Som ett öppet vykort?

(1)

Som ett öppet vykort?

En fallstudie av hantering och bevarande av e-post ur ett informationssäkerhet- och informationskulturperspektiv

Jenny Silander

Institutionen för ABM

Uppsatser inom arkivvetenskap ISSN 1651-6087

Masteruppsats, 30 högskolepoäng, 2019, nr 177

(2)

Författare/Author Jenny Silander

Svensk titel

Som ett öppet vykort? En fallstudie av hantering och bevarande av e-post ur ett informationssäkerhet- och informationskulturperspektiv

English Title

Like an open Postcard? A Case study of the Management and Preservation of E-mail from an Information security and Information culture perspective

Handledare/Supervisor Ann-Sofie Klareld

Abstract

This thesis is based on a case study of two Swedish municipalities. I have studied which strategies archivists and registrars use for managing and preserving e-mail within these organizations. The study constitutes a comparison between a municipality that has introduced a e-archive and one that has not done so. I also explore how the way in which e-mail is managed has changed over time in the municipalities since The General Data Protection Regulation (GDPR) was introduced in Sweden and throughout the EU in 2018.

The study was conducted through qualitative methods. Semi-structured interviews with archivists and registrars from the two municipalities were completed. The empirical material from the interviews has been analysed using qualitative content analysis. This means that notes and transcriptions of the interviews was sorted and categorized and then transformed into the results of the study. The thesis theoretical framework consists of information culture and I have analysed in which way the information culture has changed in the organizations since the GDPR came into force. In addition, I also analysed my results from an information security perspective, since this is up-to-date with the GDPR and is an important aspect to consider in relation to of e-government and records management in the society today.

The results show that there is a lot of challenges in the municipalities studied concerning management and preservation of e-mail, especially regarding how the people working in the organization tackle the e-mail. There is a great need that increased education about records management reaches out more in the organizations.

The conclusion of this challenges is that information culture also has changed noticeably since the GDPR was introduced. The result of this has in many cases meant that many employees have gained a greater awareness that they need to start reviewing their e-mail inboxes, but they do not know how or in what way it should be done. To solve these problems, it is therefore essential that the education initiatives between archivists and registrars and the employees, that had begun to be implemented in the municipality’s, continues to be expanded.

In conclusion and in summary, I would like to emphasize that it is important to consider information culture in organizations today. It is important both to be able to develop the organization's records management and also in a wider social context, in order to satisfy a good structure of public documents and our democratic right to take part of these. In addition to this, in my study, I have come in to the conclusion that it is essential to consider the information security both within the public organizations and from a wider societal context, especially linked to management and preservation of e-mail.

So far, the topic of managing and preserving e-mail linked to strategies used by organizations and how people influence these has been a rather unexplored area in the field of archival science. This study aims to create new knowledge about an area that is both current and important from a wider societal perspective as well as from an archival science perspective.

This is a two years master's thesis in Archival Science.

Ämnesord

E-post, informationssäkerhet, informationskultur, e-förvaltning, arkivarier, registratorer, dataskyddsförordningen.

Key words

E-mail, Information security, Information culture, E-government, Archivists, Registrars, The General Data Protection Regulation (GDPR).

(3)

Innehållsförteckning

Innehållsförteckning ... 3

Inledning ... 5

Syfte och frågeställningar ... 6

Bakgrund och motivering ... 7

Offentlighet- och sekretesslagen ... 8

Dataskyddsförordningen - GDPR ... 9

Tidigare forskning ... 10

Teoretiska utgångspunkter ... 14

Informationskultur ... 14

Centrala begrepp ... 19

Metod, urval och källmaterial ... 21

Forskningsdesign ... 21

Urval och förstudie ... 21

Intervjuer ... 23

Dokument ... 25

Kvalitativ innehållsanalys... 27

Resultat och analys ... 30

Kommun A ... 30

Beskrivning av informanterna och kommunen ... 30

Strategier för hantering och bevarande av e-post ... 32

Förändringar i hantering och bevarande av e-post på grund av dataskyddsförordningen ... 37

Kommun B ... 45

Beskrivning av informanterna och kommunen ... 45

Diskussion och slutsatser... 68

Informationskultur och informationssäkerhet i Kommun A ... 71

Informationskultur och informationssäkerhet i Kommun B... 73

Förslag till fortsatt forskning ... 74

Käll- och litteraturförteckning ... 76

Källor ... 76

Webbplatser ... 76

I uppsatsförfattarens ägo ... 76

Litteratur ... 77

Bilaga 1: Intervjuguide arkivarie ... 79

Bilaga 2: Intervjuguide registrator ... 81

(4)

Bilaga 3: Förstudie... 83

Bilaga 4: Informerat samtycke ... 84

(5)

Inledning

Vi har bestämt hur vi ska skicka ut och inte skicka ut information. […] Det kan hända att [allmänheten] skickar in sekretessreglerade uppgifter. Det kan vara kränkande saker eller hälsosaker. Vi fortsätter informera att man inte ska ta sådant här via e-post. […] Då ska man ta det via telefon eller liknande, så får vi göra en tjänsteanteckning. Då är det inget digitalt spår.

Eftersom e-post är så osäkert, det är ju som ett öppet vykort.¹

Citatet som får inleda denna uppsats kommer från en arkivarie som talade med mig kring osäkerheten som råder gällande e-post och sekretessreglerad information. En jämförelse mellan e-post och ett öppet vykort yttras, och detta är väldigt talande för hur pass viktigt det är att tänka på informationssäkerheten² inom myndigheter i dagens samhälle. Informationssäkerhet kommer att utgöra en analytisk utgångspunkt i föreliggande studie. Detta är en utgångspunkt för studien då frågan som sagt är aktuell i stort idag och speciellt inom kommuner och myndigheter samt är samtidigt nära sammankopplad med ämnet e-posthantering.

Denna uppsats är en fallstudie som handlar om verksamheten i två svenska kommuner och jag har studerat och problematiserat vilka strategier arkivarier och registratorer använder för hantering och bevarande av e-post inom dessa organisationer. Information hanteras, skapas, ändras och används av människor.

Den mänskliga påverkan på informationshanteringen och specifikt e-posthantering är därför viktiga att studera. Av den anledningen har jag valt att använda mig av den teoretiska utgångspunkten informationskultur i följande studie då denna är central när man söker förstå hur informationsförvaltning påverkas av mänskliga faktorer. Informationskultur definierar jag i denna uppsats i enlighet med Gillian Oliver och Fiorella Foscarini som socialt komplexa mönster för attityder, beteenden, normer och värderingar som bestämmer användningen och betydelsen av information i en organisation.³

I denna uppsats vill jag med andra ord åstadkomma en djupare förståelse för på vilket sätt informationshantering påverkas av personerna som hanterar informationen i organisationerna. Ett annat syfte med undersökningen är att undersöka hur lagar inverkar på hur informationen hanteras i de studerade

1 Intervju 2019-03-26.

2 Informationssäkerhet definieras i denna uppsats som fokus på den information som data företräder och skyddsbehovet utifrån det perspektivet. Syftet är att korrekta data skall nå rätt person eller rätt utrustning.

Korrekt data innebär att avsändare ska vara rätt och att denna inte skall vara manipulerad av obehöriga.

(Nationalencyklopedin, webbversionen, sökord: IT-säkerhet) [2019-05-29].

3 Oliver & Foscarini (2014), s. 9.

(6)

organisationerna. Undersökningen utgår från offentlighet- och sekretesslagen (OSL) och vidare utreds det om kommunerna upprätthåller en god offentlighetsstruktur i enlighet med 4 kap. 1 § av OSL (se vidare beskrivning under avsnittet Offentlighet- och sekretesslagen). Studien utgör dessutom en jämförelse över tid mellan två kommuner kring hur sättet som e-post hanteras och bevaras på har förändrats i organisationerna sedan dataskyddsförordningen infördes i Sverige och hela EU år 2018.

