I detta avsnitt kommer jag att besvara frågeställning nummer 2:
• Har det skett några förändringar i informationskulturen på de två kommunerna efter införandet av dataskyddsförordningen (GDPR) och vilken påverkan har det haft på strategierna för hantering och bevarande av e-post?
Avsnittet kommer att delas in i 5 underrubriker som kommer att återges i följande ordning:
• Övergången från PuL till dataskyddsförordningen • Förändrad informationskultur
• Nya strategier för e-post efter dataskyddsförordningen i Kommun A • Framtida visioner gällande e-post
• Analys av informationskultur och informationssäkerhet
Övergången från PuL till dataskyddsförordningen
När dataskyddsförordningen trädde i kraft uppstod betydande förändringar kring hantering och bevarande av e-post i Kommun A enligt intervjupersonerna.
Registrator 1 som även är utsedd till dataskyddssamordnare på förvaltningen arbetade tidigare som personuppgiftsombud. Hens arbetsuppgifter som dataskyddssamordnare förändrades mycket när dataskyddsförordningen trädde i kraft. Registrator 1 berättar att arbetsuppgifterna som personuppgiftsombud kom i skymundan när personuppgiftslagen var gällande. Under hela sin tid som registrator och personuppgiftsombud arbetade hen knappt med personuppgiftsfrågor överhuvudtaget. När dataskyddsförordningen trädde i kraft blev det däremot mycket bättre enligt hen då frågan kom upp på tapeten i kommunen. Registrator 1 menar att när PuL fortfarande var giltig, var titeln personuppgiftsombud endast
117 Intervju 2019-03-26.
något som var på pappret och arbetsuppgifterna var inte särskilt operativa. När GDPR trädde i kraft skedde således förändringar gällande arbetet och hur frågan började prioriteras överlag i Kommun A. Eftersom arbetet med personuppgiftsfrågor hade varit bortprioriterat i kommunen tidigare var det mycket svårt att styra upp arbetet för detta när dataskyddsförordningen började gälla. Registrator 1 berättar om när hen började arbeta med dessa frågor:
Vi (kommunen, min anm.) hade inte koll 100 % på personuppgiftshantering, så det märktes ju ett stort behov. [---] Sen hakade (namn på Arkivarie 2) på eftersom (hen, min anm.) är arkivarie. De här frågorna går ju in i varandra, liksom hur man hanterar information och så. Så då blev det jag och (namn på Arkivarie 2) som började jobba med de här frågorna. Men det var väldigt väldigt motigt, vi fick ju inte så mycket stöd från ledningen. Det var, alla tycker att det är jobbigt, tidskrävande, allt det där. Ingen tycker att det är kul.119
Det som gjorde att uppgifterna som kom med dataskyddsförordningens intåg kändes svårhanterliga var som sagt att dessa frågor tidigare varit eftersatta i kommunen och att det inte fanns någon styrning kring hur detta skulle hanteras från kommunstyrelsen. Nu tycker dock Registrator 1 att det fungerar bättre än i startskedet. Efter en tid anställdes även en konsult. Denne blev projektledare och hade till uppgift att förbereda Kommun A för GDPR tillsammans med dataskyddsgruppen. Arbetet för registratorn och arkivarien underlättades när projektledaren anställdes på så vis att de fick stöttning och struktur, men arbetet med dataskyddsfrågor var betungande när projektet pågick och är fortsatt betungande idag. Arbetsbördan minskade heller inte, utan tvärtom ökade den när Registrator 1 och Arkivarie 2 visste vilka arbetsuppgifter de behövde utföra.120
Förutom att frågan om personuppgifter och informationssäkerhet började prioriteras överlag i kommunen, skedde även annan större utveckling i samband med detta. En av de större förändringar som inträffade var att det blev extra viktigt att se över på vilket sätt e-post kommunicerades i Kommun A. Eftersom överträdelser mot dataskyddsförordningen straffas med sanktionsavgifter blev det mycket större tryck i kommunen att följa denna lagstiftning i jämförelse med PuL.121 Dessa förändringar kring kommunikation via e-post kommer att tas upp i avsnittet nedan.
