Bilaga 3 – Konceptstudie e-arkiv
Transcription
Bilaga 3 – Konceptstudie e-arkiv
Författare Projektägare Telefon Datum Elin Jonsson Växjö kommun 0470-413 07 2015-02-04 Projekt Version Sida Konceptstudie e-arkiv Kronoberg och Blekinge (dnr KS/2014:68) 1.0 1 Bilaga 3 – Konceptstudie e-arkiv Rapport från workshop om information som flödar mellan huvudmän Kommuner och landsting har flera gemensamma informationsflöden och även informationssystem som används gemensamt. På workshopen den 10 oktober i Växjö arbetade vi med att tydliggöra frågor kring säkerhet och tillgänglighet när det gäller gemensamma system. Workshopen arrangerades inom ramen för konceptstudien e-arkiv Kronoberg och Blekinge. Deltagande organisationer och organisationer som anmält intresse för närmare samverkan var inbjudna att delta. Tanken med workshopen var att alla deltagare skulle bidra med sina erfarenheter och kunskaper inom olika områden. Diskussionsledare var Fia Ewald, Myndigheten för samhällsskydd och beredskap (MSB). Fia är enhetschef för enheten för systematiskt informationssäkerhetsarbete. På workshopen deltog även Robert Lundberg, MSB samt Anders Danielsson, som är med i konceptstudiens styrgrupp och arbetar med informationssäkerhetsfrågor hos Karlskrona kommun. Elin Jonsson, biträdande projektledare för Konceptstudie e-arkiv Kronoberg/Blekinge, deltog för att dokumentera och ordna med det praktiska under dagen. Om myndigheten för samhällsskydd och beredskap Workshopen startade med att Fia Ewald berättade kort om Myndigheten för samhällsskydd och beredskap (MSB), som är en statlig myndighet med uppgift att utveckla samhällets förmåga att förebygga och hantera olyckor och kriser. Myndigheten är ingen tillsynsmyndighet utan verkar genom samordning. Riskarbete kräver en ständig rörlighet och tillsyn är en metod som inte fungerar bra på ett riskbaserat arbetssätt som ständigt behöver utvecklas. Fia konstaterade att kommuner och landsting har stora krav på sig. Nationell säkerhet och nationella lösningar som presenteras är beroende av ett lokalt genomförande. Kommuner och lansting behöver metodstöd för att kunna arbeta på ett strukturerat sätt med till exempel informationssäkerhet. MSB har tagit fram en vägledning för processorienterad informationskartläggning i samarbete med Riksarkivet. Vägledningen finns att ladda ner via MSB:s webbsida: https://www.msb.se. Både informationssäkerhetsspecialister och arkivarier har i grunden samma skyddsobjekt, nämligen information. Det är viktigt att dessa personer samarbetar för att inte i onödan belasta verksamheten genom att ställa krav från olika håll. Vägledningen är ett gemensamt metoddokument som stöd för att arbeta strukturerat med informationskartläggning. Förutom beskrivning av aktiviteter, så beskrivs informationslager och bärarlager (databaser, molntjänster, telefoner mm.) Författare Projektägare Telefon Datum Elin Jonsson Växjö kommun 0470-413 07 2015-02-04 Projekt Version Sida Konceptstudie e-arkiv Kronoberg och Blekinge (dnr KS/2014:68) 1.0 2 Kartläggningen är stöd för att fatta beslut och för att analysera och se hur processerna ser ut. Det är också ett underlag för kontinuitetsplanering. Till exempel för att identifiera prioriterade processer. Det är viktigt att veta var information finns och hur och var händelser dokumenteras för att veta vilken effekt till exempel incidenthantering faktiskt har lett till. Gruppindelning Deltagare hade blandad bakgrund. Det var flera från it- och arkivfunktionerna men också informationssäkerhetsspecialist, systemförvaltare, projektledare, e-hälsosamordnare, sjuksköterska, medicinskt ansvariga sköterskor och jurister. Deltagarna delades in i fyra grupper med blandade kompetenser och en blandning av personer från landsting/kommun och från Kronoberg/Blekinge. Grupp 1 Ann-Britt Christensen Annelie Morin Camilla Jönsson Christina Nilsson David Lindahl Olivia Simson Sirpa Koponen Grupp 2 Anders Danielsson Anki Heimonen Anna Widströmer Gun Ulfves Kerstin