Att bevara och skydda handlingar innebär att tillämpa fastställda regler för hur de ska hanteras. I de fall ett adekvat regelverk saknas, eller om det inte tillämpas korrekt, kommer handlingarna tveklöst att utsättas för risker. Vår närhistoria visar exempel på att det kan gå illa när myndigheter slarvar i hanteringen av allmänna handlingar. Jag kommer att beskriva hur vi kan ta vara på lärdomarna och arbeta för att information varken riskerar försvinna eller hamna i fel händer.
Slarvet med information varken började eller slutade med Transportstyrelsen sommaren 2017, men det var först då som bristen på kontroll blev uppenbar för media och allmänhet. Register innehållande skyddsvärda uppgifter gjordes tillgängliga till fel personer. På direkta frågor visade det sig att Transportstyrelsens ledning inte visste vilka uppgifter som lagrades var, och ingen kunde svara på vilka uppgifter som var skyddsvärda.
Naturligtvis är det omöjligt för de flesta av oss att på rak arm kunna återge vilka typer av information som hanteras, var den lagras och vem som ska ha åtkomst till den. Däremot är det både förväntat och lagstadgat att denna typ av styrande regelverk överhuvudtaget finns, och att det är tillgängligt både när det behövs för förvaltningen och på direkt förfrågan från allmänheten.
Vad består regelverket av?
De regler som ska skydda allmänna handlingar från felaktig hantering är främst föreskrifter från Riksarkivet men även andra författningar. Reglerna gäller under den tid som handlingarna befinner sig i närarkiv eller i verksamhetssystem, men även efter att de har lämnats över till en arkivmyndighet. Reglerna är många och upplevs ibland som krångliga, och det förefaller vanligt att myndigheter och enskilda kommuner tar fram egna anvisningar och tolkningar. Dock är regelverket i sin sammanfattning egentligen väldigt enkelt:
- Allmänna handlingar ska hållas åtskilda från icke-allmänna handlingar.
- Allmänna handlingar ska förses med uppgifter för bland annat intern och extern åtkomst, arkiveringsregler och annat relevant metadata.
- Allmänna handlingar ska förvaras på avsedd plats under avsedd tid.
Varför är det så svårt att följa ett regelverk?
Hos många organisationer förekommer en stor del allmänna handlingar i ostrukturerade system, exempelvis delad filkatalog på disk eller på egen pc, där de de facto inte är registrerade.
För handlingar som tillåts, eller till och med är rekommenderade, att ligga utanför specifika it-system fungerar naturligtvis reglerna dåligt – handlingarna är ofta helt utan styrning och i värsta fall gäller bara tillförsikt och hopp för att de inte ska förloras eller förkomma. Handlingar som å andra sidan hanteras i specifika system har fördel av att de är, eller har god möjlighet att vara, registrerade med tillämplig information inkluderar nödvändiga regler regler för bland annat åtkomst och arkivering.
Avsaknad av styrande regler bidrar till att handlingar hanteras felaktigt och riskfyllt, men den felaktiga hanteringen kan också bero på avsaknad av ett särskilt systemstöd för själva regelverket. Ofta finns det duktiga individer på myndigheterna vilka ser till att det finns regler för hantering av allmänna handlingar, men sedan tar det lätt stopp. Det system som används för att ange hanteringsregler om förvaringsenhet, gallring, sekretess, etcetera är i bästa fall ett Excelark, och i sämsta fall direkt inmatning i olika verksamhetssystem.
Ändringar i regelverket blir i praktiken omöjliga att versionshantera, samtidigt som ändringar måste göras i flera system parallellt. Det dröjer inte länge innan reglerna ser olika ut i olika system, och det dröjer inte länge innan det blir osäkert vilken Excelversion av klassificeringsstrukturen som faktisk är den gällande och var någonstans den egentligen befinner sig.
Reglerna måste sedan vara tillgängliga för den som behöver dem – individer eller system – när de behövs. Med ett sådant upplägg blir styrsystemet inte bara användbart, det blir mastern, det blir navet, det blir normen.
Vad händer när vi slarvar med regelverket?
Resultatet? Ja, det är att handlingar registreras utan att få gällande regelverk kopplat till sig. Handlingarna lever ett eget och okontrollerat liv där de hamnar i fel händer och i fel länder, de lagras på hårddiskar och i mejlkorgar, och de riskerar att varkene sig
Utan att veta exakt vilka åtkomstregler som gäller för en viss handlingstyp riskerar tillgång till handlingar styras av vilken användare som råkar ha åtkomst till det system de lagras i. Det är inte alls ovanligt att handlingar som har en hög informationssäkerhetsskyddsklass lagras tillsammans med handlingar som inte är klassade, vilket i bästa fall innebär att samtliga handlingar ligger i dyra åtkomstkontrollerade system, i sämsta fall att åtkomstkontroll saknas helt.
