Lagen, informationssäkerheten och arkivarien av Martina Engsjö- Lindgren

Vad får en arkivarie att byta sida och gå över till informationssäkerhetslaget? Är det ett omvälvande byte av värdegrund? Är det ett akut behov av nya spännande verktyg och metoder? Eller är det helt enkelt för att söka en ny väg att uppfylla gamla behov?

Under alla mina år som arkivarie har arkivhandlingarna varit centrum i mitt arbete. Oavsett om det handlat om att diarieföra, ordna, gallra eller lämna ut så har det handlat om att informationen på handlingarna ska hanteras korrekt: det ska gå att läsa, förstå, hitta och lita på äktheten i informationen. Den ska även vara tillgänglig för rätt person vid rätt tidpunkt. Det vi strävar efter är en säker hantering av informationen i arkiven – informationssäkerhet. Hur många gånger behöver man uppfinna hjulet?  

Samtidigt har det under åren skett stora förändringar i hur informationen skapas och sprids. Definitionen av en allmän handling består men hur den kommer till har förändrats. Det var förr en mer avgränsad början och slut- handlingarna skrevs direkt på papper och när utformningen var godkänd betraktades den som upprättad och därmed en allmän handling. Idag uppstår handlingarna snarare i en utdragen process, skrivarbetet görs digitalt och det är inte alltid helt uppenbart när en handling är att betrakta som upprättad. Det kan skapas många olika kopior och alltför ofta sparas även olika versioner som med tiden också kan bli betraktade som slutversioner. En liten del av all den här informationen som skapas utgörs av allmänna handlingar men största delen är bara ”lös information” som inte har en uttalad status om man ser det från ett arkivhanteringsperspektiv. Man kan säga att synen på informationens liv i organisationen gått från att ha ett linjärt perspektiv till ett livscykelperspektiv.  

Digitaliseringen av informationshanteringen och att hanteringen flyttat ut i molnbaserade miljöer har medfört nya typer av hot och risker. Man har en minskad kontroll över vilka vägar informationen tar och vem som har åtkomst till eller rätt att utöva kontroll över informationstillgångarna. I stället för att verkligen analysera den nya situationens risker och möjligheter så har arkivmyndigheterna till stor del nöjt sig med att deklarera att alla gamla föreskrifter och anvisningar ska betraktas som ”teknikneutrala”. Vi ska alltså ta det gamla regelverket och läsa det på ett nytt sätt, i en viss utsträckning fungerar det men i det långa loppet är det inte hållbart.  

Att säkerheten är en mycket större fråga än bara allmänna handlingar och samlingarna i arkiven blev jag snabbt varse när jag fick ett uppdrag inom den civila beredskapen, för att upprätthålla robusthet inom elektronisk kommunikation . Det var oerhört lärorikt för mig som arkivarie att se svagheter inom infrastrukturen, och gav mig insikt i hur lätt slarv, godtrogenhet eller nonchalans mot den egna organisationens regelverk kan ställa till problem – även på nationell nivå. 

Vid det här laget hade också ledningssystemen och standarder för informationssäkerhet börjat ta plats i myndigheternas medvetande. Och om jag får tillåta mig en cynisk iakttagelse … det som sålde in hos ledningarna var nog begreppet ledningssystem, för att ett system löser alla problem, det är känt sen länge. I det här fallet var systemet dock inte ett it-system utan ett system av roller, funktioner, styrdokument och rutiner som i grunden bygger på sunt förnuft, arkivförnuft vill jag påstå. Många av rutinerna var redan inarbetade på myndigheterna av registratorer och arkivarier. Avseende styrdokument tog Riksarkivet, Statskontoret och MSB ett framsynt grepp för att få en bättre och enad informationsstyrning på myndigheterna genom införandet av den nya processbaserade informationsredovisningen. Det har tagit många år men nu har de flesta statliga myndigheter en ny struktur för sin informationsredovisning och även många regioner och kommuner har antagit modellen. Detta av den enkla anledningen att man ser att det är en bra modell som uppfyller många av behoven för styrningen av den digitala informationshanteringen. Organisationer som följt Riksarkivets modell och som tagit fram en klassificeringsstruktur baserad på verksamhetens processer, en dokumenthanteringsplan med anvisningar om hur varje enskild handlingstyp i varje specifik process ska hanteras och en förteckning över den information man har är på god väg att uppfylla även standardens krav på informationsstyrningen. 


