi måste göra så rätt som möjligt.

 

 

SKR, myndigheter och sekretessen

Jag ska nu kort återkomma med en uppdatering gällande SKR och överföring av känslig information till denna intresseförening, för bakgrund se föregående inlägg.

För att sammanfatta frågan så har SKR växt som en gökunge i den svenska förvaltningen och fått/tagit allt fler myndighetsliknande uppgifter trots att man, som SKR själva ivrigt hävdar, inte är en myndighet utan en arbetsgivare- och intresseförening. Därav följer att SKR inte har det ansvar och den insyn som en myndighet och vi som medborgare egentligen saknar möjlighet att kontrollera och utkräva ansvar av föreningen. SKR ligger helt enkelt utanför den styrning som den svenska förvaltningen bygger på och det är svårt att ens se vilken lagstiftning som är tillämplig.

Detta förhindrar den kritiska granskning som offentlighetsprincipen möjliggör för myndigheter även om SKR ibland försöker vilseleda genom att hävda att de handlingar som hanteras inom föreningen blir offentliga när de inkommer till medlemmarna. Häromdagen fick jag detta exempel mig tillsänt där Marie Morell (m), ordförande för sjukvårdsdelegationen på SKR, hävdar just detta i en fråga som har en ekonomisk betydelse för enskilda:

En av nätläkarna tycker att det verkar ha varit en bristfällig konsekvensanalys inför beslutet och att det är märkligt att SKL:s handlingar inte omfattas av offentlighetsprincipen.

– Vi har kontaktat dem och skickat ut material till dem vid ett flertal tillfällen. Det är viktigt att de skapar någon form av branschråd så att vi har en motpart att arbeta med. Vi är en ideell förening och som sådan lyder vi inte under offentlighetsprincipen. Men handlingarna blir offentliga så fort de inkommer till respektive region eller kommun, säger Marie Morell.

Det finns alltså ingen insyn i själva processen och som jag tidigare visat är det högst tveksamt vilka av SKR:s många ”interna” dokument som verkligen ses som inkomna till medlemmarna. Att inte ens handlingar i beredande organ hos SKR blir allmänna handlingar hos de regioner/kommuner som har representanter i dessa organ är för mig tämligen hårresande och jag försöker förstå vem en sådan representant tror sig vara. En privatperson som blivit invald i hembygdsföreningens styrelse (inget ont om hembygdsföreningar)?

Nu när offentlighetsprincipen är hotad från olika håll känns det extra angeläget att slå vakt av denna för Sverige (och Finland) unika medborgerliga rättighet. I mitt förra inlägg framförde jag dock att det är likaledes viktigt att se vilka risker det innebär att kommunicera känslig information med en aktör där OSL inte kan tillämpas. Grunden för att kunna skydda känslig information när den utbyts med utomstående parter är att reglera hur informationen får hanteras. När det gäller utbyte mellan myndigheter finns denna reglering i huvudsak redan på plats genom lagstiftningen (även om jag tycker att det ofta finns anledning att förtydliga relationen myndigheter emellan). Här intresserar jag mig inte för säkerhetsskyddsområdet utan framför allt den lagstiftning som gäller normala verksamhetsförhållande men där mycket starkt krav på konfidentialitet finns t.ex. gällande samhällsviktig verksamhet. Notera att det där även finns annan lagstiftning som är ytterst relevant som exempelvis Krisberedskapsförordningen.

Denna reglering saknas då information ska utbytas med privata aktörer som företag och, som i det aktuella fallet, föreningar. Då måste menar jag ett avtal slutas som beskriver villkoren för att informationen ska kunna lämnas ut, åtgärder som ska vidtas och ansvarsförhållanden. För att reducera att konfidentiell information kommer i orätta händer bör man även minimera informationen som utlämnas till det absolut nödvändiga samt ålägga motparten att säkerställa att endast de som verkligen behöver informationen kan ta del av den.

Enligt mitt resonemang är det alltså  en självklarhet att myndigheter måste använda sekretessavtal eller motsvarande när de tänker utbyta information med företag och föreningar. Därför frågade jag två myndigheter som på olika sätt har ett ansvar för samhällsviktig verksamhet om de slutit sekretessavtal med SKR. Först gick frågan till MSB som ju har ett mycket omfattande ansvar i dessa frågor:

Hej!

MSB har ett omfattande samarbete med SKR i olika frågor. Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv. I dessa frågor utbyts rimligen känslig information. SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag. Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.