Det är heller inte ovanligt att alla som har åtkomst till ett it-system också har åtkomst till alla handlingar däri – någon slags hybrid mellan offentlighetsprincipen (som ju enbart gäller mellan enskild och myndighet, inte inom myndigheten) och den öppna arbetsplatsen där alla kan arbeta med allt och se vad som pågår även i de ärenden som handläggs av någon annan. Som vi ser lyser både rättssäkerhet och informationssäkerhet med sin frånvaro i dessa upplägg.
Många av oss har god erfarenhet av att leta efter en handling som har försvunnit, eller som bara finns i en tidigare version. Att försvunna allmänna handlingar faktiskt inte har kommit upp som ett stort samhällsproblem beror sannolikt på att de aldrig ens har diarieförts, då de har lagrats utanför diariesystemet med hänvisning till att de hålls ordnade på annat sätt – fast utan att de faktiskt hålls ordnade alls.
Hur kan vi åtgärda problemet?
Verksamhetssystem är sällan konfigurerade eller ens byggda för att klara av de regler som gäller för respektive handlingstyp. Flera väletablerade diariesystem för den offentliga sektorn innehåller fantastiska standardfunktioner för att exempelvis kunna skapa och arbeta med komplicerade arbetsflöden eller för att konfigurera (mot extra kostnad naturligtvis) i stort sett obegränsat antal fält och funktioner såsom funktion för skyddsklassificering eller korrekta JK-listor. Samtidigt klarar många av dessa diariesystem inte av grundläggande funktioner som att skilja mellan inkommande och upprättade handlingar, att skilja mellan intern och extern åtkomst, eller att skilja mellan allmänna registeruppgifter och handlingars metadata. Låt den förra meningen sjunka in. Det finns alltså diariesystemsystem där du inte kan söka ut inkommande handlingar, inte begränsa intern åtkomst utan att ange sekretess och inte kan få registeruppgifter hanterade som en handling. Ingen borde bli förvånad när dessa system läcker eller förlorar handlingar i framtiden.
Genom att metodiskt och systematiskt gå igenom samtliga handlingar som avsätts i en organisations verksamhet och kategorisera dessa i handlingsslag och handlingstyper är första steget taget. Men nej, detta är inget som ska göras lite vid sidan av utanför den ordinarie verksamheten, utan något som kräver mandat, styrning och resurser – styrning av dokumenthantering är inte en registrators- eller arkivariefråga utan i första hand en ledningsfråga. Till hjälp används med fördel Riksarkivets allmänna föreskrifter, RA-FS 2008:4, som inte bara är ett ändamålsenligt regelverk utan dessutom tvingande för statliga myndigheter. Nästa steg är att identifiera vilka unika arkivregler, registreringsregler och verksamhetsregler som behövs för att hantera handlingarna effektivt och säkert. Förutom de regelrätta arkivbeskrivningsreglerna, som ju är samma för alla myndigheter, kan regler definieras för exempelvis extern åtkomst, för arbetsflöden och för särskilt metadata. Slutligen ska reglerna definieras för respektive unik handlingstyp.
Först när detta är gjort finns ett regelverk att tillämpa vid diarieföring och registrering, vid arkivering, vid upphandling av nya system, vid migrering – ja vid all hantering av potentiellt allmänna handlingar. När regelverket väl finns på plats går det att effektivisera verksamheten genom att konfigurera, upphandla eller anpassa verksamhetssystem så att de faktiskt följer myndighetens fastställda regelverk. Informationshanteringens regelverk ska beslutas och förvaltas som det kanske finaste och viktigaste verktyget vid all offentlig förvaltning.
Det styrande systemet för angivande av gällande regler bör självklart vara baserat på svensk lagstiftning och vedertagna normer så att inte alla myndigheter, kommuner och organisationer var för sig och åter igen måste skapa sitt eget ramverk. Ännu bättre är om styrsystemet innehåller det kompletta regelverket kring informationshantering – inte bara dokumenthanterings- och arkivregler, utan även koppling till ett systemregister för att kunna se i vilket it-system olika handlingstyper befinner sig, och ett personuppgiftsbehandlingsregister för att se vilka handlingstyper som får respektive inte får innehålla vissa typer av personuppgifter. Reglerna måste sedan vara tillgängliga för den som behöver dem – individer eller system – när de behövs. Med ett sådant upplägg blir styrsystemet inte bara användbart, det blir mastern, det blir navet, det blir normen.