Jag studerar närmare huruvida de strategier som används för hantering och bevarande av e-post i kommunerna skiljer sig åt beroende på i vilket stadium som organisationen befinner sig i inom e-förvaltning och den digitala utvecklingen. Med e-förvaltning syftar jag i denna uppsats på: verksamhetsutveckling i offentlig förvaltning som använder informations- och kommunikationsteknik kombinerat med organisatoriska förändringar och nya kompetenser, för att utveckla och effektivisera verksamheten.⁴ Jag undersöker närmare situationen i en kommun som ännu inte infört e-arkiv⁵ i jämförelse med hur situationen ser ut i en kommun som har infört e-arkiv.

E-förvaltning är ett högaktuellt ämne i samhället idag och utgör ett politiskt och nationellt mål att sträva efter både i Sverige och internationellt. DIGG, myndigheten för digital förvaltning, infördes den 1 september 2018.⁶ Detta är en statlig myndighet som ligger under infrastrukturdepartementet och följer de lagar som utfärdas av riksdagen och regeringen.⁷ DIGGs uppdrag går ut på att samordna och gynna digitalisering inom offentlig förvaltning med syfte att göra denna mer effektiv och användbar. Offentlig förvaltning inkluderar kommuner, landsting och statliga myndigheter.⁸

Hitintills har ämnet kring hantering och bevarande av e-post kopplat till strategier som används av organisationer och hur människor påverkar dessa utgjort ett tämligen outforskat område inom arkivvetenskapen. Denna studie syftar till att skapa ny kunskap kring ett område som både är aktuellt och viktigt ur ett vidare samhällsperspektiv såväl som ur arkivvetenskaplig forskningssynpunkt.

Syfte och frågeställningar

Uppsatsens syfte är dels att undersöka vilka strategier som används för hantering och bevarande av e-post i två svenska kommuner och dels att undersöka vilka

4 Regeringens webbplats> Rättsliga dokument> Statens offentliga utredningar från Finansdepartementet> SOU 2009:86> ”Strategi för myndigheternas arbete med e-förvaltning”. [2019-05-16].

5 E-arkiv definieras i denna studie som en funktion för bevarande och tillgängliggörande av handlingar på lång sikt såväl som varaktig hantering av digital information. (Sveriges Kommuner och Landsting webbplats>

Näringsliv, arbete, digitalisering> Digitalisering> Informationsförsörjning och digital infrastruktur> E-arkiv) [2019-05-14].

6 DIGG webbplats> Om oss [2019-05-31].

7 DIGG webbplats> Om oss> Vår verksamhet> Så här styrs vi [2019-05-31].

8 DIGG webbplats> Om oss> Vår verksamhet> Vårt uppdrag [2019-05-31].

(7)

förändringsskeenden som inträffat i respektive kommun gällande hantering och bevarande av e-post efter införandet av dataskyddsförordningen (GDPR). Följande frågeställningar kommer att ställas för att besvara syftet:

1. Vilka strategier kopplade till hantering och bevarande av e-post använder två kommuner för att uppfylla kraven på god offentlighetsstruktur och vilka problem och fördelar finns det med respektive strategi?

2. Har det skett några förändringar i informationskulturen på de två kommunerna efter införandet av dataskyddsförordningen (GDPR) och vilken påverkan har det haft på strategierna för hantering och bevarande av e-post?

Bakgrund och motivering

Dataskyddsförordningen och offentlighets- och sekretesslagen är två regelverk som är väsentliga att beakta ur ett informationssäkerhetsperspektiv såväl som dessa bör beaktas för att myndigheter och kommuner ska kunna tillgodose en god offentlighetsstruktur gällande offentliga allmänna handlingar.

Informationssäkerhetsaspekten kopplat till dessa lagar handlar om att uppehålla konfidentialitet, vilket innebär att obehöriga inte ska kunna få åtkomst till sekretessreglerade uppgifter.⁹

Informationssäkerhet är aktuellt och omdiskuterat i samhället. I ett nyhetsklipp från TV4 nyheterna tar nyhetsankaret upp risker med molntjänster¹⁰ ur ett informationssäkerhetsperspektiv. Nyhetsankaret inleder med dessa ord i nyhetssändningen:

När svenska myndigheter lägger in sekretessbelagda uppgifter om oss medborgare i molntjänster hos de stora amerikanska IT-jättarna, så ligger uppgifterna helt öppna för USA att ta del av. Den här varningen kommer från en grupp juridiska experter från e-Sam, som drivs av SKL¹¹ och 23 myndigheter.”¹²

En juridisk expertgrupp inom eSam¹³ har sedan våren 2018 arbetat med frågan om hur offentlig sektor kan använda sig av molntjänster med utgångspunkt i säkerhets-

9 Andersson & Nordén (2018), s. 92.

10 IT-tjänst som möjliggör lättillgänglig nätverksbaserad tillgång t.ex. via Internet till ett delat ”moln”, eller lagringsyta, och som kan nås av flera enheter utan att detta kräver särskilt mycket hantering och skötsel. (Oliver

& Foscarini (2014), s. 131).

11 Sveriges Kommuner och Landsting.

12TV4 Nyheterna (2018-11-20), "eSam ska utreda frågan om molntjänster som används av svenska myndigheter" [2019-04-12].

13 eSam (eSamverkansprogrammet) är ett medlemsdrivet program för samarbete mellan 23 myndigheter och SKL. Medlemmarna samverkar kring digitala lösningar med fokus på privatpersoners och företags behov.

(Esam webbplats> Om Esam [2019-04-12].)

(8)

och sekretesslagstiftning. De har även utrett vilka typer av rekommendationer som de kan ge aktörer inom offentlig sektor och lagt fram ett viktigt uttalande i frågan.

Gruppen bedömer att användandet av molntjänster, som lyder under utländsk lagstiftning, kan bidra till att sekretessreglerade uppgifter röjs. Molntjänster används idag av många svenska myndigheter för exempelvis e-post och flera andra kontorstjänster.¹⁴ Även kommunerna i denna studie använder sig av molntjänsten Outlook och därför är det viktigt att beakta informationssäkerheten kopplat till detta.¹⁵

Statens inköpscentral vid Kammarkollegiet redovisade en förstudie om ett ramavtal gällande webbaserat kontorsstöd¹⁶ i februari 2019. Förstudien visar att en del molntjänster är problematiska för offentlig sektor att använda på grund av bland annat dataskyddsförordningen, GDPR (The General Data Protection Regulation), och OSL (offentlighet- och sekretesslagen). Anledningen till det är bland annat att underleverantörer kan läggas till utan att myndigheten i fråga kan neka nya underleverantörer tillgång samt att utländska rättsvårdande myndigheter kan få tillgång till myndighetens information. Avsikten med förstudien var också att utreda om det är möjligt att upphandla ett ramavtal för den offentliga sektorn som är praktiskt och rättsligt intressant.¹⁷

Offentlighet- och sekretesslagen

I 4 kap. i offentlighet- och sekretesslagen regleras åtgärder som gäller för att myndigheter ska tillgodose god offentlighetsstruktur. Myndigheter ska ta hänsyn till den grundlagsfästa principen om handlingsoffentlighet.