Efter tämligen lång tid och en påstötning fick jag följande svar:

Jag måste först beklaga att du fått vänta på ett besked men på grund av olyckliga omständigheter har beskedet fördröjts.

Genom en sökning i vårt diarium har vi hittat två avtal med SKR:

  • Överenskommelse om kommunernas krisberedskap (dnr MSB 2018-09779)
  • Överenskommelse om kommunernas arbete med civilt försvar (dnr MSB 2018-05681) Bilaga 1 omfattas av försvarssekretess (15 kap. 2 § offentlighets- och sekretesslagen (2009:400) och lämnas inte ut.

Du har rätt att begära ett skriftligt beslut som går att överklaga. Skriv till registrator@msb.se.

För ögonblicket är jag inte så intresserad av det civila försvaret som ju knappt kommit igång så därför gick jag in på avtalet angående krisberedskap. Det är upp till varje läsare att ta ställning men jag kan inte se att detta dokument på något sätt reglerar sekretessen i förhållande till SKR. Detta kan synas extra anmärkningsvärt i dessa coronaapokalysens tidevarv när Socialstyrelsen sekretessbelägger information för media om vårdens beredskap medan intresseföreningen SKR sitter med på MSB:s samordningskonferens i samma fråga. Visserligen togs sannolikt inga känsliga frågor upp då SKR var med men det visar den vinglighet som finns då det gäller just SKR .

Jag ställde samma fråga till eHälsomyndigheten som tillsammans med bland annat SKR arbetar med den nya e-hälsostrategin (återkommer inom kort angående detta alster) och där man får gissa att det för en del diskussioner om kritiskt infrastruktur osv. Från denna myndighet fick jag bara ett kort nej på frågan.

Detta är förstås bara två stickprov men ändå från myndigheter som är vana att hantera sekretess. Det kan tyckas litet märkligt efter allt som hänt med Transportstyrelsen och andra incidenter där information överförts på oklara grunder.  Mitt intryck (bekräftat av ett antal tjänstepersoner på andra myndigheter) är att myndigheterna helt enkelt inte tänker på att SKR inte är en myndighet utan utgår från att föreningen är som vilken deltagare som helst i myndighetssamarbetena. Inte heller kommuner och regioner verkar reflektera särskilt över detta utan överför utan förbehåll känslig information till det de i vissa fall verkar se som en ”överordnad” aktör. Detta även då det gäller informationssäkerhet. Nyligen skickades ett mail ut från SKR:

Klassa 4.0 har varit efterfrågat länge och nu finns finansiering för ett projekt som inleds i nästa vecka.

Det blir flera förändringar i den nya versionen, bland annat förbättringar av befintlig funktionalitet, bland annat uppdateringar av kravkataloger som genererar uppgifter till handlingsplanen och en nödvändig översyn av upphandlingskraven.

Dessutom blir det en hel del ny funktionalitet, t.ex.:
– En ny modul för att mäta organisationens mognad,
– Möjlighet till uppföljning och att ta ut nyckelvärden för organisationen och anpassat till målgrupp,
– Möjlighet för SKR att ta ut nationell uppföljning på aggregerad nivå,
– Stöd för CISO i det systematiska arbetet och
– Modul för riskanalys.

Dessutom kommer SKR att förstärka sin organisation för att kunna avsätta mer resurser till förvaltning av Klassa. Det kommer att öppnas en möjlighet för statliga myndigheter att använda Klassa. Verktyget kommer dock fortsatt att ägas av SKR med kommuner och regioner som primär målgrupp.

Detta menar jag är ett projekt som bör utsättas för en mycket grundlig riskanalys! Dessutom kan det verkligen ifrågasättas varför denna nationellt intressanta information ska ägas av en förening utan insyn och där det inte heller går att bedöma säkerhetsriskerna.

Det är dags för en mer omfattande diskussion om SKR:s roll. Myndigheterna bör också ha en konsekvent linje i förhållande till ”förvaltningsskvadern” – antingen är man en myndighet med det fulla ansvar som en sådan har eller så få man återgå till att vara en arbetsgivarorganisation en arbetsgivarorganisation som i huvudsak ägnar sig åt sina medlemmars avtalsfrågor. Sekretessavtal bör i dagsläget vara ett minimikrav för alla myndigheter, inklusive kommuner och regioner, som utbyter känslig information med SKR på samma sätt som man reglerar relationen med vilken privat aktör som helst.