Johansson Grupp 3 Ann-Britt Mårtensson Annie Jonsson Ann-Katrin Axelsson Gunilla Dicksson Magdalena Nordin Ulrika Gunnarsson Grupp 4 Carina Yngvesson Carl-Johan Ekelund Marie Ulmhed Ulf Gustavsson Ulrika Adolfsson Åsa Wikingsson Medicinskt ansvarig sjuksköterska Projektledare eHälossamordnare Blekinge, projekt Systemförvaltare IT-arkitekt arkivarie IT-chef Emmaboda kommun Växjö kommun Karlskrona kommun Landstinget Blekinge Landstinget i Kalmar län Karlskrona kommun Nybro kommun Informationssäkerhetschef Arkivarie Landstingsjurist IT-utvecklare Arkivarie Karlskrona kommun Kommunalförbundet ITSAM Landstinget Kronoberg Landstinget Kronoberg Växjö kommun Medicinskt ansvarig sjuksköterska Projektregistrator Informationssäkerhetsstrateg Personuppgiftsombud arkivarie IT-arkitekt Karlskrona kommun Växjö kommun Landstinget Kronoberg Landstinget i Kalmar Karlskrona kommun Växjö kommun Medicinskt ansvarig sjuksköterska Växjö kommun Landstinget i Kalmar Växjö kommun Mörbylånga kommun Regionförbundet i Kalmar län Landstinget Kronoberg Arkivarie Kommunsekreterare eHälsosamordnare IT-utvecklare Författare Projektägare Telefon Datum Elin Jonsson Växjö kommun 0470-413 07 2015-02-04 Projekt Version Sida Konceptstudie e-arkiv Kronoberg och Blekinge (dnr KS/2014:68) 1.0 3 Uppgift för förmiddagspasset – identifiera process- och informationsflöde Gruppernas uppgift var att börja titta på en process, vilken information som hanteras och hur den hanteras. Från konceptstudiens sida uttrycktes önskemål om att välja processer som involverade både landsting och kommun. Redovisning grupp 1 (Olivia): Gruppen tittade på information från hälsocentralen i Emmaboda till sjuksköteskan. Till exempel ett uppdrag att genomföra ett hembesök. Verksamheten bedrivs enligt avtal mellan Kalmar läns landsting och de 12 kommunerna i Kalmar län Gruppens intryck var att det var spännande att kartlägga flödet. Gruppen hittade fler och fler moment under processen. Det var mycket nyheter och intressanta diskussioner under grupparbetet. En del deltagare hade koll på hela processen. Redovisning grupp 2 (Anders): Gruppen hade tittat på vilken information som vandrar och i vilka system en person hamnar från födelsen och framåt. Det är ett otroligt komplext flöde. Det är mycket som sker parallellt och det är många moment. Det är för det första olika journaler som läggs upp: förlossningsjournal, BVC-journal och skolhälsovården. Det är många huvudmän: kommun, landsting, friskolor och olika privata vårdgivare. Grupperna har också diskuterat situationen som uppkommer om ett barn samtidigt har en funktionsnedsättning och får stöd enligt SOL, HSL eller LSS. Arkivet har mycket erfarenhet och kompetens som inte alltid är känd för andra yrkesgrupper. Fia kommenterade att gruppens arbete berör viktiga principiella frågor. Spontant så tänker man ofta att det bästa vore att låta journalerna vandra. Det är inte lämpligt vare sig när det gäller integritets-, informationshanterings- eller säkerhetssynpunkt. Det bottnar i ett papperstänkande. Det är viktigt att förstå vad vi gör och vad vi har för alternativ med dagens digitala informationshantering. Kommuner och landsting måste värna professionella informationshanterare. Inte bara arkivarier utan även informationssäkerhetsspecialister, registratorer och så vidare. För att åstadkomma en säker och ändamålsenlig hantering av information behövs styrning av hur information kommer in och hanteras. Detta för att säkerställa att informationen har rätt kvalitet och rätt spårbarhet. Vilken information ska låsas vid en viss tidpunkt och så vidare. Det är inte givet att det är en bra lösning att försöka anpassa lagstiftningen efter dagens teknik. Som exempel nämner Fia att man inte har lyckats lösa att spärra journaluppgifter tekniskt fastän lagstiftningen kräver det. Risken är att man anpassar sig efter en dålig tillämpning i stället för tvärt om. I offentlig verksamhet måste vi skärpa oss och bli bättre. Integritet är en viktig