Enligt 4 kap. 1 § av OSL ska myndigheten särskilt se till att:

1. Att allmänna handlingar kan tillhandahållas med den skyndsamhet som krävs enligt Tryckfrihetsförordningen (TF).

2. Att allmänna handlingar ska kunna skiljas från andra handlingar.

3. Att rätten att ta del av allmänna handlingar säkras samtidigt som sekretesskyddet bibehålls.

4. Att automatiserad behandling av uppgifter hos myndigheten ordnas med beaktande av det intresse som enskilda kan ha av att själva utnyttja tekniska hjälpmedel hos myndigheten för att kunna ta del av allmänna handlingar.¹⁸

En myndighet ska också enligt 4 kap. 1 § av OSL särskilt ta hänsyn till att enskilda bör ges bra möjligheter att söka allmänna handlingar och att det även ska vara

14 Esam webbplats> Nyheter> 2018-11-12 [2019-04-12].

15Intervju 2019-03-14, intervju 2019-03-19, intervju 2019-03-22 & intervju 2019-03-26.

16 Webbaserat kontorsstöd innebär helt integrerad och webbaserad e-post, ordbehandling, kalkylark, chatt, dokumenthantering m.fl. (Avropas webbplats> Förstudier> Webbaserat kontorsstöd [2019-04-30]).

17 Avropas webbplats> Förstudier> Webbaserat kontorsstöd [2019-04-30].

18SFS 2009:400 Offentlighets- och sekretesslag. Stockholm: Justitiedepartementet.

(9)

tydligt när uppgifter tillförts en allmän handling. Det gäller exempelvis information om när en handling har gallrats eller ändrats och även vid vilken tidpunkt detta skett.¹⁹

I föreliggande uppsats kommer jag titta på om kommunerna som undersöks upprätthåller en god offentlighetsstruktur gällande e-posthandlingar som de hanterar, enligt OSL. En annan laglig aspekt som är aktuell för min studie är dataskyddsförordningen, som kommer att beskrivas i nästa avsnitt.

Dataskyddsförordningen - GDPR

Den 25 maj 2018 började EU:s dataskyddsförordning att gälla, även kallad GDPR (The General Data Protection Regulation). Detta är en tvingande EU-lag som reglerar hur personuppgifter ska behandlas inom EU. I samband med det upphörde personuppgiftslagen (1998:404) förkortad PuL, att gälla och istället införs det en ny lag som kompletterar dataskyddsförordningen. I den nya lagen, dataskyddslagen, förtydligas det på vilket sätt vissa personuppgifter ska behandlas.²⁰ Dataskyddslagen är ett komplement till dataskyddsförordningen och reglerar bara vissa områden.²¹

Dataskyddsförordningen finns till för att skydda enskildas rättigheter, speciellt vad gäller skydd av personuppgifter. Personuppgifter innefattar varje upplysning som avser en identifierad eller identifierbar fysisk person. Det som är avgörande för vad som räknas som personuppgift är att uppgiften, enskilt eller i sammansättning med andra uppgifter kan knytas till en levande person. Exempel på personuppgifter är personnummer, namn, e-postadress och adress.

En situation då dataskyddsförordningen inte gäller är när en person behandlar personuppgifter i samband med sin yttrande- och informationsfrihet, då sker ett undantag enligt nationell rätt. Ett exempel i Sverige är att personuppgiftsbehandling som omfattas av grundlagsskyddet i tryckfrihetsförordningen och yttrandefrihetsgrundlagen undantas från bestämmelserna i dataskyddsförordningen.²²

Administrativa sanktionsavgifter har införts med dataskyddsförordningen och var något som inte fanns i den svenska personuppgiftslagens regleringar.

Sanktionsavgifter införs för att stärka utförandet av förordningen.²³ Dessa avgifter kan tas ut av enskilda, företag och myndigheter vid överträdelser mot dataskyddsförordningen.²⁴

19 SFS 2009:400 Offentlighets- och sekretesslag. Stockholm: Justitiedepartementet.

20 Riksdagens webbplats> Dokument & lagar> Ny dataskyddslag [2019-04-27].

21 SOU 2017:39, s 84.

22 Datainspektionens webbplats> Lagar och regler> Dataskyddsförordningen> Dataskyddsförordningens syfte och tillämpningsområde [2019-06-07].

23 SOU 2017:39, s. 278.

24 SOU 2017:39, s. 26.

(10)

En förändring som har inträffat när personuppgiftslagen upphörde att gälla i Sverige var att den så kallade missbruksregeln försvann. Missbruksregeln 5 a § PuL, innebar att behandling av personuppgifter tidigare fick ske i ostrukturerat material om detta inte innebar en kränkning av den registrerades personliga integritet. Detta innefattade att bedömningen skulle ta sin utgångspunkt i vilket sammanhang som uppgifterna förekom, för vilket syfte de behandlades och vilken spridning uppgifterna fick.²⁵ Exempel på tillfällen då personuppgifter kan behandlas i ostrukturerat material är i e-post.

E-post innebär i stort sett alltid att man behandlar personuppgifter. E- postadressen är oftast en personuppgift exempelvis, och all annan information i meddelandet som kan kopplas till enskild person är också personuppgifter. Samma bedömningar för behandling av personuppgifter i e-post ska göras som i alla andra system. Det ska finnas en rättslig grund för att behandla personuppgifterna, exempelvis kontakt som ett led i en myndighetsutövning. När e-posten är mottagen beror det på innehållet om och hur länge det bör sparas. E-post som kommer in till en myndighet blir vanligen en allmän handling som ska registreras och hållas ordnad. I enlighet med arkivlagen är myndigheter, kommuner med flera skyldiga att bevara allmänna handlingar. Det är tillåtet att behandla personuppgifter för att uppfylla kraven i arkivlagen om bevarande av allmänna handlingar.²⁶

Tidigare forskning

Forskning som berör undersökning och utveckling av e-förvaltning, kopplat till den verksamheten kring e-posthantering, som denna uppsats handlar om, är en del av en större utveckling inom arkivvetenskap och informationsförvaltning. För att placera uppsatsens ämne i en vidare samhällelig kontext kommer detta avsnitt att redogöra for tidigare forskning som behandlar denna utveckling.

Maria Kalbergs avhandling baseras på fallstudier i tre svenska kommuner.

Avhandlingen eftersträvar att besvara frågan:

Hur medvetna är offentliga organisationer om vikten av att hantera sina allmänna handlingar i det pågående e-förvaltningsarbetet på ett sådant sätt att de uppfyller kraven i offentlighets- och arkivlagstiftningen samt hur påverkas arkivariers och registratorers professionella status (positioner och arbetsutövning) inom organisationerna?²⁷

25 SOU 2017:39, s. 177.

26Datainspektionens webbplats> Lagar och regler> Dataskyddsförordningen> Samma regler för alla> Hantera personuppgifter i e-post [2019-06-07].

27 Kallberg (2013), s. 5–6.

(11)

Kallbergs resultat visar att resurser och kompetens saknas när det gäller att arbeta strategiskt med e-förvaltningsfrågor. Det existerar en omedvetenhet på politisk nivå och i verksamheter i kommuner om att det är viktigt att arbeta med arkivfrågor, vilket bidrar till att arkivarier och registratorers yrkesroller exkluderas.²⁸

Författaren tillämpade Records Continuum-modellen (RCM)²⁹ som ett metodologiskt och teoretiskt ramverk för att analysera samhällsförändringen som sker med utveckling av e-förvaltningsarbete och dess påverkan på informationshantering.³⁰ Resultaten av forskningen visar att det förekommer stora utmaningar när det kommer till informationshantering kopplat till ett holistiskt perspektiv i enlighet med Records Continuum-modellen. Arkiven är en del av kulturarvet enligt arkivlagen. De ska bevaras och hållas ordnade för att tillgodose rätten att ta del av allmänna handlingar, behovet av information för rättskipningen och förvaltningen och finnas till för forskningens behov. Uppstartade e- förvaltningsprojekt på de kommuner som Kallberg undersökte beaktade emellertid inte dessa aspekter utan fokuserade snarare på att tillgodose information till dess egna verksamheter för verksamhetsnytta och verksamhetsutveckling samt till den enskilda medborgaren.³¹

Malin Åkerlund genomförde en studie där arkivariers deltagande och roll i e- förvaltningsarbetet utforskades. I hennes masteruppsats undersökte hon tre svenska myndigheter: Försäkringskassan, Bolagsverket och Skatteverket, vilka är några av de ledande myndigheterna i Sverige inom e-förvaltning. Hon syftade till att undersöka om arkivariernas roll och arbetsuppgifter har utvecklats och i sådana fall på vilket sätt sedan införandet av e-förvaltning på de studerade myndigheterna.