 

 

 

 

Hur kunde jag missa den rapporten om SKL/SKR?

Efter att till största delen fåfängligt tröskat runt om SKL/SKR:s (hädanefter benämner jag organisationen SKR trots att den hetat SKL) ställning hittar jag plötsligt en rapport från Riksrevisionen som tar upp EXAKT samma saker som jag skrivit om! Hur har jag kunnat missa det – det var ju inte längre än sedan 2017 den skrevs?

Jag rekommenderar alla intresserade av offentlig styrning att läsa rapporten eftersom här summeras en rad väsentliga frågor. Rapporten handlar framför allt om hälso- och sjukvård men kan även läsas som en mer generell beskrivning av hur SKR fungerar. Som jag i tidigare inlägg försökt återge har styrningen inom den offentligt finansierade sjukvården helt förskjutits i och med att Socialstyrelsen slagits i bitar.

Den svenska förvaltningen bygger på att det finns beredande myndigheter som fungerar som ett mellanled mellan olika intressenter och regeringen. I detta fall har denna mekanism upphört att verka och SKR har istället kunnat förhandla direkt med regeringen och i vissa fall t.o.m. haft en dubbelroll där man kunnat ge sig själv uppdrag. I huvudsak har det handlat om att förmedla statsbidrag som ett otraditionellt styrmedel (rapportens beteckning) vilket paradoxalt gett SKR en roll de facto överordnad sina medlemmar. Just detta har ibland framskymtat i samtal med representanter för vården, att gäller att hålla sig väl med SKR eftersom det i annat fall kan påverka den ekonomiska fördelningen. Sant eller inte, denna roll har inte enbart varit till godo för SKR, särskilt som det inte är små summor man har fått både för att fördela till sjukvårdshuvudmännen och till sin egen organisation.

SKR:s mycket stärkta roll har flera orsaker men en viktig sådan är just de otraditionella styrmedel som regeringen under ett drygt decennium (över-?) använt särskilt i vården där regeringen velat höja ambitionsnivån men varit delvis förhindrad att styra genom det kommunala självstyret. Lösningen har varit olika typer av riktade bidrag och överenskommelser som SKR fått i uppdrag att förmedla:

Överenskommelserna har inte ingåtts med enskilda landsting utan med SKL för samtliga landsting. Det har praktiska orsaker. Det var enligt dåvarande socialministern helt enkelt enklare att teckna överenskommelser med SKL än med 21 olika landsting.

Inom ramen för utvecklingsarbetet framkom också en del kritiska synpunkter från enskilda tjänstemän när det gäller SKL:s roll i överenskommelserna. Ett exempel är att några tjänstemän ställde sig frågande till SKL:s kapacitet att hantera långsiktighet och mer förvaltande uppgifter i samband med överenskommelserna. Flera pekade på att SKL i sin roll har att hantera konflikten i att vara en del i en statlig satsning och samtidigt värna medlemmarnas intressen. Några enskilda tjänstemän tyckte att överenskommelser kan ses som ett slags symptom på att myndigheterna inte fungerar bra; att regeringen i brist på välfungerande myndigheter väljer att vända sig till SKL.

Detta har skapat det SKR som vi känner idag:

Regeringen har använt sig av otraditionell styrning som i stor utsträckning involverat SKL, vilket gjort SKL till en central aktör i styrningen. Riksrevisionens bedömning är att detta skett utan att regeringen aktivt tagit ställning till vilken roll SKL ska ha i styrningen av vården. Att SKL fått stort inflytande kan snarare ses som ett resultat av att regeringen allt oftare valt att ingå överenskommelser som vid varje enskilt tillfälle gett SKL lite mer att säga till om. Att SKL påverkar villkoren för kommuner och landsting är naturligt. I Riksrevisionens granskningar har det dock framkommit att SKL kommit att få ett stort inflytande även över den statliga styrningen av vården (min kursivering).

Givet de begränsningar som finns för regeringen att direkt styra vården är det begripligt att regeringen valt att använda sig av SKL. Mycket talar för att regeringen helt enkelt ansåg att det inte var möjligt att få samma effekt med hjälp av de statliga myndigheterna på vårdområdet. I praktiken har det emellertid inneburit att regeringen har gett SKL en myndighetsliknande roll. Riksrevisionen kan konstatera att det saknas normativa principer för när, och i så fall hur, regeringen kan använda icke-offentliga aktörer för att genomföra sin politik. Det finns fördelar men också nackdelar med att använda SKL i styrningen av vården. Det är Riksrevisionens  bedömning att regeringen inte i tillräcklig utsträckning har tagit hänsyn till konsekvenserna av att använda en intresseorganisation som en del av förvaltningen (min kursivering).

