En fullständig överblick över mängden personuppgifter och de informationsflöden och verksamhetsprocesser där dessa förekommer saknas idag i Östhammars kommun, alla inventeringsåtgärder till trots. Detta innebär exempelvis följande brister och svårigheter:
Personuppgiftsansvaret inte utrett
Personuppgiftsansvaret är inte utrett och fastställt för alla typer av personuppgiftsbehandlingar. I en liten kommun som Östhammar där förvaltningarna ofta samarbetar eller utför uppdrag åt varandra förekommer ibland att de har ett gemensamt personuppgiftsansvar, ibland att de agerar
personuppgiftsbiträden åt varandra. Det är lagligt, men det krävs då att ansvarsrelationerna utreds och dokumenteras. Detta är viktigt för att klargöra ansvarsskyldigheten, som är en helt
grundläggande princip i dataskyddsförordningen. Det löpande dataskyddsarbetet för de personuppgiftsbehandlingar som inte har en, och bara en, självklar ägare riskerar att inte bli systematiskt utfört och luckor i dataskyddet kan på så sätt uppstå.
Personuppgifter skapas och lagras i vissa fall utan kontroll
Personuppgifter, som det inte finns lagstöd för att lagra, förekommer nu sporadiskt i digitala mappar och fysiska dokumentsamlingar i kommunen. Principen om lagringsminimering, en grundläggande princip i dataskyddsförordningen, uppfylls således inte. Behörigheter och skyddsnivåer kan inte justeras som sig bör efter personuppgifternas art, eftersom det saknas kunskap om mapparnas och dokumentsamlingarnas innehåll och karaktär. Risken för personuppgiftsincidenter är stor.
Rensningsaktioner har företagits på flera förvaltningar, men mycket återstår ännu att gå igenom.
Ständigt nya uppgiftsmängder tillkommer också på nya lagringsutrymmen. Den så kallade sidoarkivering är alltså pågående och inte något avslutat historiskt fenomen. Sidoarkiveringen i digitala mappar och fysiska dokumentsamlingar bör enligt min mening stävjas en gång för alla. Ökad medvetenhet hos personalen är grundläggande, men här krävs också samordnade organisatoriska och tekniska lösningar som leder informationen rätt från början till slut. Att få bukt med
sidoarkivering är enligt min mening helt grundläggande för informationssäkerheten i stort.
Upprepade utredningar av samma förhållanden
Då en samlad kunskap om kommunens olika informationsflöden saknas är det komplicerat och tidskrävande att genomföra alla de dokumentationsinsatser som måste göras med anledning av dataskyddsförordningen. Olika instanser och personalgrupper berörs av detta.
Det är exempelvis svårt att genomföra riskanalyser och konsekvensbedömningar. Att ta fram alla de uppgifter som krävs för att göra så djuplodande analyser som dataskyddsförordningen efterfrågar tar mycket tid. (Förvaltningsledare, IT )
14
Det är också svårt att utreda personuppgiftsincidenter på ett djupare plan, dra lärdom av incidentutredningarna och utforma och implementera tekniska och organisatoriska åtgärder som effektiva förhindrar nya incidenter. (Förvaltningschefer, förvaltningsledare, IT, lokala kunskapare m. fl.)
Därtill är det mödosamt att specificera dataskyddskraven inför upphandlingar av olika verksamhetssystem – även här krävs ofta omfattande efterforskningar. (Upphandlare, IT, förvaltningsledare och andra som arbetar med verksamhetsutveckling.)
Att utforma information till de registrerade på blanketter och e-tjänstformulär kräver också utredningar, då informationen ska vara specifik för att nå upp till lagkraven. (Registratorer, administratörer, m. fl.)
Att registrera personuppgiftsbehandlingar och personregister i Draftit är likaså knepigt.
Många registeransvariga uppger att det är svårt att fylla i de uppgifter som
dataskyddsförordningen kräver. Som dataskyddsombud kan jag också konstatera att många registreringar är ofullständiga och bristfälliga, eftersom det saknats grundläggande
dokumentation för den registrerande personalen att utgå från. (Lokala kunskapare, registeransvariga.)