Dessutom hade Åkerlund som målsättning att ta reda på om Records Continuum- modellen har influerat synen på arkiven och arkivariernas informationshantering inom e-förvaltningen och använde således detta som en teoretisk utgångspunkt.

Resultaten av Åkerlunds studie visar att arkivariers närvaro är viktig inom e- förvaltning på de undersökta myndigheterna, då de uppvisar en potential att kommunicera och se olika perspektiv inom verksamheten och på informationen som används. Arkivarierna på myndigheterna uppfattas som experter gällande informationshantering när det gäller pappersbaserade handlingar på respektive arbetsplats. Dock upplever vissa av arkivarierna på de studerade myndigheterna det som svårt att uppfattas som experter beträffande ny teknik och digital informationshantering. IT- avdelningen har fortfarande en framträdande roll gällande allt kopplat till teknik på myndigheterna enligt studien. De arkivarier med

28 Kallberg (2013), vii.

29 Records Continuum-modellen bygger på postmodernt tänkande. Enligt modellen betraktas informationsförvaltning som kontinuerligt interagerande och utveckling av en uppsättning aktiviteter med individuella, institutionella och samhälleliga aspekter i åtanke. (Kallberg (2013), s. 54).

30 Kallberg (2013), s. 54.

31 Kallberg (2013) s. 117–118.

(12)

titeln ”IT-arkivarie” och ”verksamhetsspecialist” besitter emellertid en högre status då de huvudsakligen arbetar med digitala frågor och bjuds in till flertalet projekt rörande sådana typer av frågor. De informanter som intervjuats med titeln

”arkivarie” och liknande upplever emellertid svårigheter med att bli inbjudna till projekt kopplade till digital e-förvaltning.³²

Enligt författaren behövs ett nära samarbete mellan alla yrken kopplade till verksamhetens digitala informationshantering. Detta gäller bland annat arkivarier, IT-arkitekter och systemutvecklare, för att kunna tillämpa Records Continuum- modellen (RCM) i myndigheternas verksamhet. En gemensam upplevelse för samtliga arkivarier är att de i olika grad får bemöta fördomar om vad en arkivarie är, exempelvis att de bara hanterar papper och är problemlösare i slutet av informationskedjan för allmänna handlingar. Däremot har arkivarier börjat konkurrera mer och få större uppmärksamhet i verksamheten på de myndigheter Åkerlund undersökt. Författaren bedömer det osannolikt att RCM inspirerat till fler samarbeten då e-förvaltningens mål inom EU och Sverige generellt är att främja samarbete mellan fler yrkesroller. Däremot kan modellen ha medfört att myndigheterna påbörjat samarbeten i högre grad mellan olika yrkesgrupper för att upprätta ett holistiskt perspektiv i informations- och dokumenthanteringsprocessen.³³

Både Kallberg och Åkerlund ovan utgår på olika sätt från Records Continuum- modellen och det är centralt i deras forskning. För min egen forskning har jag valt att använda teorin informationskultur, se grundligare redogörelse för teorin under Teoretiska utgångspunkter nedan.

Informationskultur är centralt även för forskaren Proscovia Svärd i hennes avhandling. Forskaren använder teorin i betydelsen att attityder, normer och värderingar som anställda har gentemot information påverkar hur informationen hanteras.³⁴ Svärd genomförde en fallstudie av två svenska kommuner och en kommun i Belgien och undersökte hur dessa möter utmaningar i informationshantering på en politisk, administrativ och teknisk nivå. Forskningen bidrar till idéer kring hur effektiv informationshantering kan verkställas. De utforskade kommunerna var alla aktiva inom utveckling av e-förvaltning.³⁵ För att besvara sitt forskningsproblem undersökte Svärd på vilket sätt en organisations informationskultur påverkar faktorer som bidrar till att en organisation har möjlighet att upprätthålla en effektiv informationsförvaltning och grundläggande struktur för informationshantering. Denna aspekt är en av flera som författaren tar upp, och är mest relevant för föreliggande uppsats och kommer vidare beskrivas grundligare.³⁶

32 Åkerlund (2016), s. 50–52 & 61.

33 Åkerlund (2016), s. 53–58.

34 Svärd (2014), s. 16.

35 Svärd (2014), s. 7 & 145.

36 Svärd (2014), s. 134.

(13)

Svärd menar att några av utmaningarna som kommunerna hon undersökte står inför gällande informationshantering kan kopplas till den mänskliga faktorn, så som avsaknad av samarbete eller exkludering av relevant expertis från projekt kopplade till informationshantering. Hon kommer fram till att det inte enbart förekommer tekniska utmaningar (så som tillämpande av tekniska standarder) utan även att informationskulturen på kommunerna påverkar hur information förvaltades och hanterades på dessa. Lagar och regelverk reglerar de svenska kommunernas informationshantering och det fanns en viss förståelse hos de anställda som hon intervjuade för vad som utgör en effektiv informationshantering. Hon menar att en problematik handlar om att de anställda i kommunerna agerade utifrån rutin och saknade ett holistiskt helhetsperspektiv när det gäller hur information bör hanteras.

Ansvaret för informationshanteringen låg till övervägande delen på registratorerna i de undersökta svenska kommunerna. I den belgiska kommunen rådde det en avsaknad av utbildning och fortbildning kring informationshantering överlag. Detta ledde till en bristfällig förståelse för hur offentliga handlingar skulle hanteras i kommunen. Dock upprätthöll strikt lagligt reglerade avdelningar i den belgiska kommunen god informationsstruktur på grund av risk för legala straffåtgärder.

Svärd menar att informationshantering inte prioriteras lika mycket som investeringar i andra utvecklingar inom kommunerna. För att e-förvaltningen ska kunna bli effektiv behöver det investeras i att personal utbildas i informationshantering och att de utmaningar som uppstår prioriteras. Svärd lyfter fram att det är väsentligt att även involvera arkivarierna att sköta informationshanteringen i de svenska kommunerna och inte enbart lägga detta ansvar på registratorerna. Arkivarierna var enbart aktiva som rådgivande personer kopplat till informationshantering.³⁷

Forskaren kom fram till att de svenska kommunerna hade en positiv syn på informationshantering och därmed positiv informationskultur, då de anställda ansåg att det var viktigt att vidarebefordra handlingar till registraturen för diarieföring. De hade en tämligen positivare informationskultur jämfört med den belgiska kommunen där personalen som var central för informationshanteringen inte hade lika bra koll på vilka lagar som omgärdade deras arbete, då dessa var väldigt komplexa att tillämpa. Något som var gemensamt för båda kommunerna i Sverige var dock att de stod inför utmaningar kopplat till hantering av e-post, avsaknad av e-arkiv och införande av nya system bland annat. Dessa utmaningar bidrog vidare till att det inte fanns något holistiskt sätt att hantera information på i dessa kommuner.³⁸ Den eftersatta registraturen i den belgiska kommunen bidrog till att många offentliga handlingar inte registrerades överhuvudtaget. När det gäller e- postkorrespondens ansågs detta inte vara offentliga handlingar i belgiska

37 Svärd (2014), s. 137–138.

38 Svärd (2014), s. 138–139.

(14)

kommunen, vilket ledde till att det skedde en privatisering av e-postinkorgarna och att de anställda skapade personliga system för att hantera e-posten.³⁹

I nästa avsnitt, Teoretiska utgångspunkter, går jag igenom på vilket sätt jag kommer att använda mig av informationskultur i min undersökning.