Förändrad informationskultur
Registrator 1 berättar om att handböckerna och dokumenthanteringsplanerna är något som medarbetarna behöver ha koll på själva och titta igenom, men att hen tror att många inte har koll på dem. Som nämndes tidigare under rubriken Strategier
för hantering och bevarande av e-post, blev det ett större informationsutbyte mellan
Registrator 1, Arkivarie 2 och övriga medarbetare på förvaltningen efter att
119 Intervju 2019-03-14.
120 Intervju 2019-03-14.
handböckerna togs fram år 2018. Dessa handböcker har tagits fram med anledning av bland annat att, som nämndes tidigare, att det fanns ett behov av att gå igenom dessa frågor i organisationen, men även på grund av dataskyddsförordningen. Registrator 1 berättar att hen tror att många medarbetare sparar all e-post de får på grund av att de är rädda att göra något fel. Då finns det risk att man sparar för mycket istället i inkorgarna.122
En av de största utmaningarna som Arkivarie 2 och Registrator 1 tampas med idag är att regelbundet informera medarbetarna om vad som gäller vid hantering och bevarande av e-post. Detta blir ännu svårare då det är en så pass stor förvaltning med många medarbetare som de behöver nå ut till. Arkivarie 2 säger följande om denna utmaning:
[…] För oftast kan en handläggare bedöma, vad är intressant och inte intressant. För mycket som kommer in via e-post är lite löst så man kan oftast rensa det. Men det är mycket det här att då bör man kanske utbilda mer och informera mer folk. Även om vi och våra kontakter försöker sprida det så tar det tid, vi är ju (xxxx, ca. 2000, min. anm.) anställda på den här förvaltningen. Så då tar det tid att försöka nå ut till alla, så att det blir ju bit för bit. Men nu har vi i alla fall lite mer än vad vi hade tidigare. För de (handböckerna och styrdokumenten, min anm.) kanske är mer detaljerade. De tidigare rutinerna, handböckerna fanns inte, och de tidigare dokumenthanteringsplanerna var från 2010, så de stämde inte så mycket med verksamheten, så då var det svårt.123
Registrator 1 berättar följande om de strategier hen och Arkivarie 2 tillämpar för att informera om e-post i Kommun A:
De (enskilda medarbetare, min anm.) måste själva ha tillräckligt stor kunskap för att kunna avgöra om någonting ska diarieföras. Så vi försöker sprida den kunskapen till så många som möjligt. […] Där (i dokumenthanteringsplanerna, min anm.) finns det ju också information om hur man ska tänka gällande e-post. […] Sen är det ju många som kanske inte har så bra koll på (dokumenthanteringsplanen, min anm.) ändå. Men informationen finns för det mesta.
Strategier att få folk att följa det där? Jag vet inte riktigt. Men (namn på Arkivarie 2) bjuder in till möten med (hen, min anm.) för alla när (dokumenthanteringsplanen, min anm.) har klubbats igenom i nämnden, vem som helst kan komma. Och då går (hen, min anm.) igenom alla handlingar som kan vara relevant för en själv. Även e-post kan (hen, min anm.) ju nämna. Problemet är att det bara är en liten liten liten bråkdel som tar till vara på det där och går på ett möte med (hen, min anm.).124
Som komplement till att informera medarbetare finns som sagt handböcker och dokumenthanteringsplaner. I handboken ”Behandling av personuppgifter och EU: s dataskyddsförordning (namn på nämnden i Kommun A)” går Arkivarie 2 och Registrator 1 igenom hur medarbetare allmänt ska tänka kring e-post. Här tar de dessutom upp vilka personuppgifter som får mejlas i vilket slags e-post format. Det gås igenom vad personalen kan mejla i vanligt mejl, krypterad e-post och vilken information personalen aldrig får skicka via mejl.
122 Intervju 2019-03-14.
123 Intervju 2019-03-26.
Handboken är framtagen med utgångspunkt i det som togs upp under dataskyddsforum som hölls av dataskyddsgruppen/GDPR-gruppen. Registrator 1 och Arkivarie 2 var förvaltningens representanter inom denna grupp. Dataskyddsforumen pågick under projekttiden då Kommun A skulle förberedas inför GDPR men upprätthålls inte i nuläget i kommunen. En annan bidragande orsak till att handboken togs fram var att intervjupersonerna fick många frågor kring e-post på grund av GDPR:s inträde, Arkivarie 2 bekräftar detta i följande citat:125
När vi hade GDPR projektgruppen så drunknade alla vi representanter på förvaltningen i frågor hur vi ska göra med e-post. Och då sa vi till dem centralt att de måste ta fram riktlinjer centralt på kommunen för e-posthantering. Det var då vi fick viss information om e-post och struktur, och att inte behandla det som ett e-arkiv.126
Detta uttalande sätter fingret på att det blev mycket aktuellt att se över hur e-post och information skulle hanteras och bevaras i Kommun A efter dataskyddsförordningen trädde i kraft. Från att medarbetarna i princip inte hade diskuterat alls kring personuppgiftsfrågor under PuLs giltighetstid, till ett stort uppsving med många frågor som ställdes. Det resulterade i att det blev mycket att ta i tu med gällande dataskydd, arkivfrågor och e-posthantering i Kommun A generellt. Detta blev också extra väsentligt att ta tag i detta då personuppgiftsfrågor som sagt inte hade prioriterats tidigare i kommunen.