SKL har naturligt närmare till landstingens verksamhet och kan därmed fungera som en viktig länk mellan staten och landstingen. Det har också framkommit att det ur regeringens perspektiv kan upplevas som en snabb och flexibel väg för att nå ut till vårdens huvudmän. Eftersom SKL inte är en myndighet lyder organisationen inte under förvaltningslagen eller regeringsformen. Möjligheterna till ansvarsutkrävande är inte heller samma som om SKL hade varit en myndighet. SKL företräder offentliga organ, men är i sig själv inte ett sådant. Därmed kan varken regeringen, andra myndigheter eller medborgarna ställa samma krav på objektivitet och trans-parens på SKL som på Socialstyrelsen. SKL är en organisation som ska bevaka sina medlemmars intressen och det är därför naturligt för SKL att slå vakt om det kommunala självstyret. Det gör att man inte kan förvänta sig samma objektivitet från SKL som från en statlig myndighet. SKL kan dessutom ha ett intresse av att hålla nere kostnader för sina medlemmar (min kursivering).

Riksrevisionen noterar även att SKR fått uppdrag gällande kunskapsstyrning vilket bland annat handlar om att ta fram kunskapsunderlag på ungefär samma sätt som Socialstyrelsen:

I och med att regeringen har involverat SKL i styrningen av vården har det uppstått något som kan liknas vid en konkurrenssituation mellan den centrala förvaltningsmyndigheten och huvudmännens medlemsorganisation. Båda organisationerna arbetar med kunskapsstöd till kommuner och landsting. Vidare arbetar både SKL och Socialstyrelsen med att ta fram kunskap om hur vården fungerar. Socialstyrelsen arbetar alltid på uppdrag av regeringen, och SKL på uppdrag av medlemmarna. Inom ramen för överenskommelserna agerar SKL även som genomförare av regeringens politik. Det är svårt att dra gränsen för vad som är SKL:s respektive Socialstyrelsens roll eftersom uppgifterna överlappar varandra. Vidare har det framkommit i våra intervjuer, även med SKL, att det är vanligt att SKL uppfattas som en myndighet.

Ett sådant kunskapsunderlag som tas upp är väntetidsdatabasen som infördes i samband med vårdgarantin:

Som en följd av vårdgarantin infördes en skyldighet för landstingen att lämna uppgifter om väntetider till en nationell databas. Regeringen har i författningar reglerat att landstingen ska lämna uppgifterna ”till den nationella väntetidsdatabas som förs av Sveriges kommuner och landsting”. Databasen förvaltas av SKL men har finansierats av staten.

Detta udda arrangemang lyfts fram av Riksrevisionen eftersom de bara kunnat hitta ett annat liknande fall:

Att databasen hanteras av en intresseorganisation är en ovanlig lösning. Riksrevisionen har endast funnit ett delvis liknande exempel inom svensk förvaltning: ett jaktregister som tidigare fördes av Svenska Jägarförbundet, och som nu hanteras av Naturvårdsverket. I regeringens utredning Jaktens villkor konstaterades att förvaltningsuppgifter på jaktens och viltvårdens område som innebär myndighetsutövning inte annat än i undantagsfall borde fullgöras av intresseorganisationer. Såväl in-formations-, rättssäkerhets-, som konkurrenssynpunkter talade för att en myndighet skulle ta över ansvaret för registret (min kursivering) .

I fallet med väntetidsdatabasen tillkommer även komplikationen att staten är beställare av vård av SKR:s medlemmar – att då leverantörernas intresseorganisation kontrollerar möjligheten för beställaren att bedöma i vilken grad ”beställningen” uppförts.