Teoretiska utgångspunkter

I denna uppsats kommer jag att utgå från informationskultur som teoretiskt angreppssätt och kommer även att analysera mitt resultat utifrån denna teori under Resultat och analys nedan. Informationskultur kan vidare sägas vara en underavdelning till organisationskultur, varför detta begrepp kommer att beskrivas kort inledningsvis i detta avsnitt. Organisationskultur utgör med andra ord en bakgrundskontext till min teoretiska utgångspunkt informationskultur, men kommer inte att användas för att analysera resultatet i denna studie. Även kulturbegreppet kommer att gås igenom som bakgrundskontext nedan.

Informationskultur

Kultur tar fasta på det ”levande” i organisationer och är ett begrepp som kan definieras på ett flertal sätt. I denna studie definieras kultur som en större grupp människor i en organisation. Den är socialt konstruerad, vilket betyder att den är en mänsklig skapelse och delas av en grupp människor, som fungerar som ett kollektiv.

Kultur handlar om tankesätt, värderingar och uppfattningar om fenomen i motsats till den objektiva och synliga delen av en organisation.⁴⁰Kulturbegreppet refererar således inte till yttre observerbara ting utan till uppfattningar och föreställningar om dem.⁴¹ Dessa värderingar, tankesätt och uppfattningar som ger organisationer dess utmärkande drag, kan även beskrivas i termer av organisationskultur.

Kulturbegreppet i en organisationskontext går ut på att förstå, förklara och ta reda på individers tankar och handlingar i organisationer.⁴²

Informationskultur kommer i denna studie att studeras utifrån ett organisatoriskt perspektiv. Inom detta perspektiv brukar informationskultur delas upp i två olika synsätt. Det första synsättet som förespråkas av bland annat Chun Wei Choo innebär att informationskultur betraktas utifrån god och effektiv informationshantering i en organisation. Choo definierar informationskultur som delade mönster för beteenden, normer och värden som bestämmer betydelsen och användningen av information i en organisation. Värden betraktas som vanemässiga övertygelser kring informationens roll inom organisationen. Normer är regler eller

39 Svärd (2014), s. 128.

40 Alvesson (2013), s. 112–113.

41 Alvesson (2013), s. 115.

42 Aronsson m.fl. (2012), s. 177.

(15)

socialt accepterade standarder som bestämmer vad som är normalt eller förväntat inom organisationen. Slutligen avgör värden och normer hos en grupp dess medlemmars beteenden kopplat till informationshantering i en organisation.⁴³

Det andra synsättet, som tillämpas av Gillian Oliver och Fiorella Foscarini, innebär att informationskultur betraktas ha en universell karaktär och förespråkar att alla organisationer har en informationskultur, oavsett om informationshanteringen är effektiv eller inte, och oavsett om den är synlig eller osynlig. Alla organisationer har med andra ord en informationskultur oavsett vilken bransch dessa är aktiva inom. Informationskulturen existerar dessutom oavsett organisationens storlek, komplexitet och omfattningen av dess informationsteknik.

Det är detta sistnämnda synsätt på organisatorisk informationskultur som kommer att tillämpas i föreliggande uppsats.⁴⁴

Informationskultur definieras i denna uppsats i likhet med Oliver och Foscarini som socialt komplexa mönster för attityder, beteenden, normer och värderingar som bestämmer användningen och betydelsen av information i en organisation.

Informationskulturen existerar både inom den egna organisationskulturen och inom samhällets vidare kontext, dvs. påverkas även av externa faktorer.⁴⁵ Inom detta perspektiv beskrivs externa faktorer som exempelvis legala, språkliga och tekniska aspekter inom landet vilket organisationen är verksam inom men inkluderar även lagstiftning inom Europeiska Unionen (EU) exempelvis.⁴⁶ Utifrån forskarnas egna undersökningar inom ramen för deras avhandlingar, har de kommit fram till ovanstående definition av informationskultur. Kortfattat kan informationskultur definieras som de värderingar kring och attityder till information som finns inom en organisation.⁴⁷

Utifrån en rad fallstudier som Oliver genomförde i Tyskland, Australien och Hong Kong kom hon fram till olika faktorer som påverkade skilda organisationers informationskultur. Med utgångpunkt i detta tog hon fram en modell som hon kallade ”Information culture framework” (ICF), för en organisations informationskultur, där varje nivå i modellen bygger på föregående nivå och då går från nivå 1 till nivå 3. Jag kommer presentera dessa nivåer i en tabell kallad Tabell över informationskultur nedan, vilken bygger på Gillian Olivers ”Information culture framework”. Jag kommer beskriva de olika nivåerna i denna som jag översatt från engelska till svenska (se Tabell 1 nedan). Tabellens tyngdpunkt handlar om hur människor beter sig och på vilket sätt deras värderingar och attityder påverkar vilka typer av handlingar och information som skapas och hanteras i en organisation.⁴⁸

43 Choo (2013), s. 775.

44 Oliver & Foscarini (2014), s. 1 & 11.

48 Oliver & Foscarini (2014), s. 16–17.

(16)

Tabell över informationskultur

Nivå 3 • Informationsstyrning

• Tillit till system

Nivå 2 • Informationsrelaterade kompetenser

• Insikt i omgivande krav kopplat till informationshantering

Nivå 1 • Värdering av information, eller förståelse för att information har ett bevisvärde/”evidence” och att information ska hanteras ansvarsfullt

• Informationspreferenser

• Språkliga överväganden

• Omgivande teknologisk infrastruktur

Tabell 1: Olika nivåer av informationskultur⁴⁹

I Tabell 1 redovisas de faktorer som påverkar en organisations informationskultur och dessa kommer att beskrivas grundligare här och sedan kopplas till mina resultat för undersökningen under Resultat och analys.

Nivå 1 är den nedersta nivån i modellen, dvs basen, som innehåller grundläggande faktorer som påverkar en organisations informationskultur. Dessa är ofta väldigt svåra att förändra.⁵⁰ Värdering av information handlar om hur medarbetare värderar och hanterar informationen i en organisation och i vilken mån medarbetarna hyser respekt för handlingars bevisvärde, kan kopplas till deras beteende och attityder. Medarbetarna i en organisation har oftast också representanter från varierande yrkesgrupper, vilket innebär att jurister kan ha ett sätt att se på information jämfört med en handläggare inom kundservice exempelvis. En organisations geografiska läge påverkar också hur information hanteras exempelvis kopplat till lagar, regleringar och standarder som gäller nationellt och lokalt på arbetsplatsen.⁵¹ Informationspreferenser inbegriper bland annat hur pass beredda medarbetarna är att dela information med sina kollegor, om personalen föredrar att få information skriftligt eller muntligt och i vilken mån

(17)

kollegorna är beredda att dokumentera sin verksamhetsinformation.⁵² Språkliga överväganden handlar om hur språket som delas av medarbetarna på arbetsplatsen (inklusive lokala begrepp som används på arbetsplatsen) och viss jargong på arbetsplatsen som påverkar informationshantering.⁵³ Och slutligen omgivande teknologisk infrastruktur handlar om tillgång till teknisk utrustning för kommunikation, exempelvis hårdvaror och mjukvaror. Även tillgång till molntjänster inbegrips i detta.⁵⁴ Denna nivå av informationskultur har inte varit i fokus för denna uppsats utan gås igenom för att få en bakgrundskontext till alla faktorer som påverkar en organisations informationskultur, men kommer inte att utgöra fokus och gås igenom under Resultat och analys. Anledning till det är att mina intervjuer och intervjuguiderna med informanterna inte behandlade dessa aspekter på ett djupare plan.