Problemet är alltså att varje obligatorisk åtgärd inom dataskyddsarbetet ofta utmynnar i en egen utredning på grund av att en samlad grundläggande dokumentation om verksamhetsprocesser, informationsflöden och personuppgiftsbehandlingar inte finns att tillgå i kommunen. Varje personalgrupp gör då sin egen utredning, men utredningarna rör ofta samma frågor: ändamål, rättslig grund, personuppgifternas art, sekretess/känsliga uppgifter, informationssäkerhet, behörigheter, risker, osv.
Att utreda samma förhållanden gång på gång inom olika delar av den kommunala organisationen är inte ett effektivt sätt att arbeta. Som dataskyddsombud rekommenderar jag därför Östhammars kommun att genomföra en kartläggning av kommunens samtliga informationsflöden och personuppgifter, i relation till kommunens verksamhetsprocesser. I denna kartläggning skulle grundläggande metainformation systematiskt kunna arbetas fram, en gång för alla, för att sedan kunna användas av olika personalgrupper för olika syften inom dataskyddsarbetet. De åtgärder som listas ovan (konsekvensbedömningar, incidenthantering, upphandling, information till de
registrerade, registrering av personregister) skulle förenklas oerhört om en sådan allmän dokumentation fanns på plats. Men den allmänna dokumentation som här åsyftas skulle också lämpligen kunna användas för att utveckla det allmänna dataskyddsarbetet i en mer systematisk riktning, på väg mot ett inbyggt dataskydd.
Processorienterade informationshanteringsplaner en del av lösningen
Rent praktiskt skulle denna allmänna dokumentation kunna komma till stånd genom att kommunen bestämmer sig för att omarbeta de nuvarande dokumenthanteringsplanerna till moderna
processorienterade informationshanteringsplaner. Omvandlingen skulle rent konkret innebära att planerna arbetas om så att de struktureras efter verksamhetsprocesser, omfattar både
pappersbaserad och digital information, samt rymmer all den metainformation som behövs inom en
15
modern informationsförvaltning. Det finns stora samordningsvinster att vänta om planerna fylls med information och anvisningar om exempelvis säkerhetsklassning, sekretess och utlämnande av allmän handling, personuppgifter och dataskydd, samt registrering, rensning, gallring och arkivering.
Förutom att planerna skulle kunna bidra till efterlevnaden av dataskyddsförordningen skulle de då nämligen kunna möjliggöra ett effektivt uppfyllande av dokumentationskraven i följande lagar:
Tryckfrihetsförordningen, 2 kap.
Offentlighets- och sekretesslagen (stöd för diarieföring och sekretessmarkering enligt 5 kap.
§ 1-5, samt beskrivning enligt 4 kap. § 2)
Säkerhetsskyddslagen (säkerhetsklassning av information enligt 2 kap. 2 §)
Arkivlagen (arkivbeskrivning och arkivförteckning § 6)
Dokumentationskraven i dessa lagar når Östhammars kommun i dagsläget inte upp till i många grundläggande avseenden. De största bristerna föreligger för den elektroniska informationen.
I statlig sektor är informationshanteringsplaner numera standard. Många av dem är
processorienterade. För kommunerna finns inga tvingande lagkrav men SKL rekommenderar medlemskommunerna att upprätta moderna informationshanteringsplaner. SKL har utformat vägledningar och stödmaterial för detta, liksom en allmän klassificeringsstruktur – KLASSA – som kommit att användas av många kommuner. Förutom uppfyllande av dokumentationskraven i ovanstående lagar anses de processorienterade informationshanteringsplanerna bidra till
digitalisering och effektivisering inom administration och ärendehandläggning. De brukar omtalas som ett centralt moment inom reguljär kvalitetsutveckling. De anses dessutom underlätta
implementering och drift av e-arkiv.
Sida 1 (15)