fråga. Vi behöver bli mer stridbara och sätta stopp. Genom att till exempel visa på konsekvenser. Gruppen hade identifierat ett problemområde - vart ska den enskilda personen vända sig? Det är många olika aktörer som äger frågorna och information som berör till exempel ett barn. Fia kommenterar att sjukvårdshuvudmän är ansvariga för alla boende i området. Det finns krav på att säkerställa tillgång till information även om en entreprenad upphör. Då måste huvudmannen kunna hämta in information. Gruppen hade också resonerat kring frågan att samma system används av Författare Projektägare Telefon Datum Elin Jonsson Växjö kommun 0470-413 07 2015-02-04 Projekt Version Sida Konceptstudie e-arkiv Kronoberg och Blekinge (dnr KS/2014:68) 1.0 4 både privata och offentliga aktörer. Fia kommenterar att det innebär att många typer av information sammanförs. Det är nödvändigt att det realiseras så att lösningarna håller långsiktigt. Gruppens slutsats är att det är en användbar metod att tillsammans börja rita upp en bild av informationsflödena. Deltagarna i gruppen hade inte tidigare suttit ner och ritat upp bilden tillsammans. Det behöver inte vara så svårt utan att helt enkelt sätta sig ner tillsammans och börja rita. Det är viktigt att få samma bild i huvudet för att kunna börja titta på lösningar. Fia kommenterar att vägledningen är ett bra tankestöd. Det kan behövas för att inse att det finns olika sätt att se på saker. Redovisning grupp 3 (Anna-Karin): Grupp tre hade också valt att titta på en tidslinje som följde en person från vaggan till graven. Gruppen hade inte tittat på personer i behov av särskilt stöd. De processer som man tittat på var hantering i samband med förlossning, BVC, skolhälsa, om en person flyttar, kommunal hemhjälp, patientöversikt med mera. Gruppens upplevelse var att det är många huvudmän och många delar. Deltagarna i gruppen från olika funktioner lever i delvis parallella världar. Det finns också strikta krav på vissa dokumenttyper från verksamheten, som till exempel BVC-journaler. Alla vill ha det på sitt sätt. Patientdatalagen säger något annat. Hur det ska gå till i praktiken, de vill säga införande av bättre lösningar i operativa verksamheten, diskuterades. Fia konstaterar att det inte är enkelt för till exempel en liten kommun när det kommer direktiv uppifrån. Till exempel olika nationella tjänster. Det finns inte de resurserna lokalt. Gruppen hade också identifierat svårigheten att veta vem man ska vända sig till. En lösning skulle kunna vara en central funktion att ställa frågor till. Det finns många privata alternativ och skolor. Det blir mer och mer komplext. Privatpersoner kan behöva hjälp att veta var man ska leta. Fia kommenterar att personuppgiftslagen ger bra stöd för möjligheten att få ut uppgifter om sig själv. Många har dock gallrat och förstört journal och likande. Det finns däremot anledningar att akta sig för att samla all information på ett ställe. Man skulle kunna tänka sig en offentlig tjänst regionalt. En kontaktpunkt dit privatpersoner kan skicka förfrågan och få hjälp att skicka ut till rätt ställen. Registerutdrag enligt Pul kan vara ett jättejobb, men samtidigt enkelt om man vet vart frågan ska ställas. När det gäller privata aktörer som utför uppgifter på uppdrag från kommuner och landsting så är avtal viktiga. Frågan ställdes om det finns bra exempel på avtal. Ofta lånar man formuleringar av varandra men det finns en osäkerhet om det egentligen är bra exempel som sprids. Fia kommenterar att ett gemensamt stöd för hur avtal bör formuleras skulle kunna hjälpa kommunerna. Redovisning grupp 4 (Marie): Gruppen hade tittat på processen kring initiering av hemsjukvård. Det var deltagare både från Kalmar län och från Kronoberg. Man använder olika stöd för informationsflödet men deltagare från de båda länen kände igen sig. Även i den här gruppen hade frågan om avtal berörts. Författare Projektägare Telefon Datum Elin Jonsson Växjö kommun 0470-413 07 2015-02-04 Projekt Version