I Nivå 2 finns kunskaper och färdigheter om informationshantering. Dessa kan delas in i två breda kategorier: För det första informationsrelaterade kompetenser inklusive informations- och digital litteracitet. Och för det andra insikter om omgivande krav (inklusive samhälleliga och organisatoriska krav) kopplat till informationshantering.⁵⁵ Dessa kunskaper och färdigheter i informationshantering bygger som nämndes tidigare på nivå 1 och de grundläggande faktorerna, som behöver kartläggas innan det är möjligt att jobba vidare på nivå 2 i en organisation enligt Oliver.⁵⁶ För att kunna utveckla informationshantering behöver en organisation ta hänsyn till de anställdas kunskaper, färdigheter och expertis.

Informationsrelaterade kompetenser innebär för det första att personer har kunskap och kompetens att arbeta med information oavsett format eller medium.

Informationslitteracitet är när en medarbetare har insikt i och förstår informationens centrala roll genom att förstå dess skapande, reproduktion, användande och avsättning. I detta ligger fokus på att förstå att informationen har ett bevisvärde, i enlighet med den arkivvetenskapliga ämnesdisciplinen. Även samarbete mellan olika yrkesroller är av vikt i enlighet med god informationslitteracitet. Digital litteracitet innebär att medarbetare förstår hur de kan arbeta effektivt med digital information inklusive informationssökning på webb och att förstå riskerna med en sådan hantering. Nyckelegenskaper för digitallitteracitet kan kartläggas hos medarbetare med hjälp av internationella standarden för dokumenthantering ISO15489.⁵⁷ Genom att utgå från denna standard kan medarbetare tränas i att förstå

52 Oliver & Foscarini (2014), s. 55, 60 & 69.

54 Oliver & Foscarini (2014), s. 83 & 85–86.

57 International Organisation for Standardisation’s (ISO) International Standard on Records Management.

Internationell standard för dokumenthantering som fokuserar på tillvägagångssätt för skapande, infångning och hantering av information (SIS webbplats, sökord ”ISO 15486” [2019-06-05]).

(18)

informationens autenticitet, reliabilitet, integritet och användbarhet.⁵⁸ Tillvägagångsätten för att öka medarbetarnas informationsrelaterade kompetenser bör vara satsning på utbildningar och att uppdatera styrdokument.⁵⁹

Insikter om omgivande krav för informationshantering är för det andra ett paraplybegrepp för lagar, standarder och normer som är närvarande i ett större samhälleligt perspektiv. Det kan vara både internationellt, nationellt, regionalt och lokalt.⁶⁰ Denna nivå kommer att undersökas närmare kopplat till de kommuner som studeras i denna uppsats under Resultat och analys. Omgivande lagar kan exempelvis vara offentlighet- och sekretesslagen och GDPR, som är aktuellt för denna uppsats.

Den sista nivån, Nivå 3, inbegriper informationsstyrning inklusive en organisations It-teknik och teknisk infrastruktur kopplat till informationshantering.

Nivån inbegriper även graden av tillit till system som används för att hantera information.⁶¹ Informationsstyrning, handlar om hur informationen hanteras i verkligheten i organisationen. Denna nivå kännetecknas av de unika drag som finns i organisationen, vilket gör att det är enklare att åstadkomma förändringar inom denna nivå av informationskultur. Det är vidare denna nivå som utgör också ett fokusområde för föreliggande uppsats då jag är intresserad av hur arkivarier och registratorer uttalar sig kring strategier för hantering och bevarande av e-post med fokus på dagsaktuellt hanterande på respektive arbetsplats. Samtidigt kommer förändring av hanterandet över tid att beskrivas och detta relaterar även till nivå 2, kopplat till GDPR lagstiftningen.

Faktorerna som hör till nivå 3 är alltså sådana som är lättare att förändra som nämndes ovan, i jämförelse med de som räknades upp under nivå 1 i Tabell 1. Dock är det nödvändigt att det förekommer en god förståelse för faktorerna i föregående nivåer, dvs både nivå 1 och nivå 2 för att kunna åstadkomma förändring.

Den tredje och sista nivån handlar om att medarbetarna i en organisation ska ha ett holistiskt sätt att se på information, ett helhetsperspektiv. Ett holistiskt sätt att se på information är att behandla information som en värdefull del av organisationen, vilket inbegriper att tillämpa alla processer, yrkesroller och informationshantering som ingår på ett tillfredställande sätt. Detta görs också för att kunna göra informationen tillgänglig för dem som vill få tillgång till den.⁶² Tillgängliggörandet kan också kopplas till föreliggande uppsats genom exempelvis att kommuner medverkar till att allmänna handlingar görs tillgängliga för allmänheten i enlighet med en god offentlighetsstruktur för att uppfylla 4 kap. 1 § av offentlighet- och sekretesslagen.

58 Oliver & Foscarini (2014), s 95, 98 & 100.

(19)

Nivå 3 inbegriper inom informationsstyrningen även att medarbetarna beaktar teknisk infrastruktur, exempelvis kopplat till informationssäkerhet och molntjänster (som exempelvis Outlook, vilket används av kommunerna i föreliggande studie) Under nivå tre ligger huvudfokusen på de processer som genomförs för att upprätthålla informationssäkerhet kopplat till handlingar och information.⁶³

När det gäller faktorn tillit till system handlar om vad medarbetarna tycker om de system som används och vilken tillit de hyser för systemen, ofta kopplat till långtidsbevarande av information⁶⁴, detta kan exempelvis handla om ärendehanteringssystem eller e-arkiv.

Alla dessa tre nivåer av en organisations informationskultur kommer att bidra till att man i en organisation kan hantera information i enlighet med ett holistiskt helhetsperspektiv. Föreliggande uppsats kommer lägga fokus på att redovisa kopplingen mellan informationskultur i enlighet med Tabell 1:s nivå 2 och nivå 3.

Centrala begrepp

Allmän handling: Vad som är en allmän handling är definierat i detalj i tryckfrihetsförordningen. En handling är generellt ett medium som upprätthåller information. En handling är allmän om den förvaras hos myndighet och är att anse som inkommen eller upprättad hos myndighet.⁶⁵ Dataskyddsombud: Dataskyddsombudet kan vara en anställd eller en konsult i en

organisation. Ombudet utnämns för att kontrollera att personuppgifter hanteras på̊ ett korrekt och lagligt sätt enligt dataskyddsförordningen (GDPR). Ombudet ska utbilda verksamheten om dataskydd och även finnas tillgänglig om den enskilde individen vill begära ut ett registerutdrag eller rätta till felaktiga uppgifter, eller i vissa fall få sina uppgifter raderade. Ombudet fungerar också som kontaktperson för Datainspektionen.⁶⁶

Dataskyddssamordnare: Fungerar i exempelvis kontexten kommun som en förvaltnings kontaktperson till dataskyddsombudet. Dataskyddssamordnaren hjälper och stöttar sin förvaltning (och andra enheter som kan tänkas ingå i förvaltningen) angående behandling av personuppgifter och GDPR.⁶⁷

65 2 kap. 3 § & 4 § Tryckfrihetsförordningen (SFS 1949:105).