Det är Riksrevisionens bedömning att det i praktiken är oklart vem som egentligen äger den kunskap och de databaser som tas fram inom ramen för överenskommelserna. Regeringen har därmed inte säkrat tillgången till den kompetens som byggts upp med statliga medel. Riksrevisionen kan konstatera att det inte finns någon diskussion inom Socialdepartementet om att överföra databaser från SKL till Socialstyrelsen (min kursivering). Att regeringen inte tagit ställning i ägarskapsfrågan innebär i praktiken att det som tagits fram på SKL stannar på SKL. Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan. Regeringen har en ambition att minska detaljstyrningen på vårdområdet, men utvecklingen går långsamt. Regeringen har uttryckt att antalet överenskommelser ska minska. Trots detta har antalet överenskommelser på vårdområdet inte förändrats, och den ordning som har uppstått där SKL har en mycket central roll i regeringens styrning av vården tycks vara svår för regeringen att ta sig ur. Om det nära samarbetet med SKL, i form av t.ex. överenskommelser, ska fortsätta behöver regeringen säkra tillgången till det som tas fram med statliga medel. Det kan t.ex. handla om att reglera insyn och förvaltning under och efter en satsning. Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning. Granskningen visar att de medel som tilldelas SKL utan krav på att fördelas vidare till landstingen beloppsmässigt kan jämföras med förvaltningsanslagen till de större vårdmyndigheterna. Departementet har inte heller haft en samlad bild av hur de medel som har gått till SKL centralt har utvecklats över tid. Riksrevisionen noterar att medlen till SKL ökar. Riksdagen har inte informerats om omfattningen och utvecklingen av dessa medel. Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om medlen till SKL. Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om, samtidigt som SKL är en intresseorganisation (min kursivering).

Den omfattande styrningen genom SKL har också lett till att rollfördelningen mellan SKL och Socialstyrelsen uppfattas som otydlig. Varken företrädare för Socialdepartementet, SKL eller Socialstyrelsen kan beskriva vilken typ av uppgifter regeringen ger till respektive aktör. Riksrevisionen bedömer att en förklaring till detta är att det inte har funnits någon sådan logik i styrningen (min kursivering).

SKR har alltså suttit på dubbla stolar: dels företrätt sina medlemmars intresse, dels agerat som statens förlängda arm och att det dessutom är svårt att avgöra på vems initiativ olika aktiviteter genomförs:

Det har framkommit i flera intervjuer att SKL har stor initiativmakt när det gäller statens styrning av vården. Enligt såväl Socialstyrelsens före detta som den nuvarande generaldirektören har regeringen ett nära samarbete med SKL: ”Regeringen beslutar, men [SKL] har stor möjlighet att föreslå. Detta bidrar också till finansiering från staten i många fall.” I intervjuer med både SKL och dåvarande socialministern har det framkommit att överenskommelser ibland uppstått på initiativ från SKL och ibland från regeringen. SKL är involverade både i att generera ämnen för överenskommelser och innehåll, t.ex. indikatorer.

Men SKR har inte bara fått maktmedlet att fördela avsevärda resurser, man har även fått pengar från staten direkt till den egna organisationen.

Totalt för perioden 2009−2016 har staten utbetalt 1 078 miljoner kronor till SKL centralt för hälso- och sjukvård. Dessa medel har bl.a. finansierat utvecklingsarbete, nationell samordning och uppföljning av landstingens arbete.131 SKL har därmed kunnat bygga upp betydande kompetens och förvaltning med hjälp av de statliga medlen. Enligt Socialdepartementet kan SKL:s arbete konkret handla om it-stöd, metod- och implementeringsstöd, kommunikationsinsatser, resurser för samordning centralt, regionalt och lokalt etc.

Eftersom Riksrevisionen påpekar att det varit svårt att få en samlad bild av hur staten finansierar SKR:s interna verksamhet har jag inte ens gjort något försök att se vad som hänt efter 2016 men en rimlig gissning är väl att kostnaderna för staten inte på något remarkabelt sätt minskat.

Utöver detta tillkommer de medel som medlemsorganisationerna tillför. Sammantaget kan det tyckas som SKR lever ganska gott vilket väl faktumet att man har 440 byråkrater anställda och ett kontor i Bryssel i sin kansliorganisation. Litet spydigt så skulle man kunna tycka att SKR skulle använda sin universalmedicin ”effektivisering genom digitalisering” på sin egen organisation – kanske skulle en AI-lösning kunna framställa peppiga digitaliseringskampanjer utan mänsklig handpåläggning?

Riksrevisionen jämför i sin rapport de statliga anslagen gällande vårdområdet (för SKR tillkommer ju även andra statliga medel eftersom man inte enbart hanterar vård) och det visar ganska tydligt att SKR får ett rejält tillskott även jämfört med myndigheterna.

