Information och informationssäkerhet i offentlig verksamhet

Hur vi tar hand om vår information i offentlig verksamhet är något som uppmärksammas allt mer. Den senaste tiden har stort fokus legat på Transportstyrelsens hantering av sin information vid outsourcing av IT-driften, men det är inte bara där det finns brister.

Riksrevisionsverket har i ett antal rapporter påpekat allvarliga brister i de offentliga myndigheternas hantering av information. Det är många olika aspekter av informationshantering som man behöver beakta:

• Verksamhetsbaserad informationsredovisning. Riksarkivet kom redan för ett tiotal år sen med nya föreskrifter om av att definiera informationen utifrån den verksamhet, den process, där den skapas

• Informationssäkerhet. Myndigheten för Samhällsskydd och Beredskap (MSB) med särskilt ansvar att utveckla samhällets förmåga att förebygga och hantera olyckor och kriser påtalar vikten av att informationen beskrivs i det sammanhang där den skapas, och man talar också om vikten av att klassa informationen utifrån olika säkerhetsaspekter

• PSI och öppna data. Offentlig information ska vara tillgänglig för entreprenörer så att de kan utveckla hanteringen och möjligheten att tillgodogöra sig den.

• Den nya dataskyddsförordningen ”General Data Protection Regulation”, GDPR, som träder i kraft den 25.e maj 2018, innebär nya krav på hantering av personuppgifter

• Digital långtidsförvaring ställer höga krav på informationens beständighet över tid.

Inom alla dessa områden finns ett behov av att ta ett nytt och mer heltäckande grepp om verksamhetens information, särskilt inom offentlig sektor. Ett sådant helhetsgrepp möjliggör en effektivare hantering av informationen med hänsyn till alla de krav som ställs.

För att få ut full effekt av arbetet behöver vi arbeta systematiskt. Vi följer de rekommendationer som bland andra Riksarkivet och MSB ger, och vi startar med en procesbaserad informationskartläggning.

Med hjälp av en verksamhetsstruktur som omfattar hela verksamheten, beskriver vi informationen som skapas och handhas i den, process för process.

Genom att vi knyter informationen (handlingstypen eller informationsmängden) till processen den behandlas i får vi lättare att förstå hur den hanteras, och det blir även lättare att göra en korrekt klassning av informations-säkerheten.

Även när det gäller personuppgiftslagen och den nya dataskyddsförordningen) kan vi identifiera var och hur personuppgifter används, hur länge uppgifterna sparas osv.

När all information är säkerhetsklassad så blir det även enkelt att hitta de områden, de processer, med information som är särskilt skyddsvärd och kanske sätta in extra säkerhetsåtgärder där.

Det här sättet att arbeta systematiskt med informationen och informationssäkerheten stöds av VisAlfa, och vi har gjort en film som ger ett exempel.

Klicka här för att se filmen