66Datainspektionens webbplats> Lagar och regler> Dataskyddsförordningen> Dataskyddsombud> Vad gör ett dataskyddsombud [2019-05-20].

67 Intervju 2019-03-14 & Intervju 2019-03-22.

(20)

Dokumenthanteringsplan: Ett dokument som talar om hur information och allmänna handlingar ska hanteras hos till exempel en myndighet eller kommun.

Planen visar vilka handlingar som ska bevaras och vilka som får gallras. Den visar även hur handlingar ska förvaras och om de ska diarieföras eller inte.⁶⁸ E-arkiv: Utgör en funktion för bevarande och tillgängliggörande av handlingar på

lång sikt såväl som varaktig hantering av digital information. Hållbar informationshantering innebär: Hållbarhet över tid, varaktighet utifrån användares behov och ekonomiskt sätt samt demokratisk hållbarhet.⁶⁹

E-diarium: Allmänna offentliga handlingar som görs tillgängliga digitalt för allmänheten och som kan sökas upp i ett diarium på webben.⁷⁰

E-förvaltning: Verksamhetsutveckling i offentlig förvaltning som använder informations- och kommunikationsteknik kombinerat med organisatoriska förändringar och nya kompetenser för att utveckla och effektivisera verksamheten.⁷¹

Forskningsetik: Överväganden forskare gör gällande etiska frågor för hur personer som deltar i forskningen behandlas. Häri inkluderas även etiska frågor om hantverket, så som publicering, vetenskaplig transparens m.m.⁷²

Informationssäkerhet: Fokuserar på den information som data företräder och skyddsbehovet utifrån det perspektivet. Syftet är att korrekta data skall nå rätt person eller rätt utrustning. Korrekt data innebär att avsändare ska vara rätt och att denna inte skall vara manipulerad av obehöriga.⁷³

Personuppgiftsombud: Enligt PuL utsåg den personuppgiftsansvariga organisationen (exempelvis kommunal nämnd) ett personuppgiftsombud, vilket skulle anmälas till Datainspektionen. Ombudets uppgift var att tillgodose att den personuppgiftsansvarige behandlade personuppgifter på̊ ett lagligt och korrekt sätt, och i enlighet med god sed.⁷⁴

Sekretess: ”Ett förbud att röja en uppgift vare sig det sker muntligen genom utlämnande av en allmän handling eller på något annat sätt”.⁷⁵

68 Burell & Sjögren (2018), s. 209–210.

69 Sveriges Kommuner och Landsting webbplats> Näringsliv, arbete, digitalisering> Digitalisering>

Informationsförsörjning och digital infrastruktur> E-arkiv [2019-06-02].

70 Riksarkivet rapport (2011), s. 11–12.

71Regeringens webbplats> Rättsliga dokument> Statens offentliga utredningar från Finansdepartementet>

SOU 2009:86> ”Strategi för myndigheternas arbete med e-förvaltning” [2019-05-16].

72 Lindstedt (2017), s. 49.

73 Nationalencyklopedin, webbversionen, sökord: IT-säkerhet [2019-05-29].

74Behandling av personuppgifter och EU: s dataskyddsförordning (namn på nämnden i Kommun A) (2018).

75 Larsson (2012), s. 36.

(21)

Metod, urval och källmaterial

Forskningsdesign

Masteruppsatsen baseras på en komparativ kvalitativ fallstudie i två svenska kommuner. Fallstudier handlar om att man som forskare väljer en person, grupp eller organisation som man noggrant undersöker. När fallstudier genomförs syftar inte dessa till att generalisera, däremot kan de vara ett komplement till en mer generell beskrivning.⁷⁶

En fallstudie syftar, enligt Shanks och Bekmamedova, till att fokusera på dynamiska aspekter av ett fall i en specifik omgivning och besvarar forskningsfrågor som ”hur” och ”varför”. Fallstudieforskning inriktas på samtida fenomen inom verkliga miljöer och beskriver de berörda aktörernas erfarenheter och tankar om saker och ting.⁷⁷ Eftersom fallstudier lämpar sig väl för komplexa fenomen och studeras utifrån kontexten mänskliga erfarenheter och tankar som är i fokus för föreliggande forskning, passar metoden utmärkt för denna studie. Det finns dessutom inte mycket forskning inom ämnet för denna uppsats sedan tidigare, vilket gör detta till en lämplig forskningsdesign. Föreliggande studie är en multipel fallstudie (flera fall studeras) då utsagor av 2 arkivarier och 2 registratorer från två kommuner undersökts och analyserats. En sådan typ av fallstudie har möjliggjort för mig som forskare att kunna klarlägga situationen på båda kommunerna och dra slutsatser kring likheter och skillnader emellan dem. Studien syftar med andra ord även till en jämförelse mellan de studerade kommunerna för att förklara förändringsskeenden och nuvarande strategier för e-posthantering- och bevarande.

Fallstudier kan kombineras med både kvalitativ och kvantitativ materialinsamling och analys (se vidare beskrivning av detta under avsnittet Kvalitativ innehållsanalys). Denna uppsats är en kvalitativ studie, vilken innebär att uttolkande av utsagor och mening hos informanternas skildringar står i fokus.⁷⁸ Kvalitativ undersökningsmetod lämpar sig följaktligen bra för denna studie därför att metoden passar utmärkt vid studier av mänskliga handlingar inom kontexten för arbetsplatser så som kommuner och passar dessutom väl vid studier av människors handlingar inom dessa kommuner och dess innebörder. Jag studerar hur kommunernas arkivarier och registratorer i sina yrkesroller upplever arbetet med e- posthantering och bevarande och även hur arbetet med e-post har förändrats över tid.

Urval och förstudie

För att göra ett urval av kommuner till min undersökning började jag med att välja ut fem kommuner av jämbördig storlek. Urvalet utifrån storlek gjordes via

76 Lindstedt (2017), s. 93.

77 Shanks & Bekmamedova (2018), s. 194 & 200.

78 Shanks & Bekmamedova (2018), s. 195 & 202.

(22)

Statistiska centralbyråns (SCB) befolkningsstatistik från 2018, för att kunna göra en jämförelse mellan kommunerna på ett så likvärdigt sätt som möjligt.

De fem kommuner som valdes ut kontaktade jag därefter via e-post, där jag sände ut en förfrågan om de kunde tänka sig ställa upp i en pilotstudie. Fyra kommuner besvarade mitt mejl och en kommun fick jag inget svar ifrån, varför denna kommun valdes bort. Inom ramen för denna förstudie genomfördes telefonintervjuer på 15–25 minuter med varje informant där svaren nedtecknades.

9 frågor inklusive ett par delfrågor ställdes till 4 arkivarier och 2 registratorer från 4 olika kommuner. Syfte med detta var att ta reda på om det fanns några aktuella frågor som diskuterades på respektive arbetsplats kopplat till e-posthantering, digitalt bevarande och e-postbevarande i synnerhet. Ett annat mål med pilotstudien var att underlätta för att kunna göra ett urval av kommuner. Frågorna som ställdes handlade om informanternas arbetsuppgifter, digital informationshantering (exempelvis e-arkiv), typ av e-postkorrespondens och säkerhetsklassning av e-post på arbetsplatsen, samarbetsprojekt kopplade till informationsbevarande, befintliga rutiner och styrdokument för e-post och förändringar av e-posthantering efter införandet av GDPR (förstudiefrågor, se bilaga 3).