Dokumenthanteringsplanerna i sin tur som gäller dels för medarbetarna som arbetar centralt på förvaltningens kontor i Kommun A, och dels för personal inom skol-, grundsärskole- och förskoleverksamhet togs inte fram på grund av GDPR lagstiftningen. Däremot uppstod ett ökat behov av att använda dessa styrdokument efter lagstiftningen trädde i kraft.
Anledningen till att dessa togs fram var för att det numera finns en arkivarie som kan arbeta med arkivfrågor på förvaltningen. Tidigare hade dessa arbetsuppgifter legat på registratorn. Problemet var att det tidigare inte hade funnits varken tid eller kompetens för registratorn att ta hand om arkivfrågorna.127 Detta innebär ju att även arkiv-och informationshantering varit eftersatt överlag i Kommun A några år tillbaka. Därav fanns det behov av en större satsning inom detta område inför GDPR, då arkiv-och informationsförvaltning generellt blev mer aktuellt. Arkivarie 2 berättar att det tog flera år att revidera dokumenthanteringsplanerna och att hen behövde inventera vilka arkivhandlingar som fanns i verksamheterna på nytt.
Arkivarie 2 har erfarit att många medarbetare brukar bli chockade över dokumenthanteringsplanernas mängd och att de är mycket att läsa. Då får hen ofta förklara att det inte är meningen att allt ska läsas i dessa. Tanken är snarare att personalen på förvaltningen ska hitta sina egna områden och handlingar som är
125 Intervju 2019-03-26.
126 Intervju 2019-03-26.
aktuella för just deras verksamhet. Dokumenthanteringsplanen fungerar som ett slags uppslagsverk över alla allmänna handlingar i en verksamhet. Så det är ofta hen behöver förklara och bryta ned detta till en hanterlig nivå, så medarbetarna förstår vad de ska använda denna till. Om man till exempel arbetar som arkivombud på en grundsärskola behöver man exempelvis inte beakta delen som berör förskola utan enbart den del som berör end egen verksamhet. 128
Nya strategier för e-post efter dataskyddsförordningen i Kommun A
Under detta avsnitt kommer jag beskriva ett par konkreta strategier kopplat till e-post som kommunen tillämpat som orsak av att dataskyddsförordningen trädde i kraft kopplat till informationssäkerhet och informationskultur.
En åtgärd som blev aktuell när kommunen började se över informationssäkerheten i större utsträckning än tidigare, var att de började använda krypterad e-post på förvaltningen. Det styrdes upp kring hur denna skulle användas och en översyn gjordes också av systemen som användes. Databaser separerades för att förvaltningen som informanterna arbetar på inte skulle kunna få tillgång till en annan av Kommun A:s förvaltningars information. Tidigare hade denna databas varit gemensam. Detta gjordes som ett steg i att tillgodose god informationssäkerhet och för att skydda människors integritet. Ett resultat av detta blev den nya rutinen att förvaltningen numera mejlar och frågar efter tillgång till någon specifik handling som denne behöver tillgå från andra förvaltningar. Gäller det sekretesskyddad eller känslig information används krypterad e-post för att sända över handlingen i fråga. Krypterad e-post används i vissa specifika fall, till exempel inom förvaltningen eller när information skickas till en annan myndighet. Känslig information eller sekretesskyddad information skickas aldrig till privata e-postadresser, inte heller i krypterad form, då det inte går att säkerställa vem som står bakom adressen. På Kommun A görs en pappersutlämning med ID-kontroll om någon till exempel begär att få ta del av allmän handling som innehåller sekretess.129
Anledningen till att systemen inte har setts över tidigare är troligen för att många inte har vetat om att kommunen brutit mot PuL och arkivlagen, enligt Arkivarie 2.130
Utbildningar som handlar om vilka styrdokument som gäller för förvaltningen och även allmän information kring allmänna handlingar och hantering av information bland annat via e-post har införts i kommunen efter att GDPR antogs. Förvaltningen genomförde utbildningar innan GDPR verkställdes också, men efter dataskyddsförordningen har Registrator 1 och Arkivarie 2 börjat nämna mer om e-post utifrån ett GDPR perspektiv, då många medarbetare efterfrågat det. Innan GDPR höll Arkivarie 2 i arkivutbildningar, men sedan 2 år tillbaka har förvaltningen valt att slå ihop arkivutbildningen med dataskyddsfrågor. Detta kan