En svaghet hos arkivregelverket, trots de starka lagarna och föreskrifterna kring hur handlingar ska hållas skyddade, tillgängliga och läsbara är att man oftast begränsar det till arkivmaterialet, det är endast de allmänna handlingarna som omfattas.


Vad är det då som skiljer? Varför räcker det inte med att följa antingen arkivreglementets krav eller ISO-standardens krav? Som jag ser det finns det tre saker som skiljer dem åt. Och att de skiljer sig beror antagligen mer på förhållningssätt hos människorna i systemet och deras val av tolkning än i regelverken i sig. 

En svaghet hos arkivregelverket, trots de starka lagarna och föreskrifterna kring hur handlingar ska hållas skyddade, tillgängliga och läsbara är att man oftast begränsar det till arkivmaterialet, det är endast de allmänna handlingarna som omfattas. Men fram till dess att utkast och arbetsmaterial har fått statusen upprättade handlingar så hanteras de ganska respektlöst i organisationen. Ofta ligger de på någon form av fillagringsyta, i molnet eller kanske helt lokalt på handläggarens egen dator. Ju fler platser man har möjlighet att lagra på desto större risk är det att man inte hittar ens dokumentet man jobbat med 8 minuter tidigare, för det har lagt sig någon annanstans är man trodde… Det är inte säker hantering av information! I dokumenthanteringsplanerna ges sällan anvisningar om var utkast och arbetsmaterial ska lagras och hur de får spridas. För dokumenthanteringsplanerna omfattar endast arkivhandlingar, alltså de upprättade eller inkomna allmänna handlingarna. På informationssäkerhetssidan däremot jobbar man med all information, oavsett status, eftersom även ett utkast kan innehålla känsliga uppgifter som måste tas om hand. En viktig regel här är också att inte spara utkast och handlingar med kortsiktigt värde längre än de behövs, man ska inte låta dem ligga kvar på servrar eller system som en belastning för säkerheten. 

Standarden ställer stränga krav på förvaltning och uppföljning av styrdokument och rutiner. Organisationen måste tillsätta en förvaltningsorganisation med definierade roller som håller dokumentationen uppdaterad och som även övervakar efterlevnaden. Motsvarande tanke finns i arkivverksamheten, arkivredovisningens dokument är ”levande” och ska förvaltas och versionshanteras för att alltid vara aktuella. Men det finns inga krav på vilka roller som ska ingå i förvaltningen och hur det rent praktiskt ska gå till. I praktiken är det ofta arkivarien ensam som går runt i verksamheten och frågar om det skett några förändringar i processerna eller om nya handlingstyper upptäckts.  

Den tredje stora skillnaden upplever jag ligger i vilket syfte man har för att upprätthålla en säker informationshantering. För arkivorganisationen är målet att bevara de allmänna handlingarna för alltid, i säkert förvar så att informationsinnehållet inte kan förvanskas eller förstöras. Syftet med bevarandet är att informationen ska vara tillgänglig för allmänheten, verksamheten och framtida forskare, såväl nu som i framtiden. 

Informationssäkerhetsperspektivet har mer ett här-och-nu-intresse, informationen ska vara läslig och tillgänglig för personer som har rätt behörighet under den tid den har ett aktivt värde i verksamheten. Informationssäkerhet skyddar alltså främst informationen för dess egen skull, för att den har ett värde för verksamheten och produktionen. Men när den inte längre har ett värde för verksamheten kan den antingen göras svår att komma åt (t.ex. i ett arkiv) eller raderas beroende på hur den fortsatta behovsbilden ser ut. Informationssäkerhet är resurskrävande på flera olika sätt och därför ska man inte belasta organisationen med information som inte längre används.  

Jämför det med arkivverksamheten som bevarar så mycket information som möjligt för all framtid för att någon längre fram kanske vill forska på just det ämnet. Arkivverksamheten bevarar för framtidens eventuella intresse medan informationssäkerhetsverksamheten främst ser till organisationens aktiva behov av informationen. 

Hur är det då med informationens livscykel? Om man har ett cykliskt perspektiv på livet så har det ingen klar början eller slut, det rullar bara vidare. För att uppnå en livscykelhantering av informationen behöver vi alltså förena de två världarna, informationssäkerhetsperspektivet som omfattar all information, oavsett i vilken form eller vilket skede den befinner sig i och arkivverksamheten som bevarar även för framtida intressenters och forskares mer svårförutsedda behov.  