 

Relationen mellan framförallt Socialstyrelsen och SKR är komplicerad på flera sätt:

I samtliga intervjuer med chefer och medarbetare på Socialstyrelsen har det framkommit att man betraktar SKL som en stark aktör. I flera intervjuer har chefer och utredare på Socialstyrelsen beskrivit att de upplever att myndigheten urholkats eller ”hamnat i bakvattnet” i jämförelse med SKL. Företrädare för SKL har i våra intervjuer varit noga med att betona att deras roll är att ta till vara medlemmarnas intressen och att SKL inte kan bestämma över landstingen. Samtidigt har chefer på SKL gett uttryck för att organisationen kan och bör vara något mer än en intresseorganisation: ”Utan att vara en formell myndighet kan vi i vissa stycken ha en funktion som stödjer och utvecklar t.ex. kunskapsstyrning genom vårt arbete.”När det gäller statens roll har företrädare för SKL uttryckt en uppfattning om att staten inte ska vara inne i det verksamhetsnära och att statens uppgift är att göra det som ”ingen annan kan”.

En sammanfattande bedömning från Riksrevisionen är:

Riksrevisionens bedömning är att regeringen har låtit samarbetet med SKL − och därmed SKL:s inflytande över styrningen av vården – växa i alltför stor omfattning. Riksrevisionen noterar att medlen till SKL ökar. Enligt Riksrevisionens mening vore det rimligt att riksdagen informerades om omfattningen och utvecklingen av medlen till SKL. Anledningen är att de medel som tilldelats SKL centralt är i nivå med förvaltningsanslagen på vårdområdet som riksdagen beslutar om samtidigt som SKL är en intresseorganisation. Det är Riksrevisionens uppfattning att regeringen behöver utvärdera samarbetet med SKL för att på ett principiellt plan ta ställning till formerna för samverkan.

Detta var skrivet 2017 och tyvärr har regeringen hittills inte, vad jag kan se, följt Riksrevisionen när man säger att

regeringen behöver bland annat utvärdera samarbetet med SKR och reglera insyn, förvaltning och ägande när SKR används.

Det otydliga samarbetet mellan staten och SKR är inte isolerat till vårdområdet. De negativa konsekvenserna av att använda en intresseorganisation för myndighetsuppdrag gäller inte heller bara bortfall av offentlighetsprincipen, bristande möjlighet till ansvarsutkrävande, snurrig styrning och oklar uppföljning av hur ekonomiska medel fördelas och används. Många andra myndigheter samarbetar med SKR och jag har blivit nyfiken på hur man reglerar säkerheten i informationsutbytet eftersom t.ex. inte OSL gäller för en intresseförening. I min värld borde det slutas samma typ av avtal med en förening som med ett kommersiellt bolag innan känslig information kan utbytas. Även mellan myndigheter kan överenskommelser behövas slutas men den stora skillnaden är att alla myndigheter måste följa sekretessreglerna i OSL även om inte avtal sluts.

Av ren bekvämlighet valde jag MSB, en myndighet som jag ju vet hanterar känslig information, och skickade för drygt två veckor sedan en fråga:

Hej!

MSB har ett omfattande samarbete med SKR i olika frågor. Vissa av dessa frågor kan vara av känslig karaktär som kommuner/regionens insatser i det civila försvaret, samhällsviktig verksamhet, informations- och cybersäkerhet osv. I dessa frågor utbyts rimligen känslig information. SKR är en intresseförening som inte omfattas av OSL på samma sätt som en kommun/region, ett kommunalförbund eller ett kommunalt bolag. Jag är därför intresserad av att ta del av det samarbetsavtal med vidhängande sekretessregler eller motsvarande som utgör reglering av dessa frågor i relationen mellan SKR och MSB.

Hittills har jag trots en vänlig påminnelse inte fått något svar.

Personligen tycker jag inte denna märkliga hybridform av offentlig aktör som växt fram hör hemma i svensk förvaltning där offentlig verksamhet och offentliga medel flyttas över till en oreglerad och ogenomtränglig sfär. Jag har svårt att tro att SKR självmant kommer att vilja lämna denna softa tillvaro som skapats. Det är därför hög tid att regeringen följer Riksrevisionens råd och utvärderar sitt samröre med SKR.

Tillägg 2020-02-20: För den som vill läsa regeringens något svala reaktion på Riksrevisionens granskningsrapport finns en länk här.