Av dessa kommuner som ingick i pilotstudien valdes därefter två kommuner ut för min studie, baserat på informanternas relevans och kunskaper inom ämnet samt för att kunna besvara undersökningens syfte och frågeställningar. Anledningen till att jag till slut valde att studera de 2 kommuner som är delaktiga i min studie, var att jag var intresserad av att studera två kommuner på djupet, genom en fallstudie.

De resterande kommunerna valdes således bort efter förstudien för att omfånget på studien skulle blivit för stort om alla dessa skulle ha studerats.

Innan pilotstudien verkställdes hade jag ett intresse för att undersöka hur olika juridiska aspekter kan tänkas påverka e-posthantering och bevarande på kommuner.

Enligt informanterna från de kommuner som valdes ut för min undersökning visade det sig att de på respektive arbetsplats hade blivit påverkade av att GDPR trädde i kraft. Till följd av det hade det vidtagits ett flertal åtgärder på kommunerna. Detta väckte genast mitt engagemang och fungerade som ett uppslag till ämne och frågeställningar för min uppsats och vidare till hur intervjuguiderna utformades inför intervjustudien som genomfördes senare (Intervjuguider se bilaga 1 och bilaga 2).

Informanterna och kommunerna i föreliggande studie har anonymiserats.

Anledningen till att det gjordes var för att det skulle bidra till att informanterna skulle ge mig så bra svar som möjligt och känna sig bekväma med att uttrycka sig fritt kring frågorna som ställdes.

Informanter valdes ut för att få varierande perspektiv på arbete med e- posthantering i kommunerna beroende på vilken typ av verksamhet de arbetade inom och vilken yrkesroll de hade. Intervjuer i ena kommunen, kallad ”Kommun A” genomfördes med en registrator och en arkivarie som arbetade på en förvaltning

(23)

som sysslar med utbildningsverksamhet i förskolor och skolor. Registratorn från Kommun A kommer att namnges ”Registrator 1” i föreliggande studie och arkivarien kommer att benämnas ”Arkivarie 2”. Från andra kommunen, som kommer kallas ”Kommun B” i studien, intervjuades en arkivarie som arbetar centralt på kommunstyrelsen och en registrator som arbetar på en förvaltning som är verksam inom vård-och omsorgsverksamhet. Registratorn från Kommun B kommer att kallas ”Registrator 3” och arkivarien kommer att benämnas ”Arkivarie 4” i undersökningen. För att få olika perspektiv utifrån olika yrkesroller valdes både registratorer och arkivarier ut för intervjuer då dessa är centrala yrken kopplade till informationshantering/e-posthantering inom kommuner. Även andra yrkesgrupper hade kunnat studeras som sysslar med informationsförvaltning så som informationssäkerhetssamordnare, IT-arkitekter, handläggare på kommunerna m.fl.

Dessa yrkesgrupper valdes emellertid bort inom ramen för denna studie på grund av att undersökningen inte skulle bli för stor och på grund av tidsbrist.

För att få med diversifierade perspektiv på e-posthantering var ett annat urvalskriterium för studien att välja en kommun som hade e-arkiv och en kommun som inte hade detta. Avsikten var att upptäcka om det fanns några eventuella skillnader och/eller likheter kopplat till hantering och bevarande av e-post beroende på hur långt kommunerna kommit i den digitala utvecklingen.

Intervjuer

Semistrukturerade intervjuer med arkivarier och registratorer från de två studerade kommunerna genomfördes på respektive informants arbetsplats i föreliggande studie. Detta gjordes för att jag som forskare skulle få en närmare kontakt med intervjupersonerna på plats där det dagliga arbetet skedde. Semistrukturerat intervjuformat fungerar utmärkt för denna studie då syftet var att informanterna skulle kunna uttrycka sig fritt kring upplevda problem, behov och förändringsskeenden i respektive kommun.⁷⁹ I denna typ av intervju utgår forskaren från ämnen och frågor som har förberetts i förväg och forskaren styr således samtalet.⁸⁰ Frågorna är ofta flexibelt utformade för att fånga intervjupersonernas perspektiv i så stor utsträckning som möjligt samtidigt som de intervjuade personerna fokuserar på de ämnen som är relevant för studien. En av fördelarna med semistrukturerade intervjuer är dess större möjlighet att bidra till att förse forskningsresultatet med intressanta citat från informanterna, då de får möjlighet att uttrycka sig fritt och öppet. Citat är också något jag valt att använda mig av flitigt i min resultatredovisning, då det ger större uttryck för intervjupersonernas upplevelser av verksamheten. Av den anledningen är det också viktigt att ljudinspela intervjuerna, så att det är möjligt att gå tillbaka till det informanterna

79 Williamson (2018), s. 387.

80 Lindstedt (2017), s. 210.

(24)

sagt under intervjun och återge detta.⁸¹ Ljudinspelningar har därför gjorts av samtliga intervjuer (förutom förstudien) i denna forskningsstudie och dessutom har anteckningar tagits.

Innan intervjuerna genomfördes skickades intervjuguide ut tillsammans med ett informerat samtycke till samtliga informanter via e-post. I samma mejl frågade jag de medverkande om ett godkännande av det informerade samtycket. Detta gjordes för att ta ansvar och uppfylla god forskningsetik enligt informationskravet för undersökningen (informerat samtycke, se bilaga 4) Informationskravet innebär att informanterna informerades om villkoren som gällde för deras deltagande och vilken roll de hade i min undersökning. Jag talade även om att intervjupersonernas deltagande var frivilligt och att de när som helst kunde avbryta sin medverkan, i enlighet med samtyckeskravet för forskningsetik.⁸²

Intervjuguider utformades och strukturerades enligt teman för att besvara mina frågeställningar. Guiderna hade följande teman: ”Bakgrund” (yrkesroll, samarbetspartners i arbete med e-post osv.), ”E-posthantering”, ”E-posthantering och dataskyddsförordningen (GDPR)” och ”Avslutande frågor” (intervjuguider se bilaga 1 och bilaga 2). För att kunna besvara min första frågeställning kring strategier för hantering och bevarande av e-post formulerades frågorna under temat

”E-posthantering”. För att ge svar på min andra frågeställning kring förändring i informationskulturen kopplat till e-posthantering på kommunerna efter införandet av GDPR ställdes frågorna under temat ”E-posthantering och dataskyddsförordningen (GDPR)”. ”Bakgrund” fick utgöra en inledande del av min undersökning för att ge en inledande presentation om kommunerna och informanterna och ”Avslutande frågor” handlade om att jag ville få med vilka tankar om framtida visioner som informanterna hade kopplat till hantering och bevarande av e-post. Intervjuerna avslutades dessutom med en öppen fråga, ”Har du något att tillägga?”, för att inhämta eventuella ytterligare kommentarer som informanterna kunde tänkas ha.

Personliga intervjuer genomfördes under mars 2019 och tiden spenderad på dessa var ungefär 1–1,5 timme. Standardiserade frågor ställdes under intervjuerna till båda registratorerna och båda arkivarierna. Några frågor skiljde sig åt gällande intervjuguiden för registratorer jämfört med den för arkivarier. Anledningen till det var för att deras yrkesroller till viss del inbegriper olika arbetsuppgifter, exempelvis arbetar arkivarierna med långtidsbevarande av information (inklusive e-arkiv) i större utsträckning än registratorerna. Följdfrågor ställdes dessutom under intervjuns gång beroende på svaren från informanterna för att kunna besvara mina frågeställningar på ett bra sätt. Detta gav ett större djup till studien och resultatet för denna kunde utvecklas på ett djupare plan. Exempel på följdfrågor kunde vara

”Kan du utveckla…?”, ”Vad menar du med…?” osv.

81 Williamson (2018), s. 391–392.

82 Lindstedt (2017), s. 51–52.