Sida Konceptstudie e-arkiv Kronoberg och Blekinge (dnr KS/2014:68) 1.0 5 Det pågår en remiss om ny datalag för sjukvård och social omsorg. Det finns olika modeller för hur man arbetar med informationssäkerhet och informationshantering. Bilaterala avtal är en modell och en enhetlig informationsstruktur. Fias tips var att tänka igenom informationssäkerhetsperspektivet i remissvaren. Uppgift för eftermiddagspasset - informationssäkerhetsklassning Under eftermiddagspasset var uppgiften att bedöma skyddsbehov för olika informationsmängder. Det vill säga säkerhetsklassning av information. Att identifiera information i ett processperspektiv hjälper till att förstå hur information används och vilket värde den har. Det är informationen som behöver klassas, inte system eller tjänster. Ett exempel som illustrerar detta är att i samband med den stora skogsbranden så hade media synpunkter på att kommunernas webbplatser inte var uppe. Att hålla den säkerheten på webbplatsen skulle kosta väldigt mycket. Egentligen är det inte webbplatsen som tjänst som är intressant. Det är informationen som ska klassas. Kommuner ska se till att man har lösningar för att hantera informationen i enlighet med klassningen. Klassningen av information ska leda till konkreta skyddsåtgärder. Processen illusteras nedan: Identifiera Klassa Välja skyddsnivå För att förenkla arbetet behövs standardiserade skyddsnivåer. MSB arbetar för att ge stöd och standardisera. Det är ett tungt jobb hitta bra struktur, något som är omöjligt att hinna med i kommunal verksamhet. Dessutom blir det ohanterligt om alla 290 hittar på egna varianter. MSB har som idé att tillhandahålla förslag på styrmodeller, som man kan ansluta sig till. Det gör det enklare att komma igång. En enkel modell för säkerhetsklassificering presenterades. Skalan i modellen visar konsekvenser betraktade ur olika aspekter. Konsekvenserna graderas mycket allvarliga, allvarliga och lindriga. Aspekterna som säkerheten skulle betraktas ur var konfidentialitet, riktighet, spårbarhet, tillgänglighet och tillgänglighet på lång sikt. Rekommendationen är att undanta information som om omfattas av sekretess för skydd av rikets säkerhet. När det gäller den sekretessnivån så finns det redan definierade skyddsåtgärder. Dessa åtgärder innebär att medborgerliga rättigheter överträds. Skyddsklassen är därför odemokratisk och onödigt besvärlig att använda om det inte absolut är nödvändigt. Undantag är också öppen information (utan sekretess eller personuppgifter) som kan spridas utan skyddsåtgärder. Författare Projektägare Telefon Datum Elin Jonsson Växjö kommun 0470-413 07 2015-02-04 Projekt Version Sida Konceptstudie e-arkiv Kronoberg och Blekinge (dnr KS/2014:68) 1.0 6 För att underlätta säkerhetsklassning behövs definitioner i modellen som beskriver vad som till exempel ska räknas som mycket allvarligt. Deltagarna instruerades att titta på informationen ur olika perspektiv. Till exempel betraktat från den berörda individens synvinkel eller verksamheten. Om konsekvenserna för en individ kan bli mycket allvarliga klassades information efter det även om konsekvenserna för verksamheten inte blir lika allvarliga. Det vill säga det värsta scenariot ger säkerhetsklassningen. Redovisning Grupperna redovisade kort vad som har varit svårt och vad som har varit enkelt. En av grupperna berättade att de hade funderat mycket kring hur informationen används i olika sammanhang, inte bara sett till den aktuella processen. Processer går ofta ihop med varandra på olika sätt. Det var inte enkelt att hålla isär vad som hör det den utvalda processen. Fia kommenterade att det är viktigt att titta på vilka som använder informationen. Kartläggningen är ett tankestöd för att identifiera information, både den man kontrollerar och där man är kravställare. Processen kan både ställa krav och vara mottagare av krav. Det är det högsta kravet som styr vilken skyddsnivå som ska väljas. Det kan också finnas anledningar att göra ett