128 Intervju 2019-03-26.
129 Intervju 2019-03-14 & intervju 2019-03-26.
sägas vara ett led i den förändrade informationskulturen på kommunen gällande de värderingar kring och attityder till information som har förändrats hos medarbetarna. När det gäller nyanställda arkivombud och dataskyddskontakter i skol- och förskoleverksamhet med flera, erbjuds även dessa att delta på utbildningar en gång per år eller vid behov tillsammans med Registrator 1 och Arkivarie 2. Nyanställda på förvaltningens kontor har dessutom ett krav på att delta på dessa utbildningar en gång per år eller vid behov.
Förutom detta håller Arkivarie 2 och Registrator 1 även månadsmöten med arkivombuden en gång per månad. Där informerar dem om vad de arbetar med, nya riktlinjer och rutiner samt informationshantering. De genomför även workshops där de som kommer på mötena har möjlighet att ställa frågor. Dessa utbildningar har blivit aktuella att genomföra då många frågor har kommit också just kring e-post från medarbetarna.131
Framtida visioner gällande e-post
För att få med perspektiv kring hur det är möjligt att tänka kring framtiden och även för att bidra till inspiration för framtida forskning hade jag med som avslutande fråga på intervjuerna hur informanterna ser på framtiden gällande e-post bevarande och hantering och vilka visioner informanterna hade kring det för deras arbetsplats. Registrator 1 hade framtida visioner om att medarbetarna ska få större kunskaper i hur de ska hantera e-post så att det ska underlätta för dem. Det vill säga att det ska kunna gallra och bevara handlingar som det är tänkt. På sikt tror hen att det sker förbättringar gällande detta hela tiden men att det tar lång tid.
Tillvägagångssättet för detta skulle enligt Registrator 1 kunna vara att fler samarbeten med centrala kommunstyrelsen och IT-avdelningen. Dessa skulle tillsammans med Registrator 1 och Arkivarie 2 kunna vara en del i att informera medarbetarna om hur e-post ska hanteras och bevaras menar hen.132
Arkivarie 2 hade framtida visioner kring att hantering och bevarande av e-post på arbetsplatsen ska övergå till e-förvaltning i större grad. Det skulle kunna vara att Kommun A börjar med att koppla ett e-arkiv till ärendehanteringssystemet. Det kanske snart är på ingång menar hen, då de börjat att testa att utföra arbete digitalt till viss del på kommunstyrelsen, som nämndes tidigare.
Arkivarie 2 menar dock att pappershantering kommer att bestå i några år framåt då det troligen kommer ta tid innan det kan bli digital hantering ute på skolor och liknande. I nuläget sköts hantering av elevakter från skolor inte digitalt exempelvis. Enligt Arkivarie 2 pågår det ett arbete med att ta fram rutiner för elevakter i pappersform. I dagsläget är detta arbete inte anordnat, men förvaltningen har det på gång under detta år (2019). Idag behöver verksamheterna skriva ut handlingar som
131 Intervju 2019-03-14 & intervju 2019-03-26.
ska bevaras från olika digitala system, exempelvis barn- och elevhandlingar för slutarkivering hos kommunarkivet.133
Analys av informationskultur och informationssäkerhet
I ovanstående avsnitt har det varit märkbart att informationen och kommunikationen mellan Registrator 1, Arkivarie 2 och övriga medarbetare har genomgått en större förändring efter dataskyddsförordningen antogs. Jag menar att det har skett en förändring i informationskulturen på Kommun A under denna legala omställning. I enlighet med definitionen på informationskultur som ”socialt komplexa mönster för beteenden, normer och värderingar som bestämmer användningen och betydelsen av information i en organisation”134 har denna förändring skett. Från att till större delen ha varit en bortprioritering och tystnad kring arkivfrågor, personuppgifts/dataskyddsfrågor och informationsförvaltning har dessa områden kommit upp på tapeten igen i Kommun A efter GDPR trädde i kraft.
I enlighet med Tabell över informationskultur (som har redogjorts för i tidigare avsnittet Teoretiska utgångpunkter) som bygger på ”Information culture framework” som Gillian Oliver tagit fram kommer jag att analysera hur informationskultur kan kopplas till resultatet för Kommun A. Nivå 2 och nivå 3 i denna tabell kommer att gås igenom kopplat till resultatet.