Gemensamt för båda ”informationsåskådningarna” är den stora svagheten att systemet är beroende av de människorna som fyller rollerna i förvaltningen, styrningen och det löpande linjearbetet. Det är lätt att påvisa ett behov av ökad säkerhet och starta upp ett projekt som levererar de önskade styrdokumenten och rutinerna. Men att verkligen upprätthålla efterlevnaden av dem är en helt annan sak, det löpande arbetet i verksamheten kräver sin tid och icke-akuta sällanuppgifter får ofta vänta. Den organisation som certifierat sig för ISO 27000 måste visa dokumentation över att man utfört åtgärderna men det är fortfarande få myndigheter som tagit de kostsamma certifieringarna utan de väljer i stället att ”följa standarden” och då har man inga uppföljningskrav. Arkivverksamheten ska på samma sätt följas upp genom regelbundna inspektioner från arkivmyndigheten, men även här saknas resurser och det finns myndigheter som inte har inspekterats på decennier. En svaghet med inspektionerna är dessutom att trots att lagen ställer krav på arkivmyndigheterna att utföra inspektionerna ges inga andra möjligheter till sanktioner eller viten än att beslagta arkivet, vilket snarare kan ses som en möjlighet än en risk hos den inspekterade myndigheten som underlåtit att uppfylla kraven som ställs på dem. 

Vad säger då arkivarien som gick över gränsen och hittade informationssäkerhetslaget? Är gräset grönare på andra sidan? Måste det vara två skilda världar, motsatt syn på informationens syfte, och krävs verkligen två olika kompetenser?  

Jodå, gräset är väldigt grönt på bägge sidor, arbetet kommer aldrig att ta slut för vare sig arkivarier eller informationssäkerhetsexperter, men oavsett var gräset växer så kräver det kontinuerlig skötsel för att inte mossa och maskrosor ska ta över. Det får absolut inte heller vara två skilda världar! För att uppnå en kvalitetssäker livscykelhantering för all information behövs både arkivets långtidsperspektiv och säkerhetsexpertens snabba insatser för att hålla informationen tillgänglig och skyddad i stunden. Oavsett hur det ser ut rent organisatoriskt är ett kontinuerligt samarbete kring allt som påverkar styrning, hantering och lagring av information en förutsättning för att uppnå en säker och hållbar informationsförvaltning.  

Däremot anser jag att kompetensen behöver ha olika inriktningar för att säkerställa hela livscykeln. Arkivariens kompetens inom informationsvärdering för att särskilja gallringsbar information från information som ska bevaras för all framtid är ovärderlig. Väl genomförd informationsvärdering kommer att vara en förutsättning för att det digitala arkivmaterialet ska gå att vårda och återanvända i framtiden. Vi kan inte fortsätta de senaste decenniernas maniska bevarande av data bara för att det finns gott om lagringsutrymme, och i ärlighetens namn, slippa stå till svars för gallringsbeslut som någon forskare kanske ifrågasätter medan vi ännu lever. Där vill jag ge informationssäkerhetsexperterna rätt i att vi inte ska spara onödig information, för allt vi sparar måste förvaltas och lagras på ett säkert sätt. Digital långtidslagring ställer också särskilda krav på struktur, metadata och lagringsformat. Specialistkompetens inom detta återfinns i arkivverksamheten. 

Specialisten på informationssäkerhet har å sin sida kunskap om de nya hot och risker som finns och ständigt förnyas. Informationssäkerhet innebär mer än bara ISO-standard, det är en del av en övergripande säkerhetsfråga som blir allt mer komplex genom digitalisering, globalisering och inte minst den osäkra situationen i omvärlden som omfattar allt från fysisk krigföring till belastningsattacker mot det civila samhällets resurser. Så visst behövs olika kompetenser, syften och synvinklar på informationshanteringen för att vi inte bara ska uppnå utan även upprätthålla en säker livscykelhantering av informationen. Vi behöver en samlad informationsförvaltning för att säkerställa att vi samarbetar och alltid är på bettet för att hitta nya lösningar för en säker och hållbar arkiv- och informationshantering. 


Martina Engsjö- Lindgren jobbar idag på ArkivIT som senior arkivkonsult, håller dock på att smyga över till det oerhört spännande området informationssäkerhet. Jobbat som arkivarie, registrator, e-arkivarie, verksamhetsutvecklare, tillsynschef – det finns så många roliga inriktningar man kan välja som arkivarie!
Mitt råd till alla arkivarier ute på fältet är att ta för sig, vi arkivarier har en stor kompetens och är ofta de som känner till organisationen allra bäst. Sätt inte ”ljuset under skäppan”, kliv in i diskussionerna och visa var både skåpet och servern ska stå, men var alltid öppen för diskussion.