medvetet risktagande och förbereda alternativa hanteringssätt för situationer som inte följer det normala mönstret. Det är viktigt att kartläggningen sker i samarbete mellan olika specialister. Verksamheten kan beskriva vad händer och hur information används i verksamheten. Informationssäkerhetsspecialister bidrar med sina kunskaper om säkerhetsklassning och arkivarier kring värdering utifrån gallring och långsiktigt bevarande (tillgänglighet på lång sikt). Anders berättade om Karlskronas idé att dokumentera säkerhetsklassning i samband med framtagande av dokumenthanteringsplaner. Tanken är att det underlättar arbetet att bygga på dokumenthanteringsplanerna som ändå måste tas fram. Det är viktigt att få in en samsyn kring de termer och begrepp som används för bland annat säkerhetsklassning. Fia poängterar kartläggningen som ett underlag för kommunikation, det vill säga ett sätt att samtala strukturerat. Det är ett samtalsstöd som leder fram till slutsatser. Erfarenheten i grupperna var att blandning av kompetenser var det som var kreativt. Var och en har inte hela bilden. Tillsammans gick det att komma sanningen närmare. Det är bra att samtala om vad som är viktigast eftersom olika personer kan ha olika syn på detta. Genom att arbeta i workshopform blir det möjligt att bygga upp en kollektiv kunskap – crowd sourcing i smarthet för att använda Fia Ewalds ord. Författare Projektägare Telefon Datum Elin Jonsson Växjö kommun 0470-413 07 2015-02-04 Projekt Version Sida Konceptstudie e-arkiv Kronoberg och Blekinge (dnr KS/2014:68) 1.0 7 Utvärdering av workshopen (1-5) En kort enkät delades ut och deltagarna ombads att gradera ett antal påståenden från 1 till 5. Där 1 motsvarar instämmer inte alls och 5 motsvarar instämmer helt. Utbildningen/aktiviteten motsvarade mina förväntningar (4,0): Jag kommer att ha nytta i mitt arbete av det jag har lärt mig (4,2): Fika och lunch var trevligt och gott (4,4): Lokalen och de praktiska arrangemangen fungerade bra (3,8): Erfarenheter från workshopen Nedan sammanfattas dels synpunkter som hämtats in via utvärderingen och dels reflektioner från arrangörerna. Fungerade bra – att rekommendera: Workshop med blandade grupper ger intressanta diskussioner. Det var en bra blandning med kompetenser under dagen. Grupparbetet fungerade bra och kan rekommenderas även i fortsättningen. Grupperna kom igång bra, arbetade självständigt och kom fram till bra och användbara resultat på relativt kort tid. Det är också bra att ha kunniga diskussionsledare på plats för att svara på frågor och fungera som stöd till grupperna. Fungerade mindre bra – bör förbättras till nästa tillfälle: Det var dålig luft och akustik i lokalen (A-salen). Ljudmiljön var inte den bästa. Tillgång till grupprum skulle vara en förbättring. I utvärderingen efterfrågades också en större tydlighet med om det krävs inläsning i förväg för att kunna hänga med. Den skriftliga dokumentationen inför workshopen skickades ut för sent. Att tänka på: Vara tydligare med om det krävs inläsning. Deltagarna ombads att ta med sig en process, men detta berördes inte sedan under workshopen. Även om syftet var just dialogen i grupperna så hade det varit bra att förklara varför det var bra att ta med sig processer. En förutsättning för att kunna arbeta strukturerat med informationssäkerhet och kartläggning är att beslutsfattare inser att detta arbete kräver resurser. När det gäller lunch så är 25 en för stor grupp för att hantera lättlunch på plats om det inte finns anslutande utrymme där personer kan sitta. Inbjudningarna behöver formuleras tydligare och det skulle vara en fördel att ha material och en beskrivning av grupparbetet med redan i inbjudan. Inför workshopen var det mycket frågor, anmälningar och avanmälningar i sista stund med mera. Där är Författare Projektägare Telefon Datum Elin Jonsson Växjö kommun 0470-413 07 2015-02-04 Projekt Version Sida Konceptstudie e-arkiv Kronoberg och Blekinge (dnr KS/2014:68) 1.0 8 bra att ha tillgång