När det kommer till nivå 2 och en av de faktorer som nämndes tidigare, nämligen informationsrelaterade kompetenser, dvs att personer har kunskap och kompetens att arbeta med information oavsett format eller medium135 kan jag konstatera att det förekommer brister kopplat till detta i Kommun A. Medarbetarna i kommunen har efterfrågat rutiner för e-posthantering och bevarande då de är osäkra hur de ska hantera e-posten. Vid tillfället för intervjun pågick fortfarande insatser, för bland annat intervjupersonerna, att fortsätta informera medarbetarna regelbundet kring hur de ska tänka med e-post. Informationslitteracitet som ingår i dessa informationsrelaterade kompetenser, är när medarbetare har förståelse för informationens centrala roll genom att förstå dess skapande, reproduktion, användande och avsättning. Resultatet av denna undersökning har visat att vissa av medarbetarna i Kommun A saknade kunskaper kring hela kedjan av information, speciellt när det gäller förståelse för att information har ett bevisvärde, som är av vikt inom den arkivvetenskapliga traditionen. Anledningen till det är att det förekom en osäkerhet kring hur e-post skulle hanteras i kommunen.
Handlingars bevisvärde är dessutom relaterat till vikten av att tillgängliggöra allmänna handlingar för medborgarna. Flera medarbetares e-postinkorgar innehöll e-post som bildade ett eget ”e-arkiv”, då en hel del e-post sparades eftersom många var osäkra kring vad som skulle bevaras eller gallras. Denna e-post kan mycket väl
133 Intervju 2019-03-26.
134 Oliver & Foscarini (2014), s. 9.
vara av bevarandevärde, och ska bevaras i arkivet eller digitalt i ärendehanteringssystemet. Denna bristfälliga struktur kan sägas stå i konflikt med offentlighet- och sekretesslagens 4 kap. 1 § att bibehålla en god offentlighetsstruktur gällande allmänna handlingar. Genom att det förekom en bristfällig struktur på e-posten i flertalet medarbetares inkorgar är det inte möjligt att tillgodose kraven i OSL på god offentlighetsstruktur. Rätten att ta del av allmänna handlingar begränsas dessutom på grund av detta, vilket leder till ett demokratiproblem i samhället.
Arkivarie 2 berättar vid ett par tillfällen att alla medarbetare ofta inte har så stor koll på arkivlagen och även offentlighet- och sekretesslagstiftningen. Detta innebär alltså att vissa medarbetare även har dåliga insikter i omgivande krav enligt faktorn i nivå 2 kopplade till informationshantering. Dessa omgivande krav inkluderar lagar, standarder och normer som är närvarande i ett större samhälleligt perspektiv.136
Ett sätt att öka informationsrelaterade kompetenser hos de anställda i kommunen kan kopplas till de insatser som höll på att genomföras i Kommun A med utbildning för medarbetare och uppdatering av styrdokument. Detta innebär att kommunen är på god väg att ändå kunna skapa ett kontinuerligt informationsutbyte mellan medarbetarna. Informationskulturen har med andra ord också förändrats märkbart, som nämndes inledningsvis, till följd av att dataskyddsförordningen trädde i kraft. Medarbetarnas beteende har förändrats tydligt, då intervjupersonerna berättar att många av dessa är rädda för att göra något fel i e-posthanteringen och på så sätt bryta mot GDPR. Resultatet av det har i många fall inneburit att många medarbetare fått en större medvetenhet om att de behöver börja se över sina e-postinkorgar men att de inte vet hur eller på vilket sätt det ska göras. För att lösa dessa problem är det därför väsentligt med de utbildningsinsatser som hade börjat att genomföras i kommunen i större utsträckning efter dataskyddsförordningen trädde i kraft.
Nivå 3 i tabellen över informationskultur inbegriper som redogjorts för i
tidigare avsnitt, organisationers informationsstyrning. Detta inkluderar också en organisations It-teknik och teknisk infrastruktur kopplat till informationshantering.137 Informationsstyrning, innefattar hur informationen verkligen hanteras i organisationen. Detta inkluderar även om medarbetarna har ett holistiskt/helhetsperspektiv på hur de ser på information. Ett holistiskt sätt att se på information är att behandla information som en värdefull del av organisationen, vilket inbegriper att tillämpa alla processer, yrkesroller och informationshantering som ingår på ett tillfredställande sätt.138 Detta helhetstänk med god kännedom och tillämpande av hela informationskedjans processer fanns inte i Kommun A enligt mina resultat då de saknades kunskaper hos vissa medarbetare kring hur e-post ska
136 Oliver & Foscarini (2014), s. 107.