till materiel som stora papper, olika sorters pennor, notisar, anteckningsblock och så vidare. Det är också bra att komma ihåg att informera om tillgång till gästnät. Det kan finnas en poäng att strukturera upp kommande workshopar för att först identifiera processer – och informationsflöden och därefter titta på skyddsåtgärder, lösningar och krav på leverantörer av system och it-tjänster. Slutsatser och rekommendationer Det är viktigt att arkivarier och informationssäkerhetsspecialister samarbetar. Båda yrkesgrupperna har samma skyddsobjekt, nämligen information. Konsekvensen blir annars att verksamheten får liknande frågor från två olika håll och det är inte effektivt. Vägledningen som MSB och Riksarkivet har tagit fram kan fungera som ett gemensamt metodstöd. Grupparbetet fungerade över lag bra och det hände mycket i grupperna med olika blandade kompetenser – verksamhet, informationssäkerhet, is/it och arkiv. Det gick ganska snabbt att få en bild över ett informationsflöde och identifiera olika frågor som behövde besvaras och risker med hanteringen. Det är en fördel att ha kunniga diskussionsledare på plats. Kommande workshopar kan delas upp för att först identifiera processer och informationsflöden och därefter titta på skyddsåtgärder, lösningar och krav på leverantörer av system och it-tjänster. Det var också tydligt att informationshanteringen inom vård och omsorg är komplex med mycket som sker parallellt och många olika moment, olika handlingstyper, och flera olika huvudmän (offentliga och privata). Det är viktigt att få en förståelse för möjligheter och begränsningar när det gäller digital hantering av information. Detta är en förutsättning för att ta fram ändamålsenliga kravspecifikationer för systemen som används. Systemen behöver uppfylla både krav från verksamheten och krav när det gäller informationssäkerhet och rättsäkerhet. Inte minst när flera olika verksamheter och huvudmän använder samma system. För att åstadkomma detta behöver olika professioner arbeta tillsammans med verksamhetskunniga – informationssäkerhetsspecialister, registratorer, arkivarier och personer kunniga inom is/it. I dagsläget så lever ofta de olika professionerna i helt ”olika världar”. En utmaning som identifierades under dagen var vart de enskilde ska vända sig för att få ut information när det är så många olika aktörer. En lösning som diskuterades skulle kunna vara en central funktion att ställa frågor till. En funktion som hjälper till med att skicka vidare och samla in uppgifter. Sydarkivera bör titta på om detta på sikt kan bli någonting som skulle kunna hanteras av förbundet. En annan viktig fråga som lyftes var avtal med privata aktörer. Det skulle behövas ett gemensamt stöd för hu avtal ska formuleras. Sydarkivera bör titta på vilken organisation som skulle kunna ta fram ett sådant stöd. Författare Projektägare Telefon Datum Elin Jonsson Växjö kommun 0470-413 07 2015-02-04 Projekt Version Sida Konceptstudie e-arkiv Kronoberg och Blekinge (dnr KS/2014:68) 1.0 9 En annan viktig process att bevaka är när det tas fram nya lagförslag. Det är viktigt att de organisationer som lämnar remissvar även får med synpunkter när det gäller informationssäkerhet och långsiktigt digitalt bevarande. När det gäller säkerhetsklassning så behövs olika verktyg för att underlätta arbetet. MSB håller på att ta fram sådana verktyg till exempel i form av en enkel modell för säkerhetsklassificering. Sydarkivera bör bevaka det arbetet och använda sig av de standardiserade modeller och verktyg som tas fram. Karlskrona kommun har tagit fram en modell för att registrera säkerhetsklass i samband med arkivredovisning. Det är ett bra exempel som kan användas som utgångspunkt för arbetet med verksamhetsbaserad arkivredovisning. Det finns ett behov av att dela och sprida kunskap om vägledningar och metoder för att förbättra och säkra informationshantering. Gruppen Informationshantering på nätverket E-arkiv på Yammer skulle kunna användas för detta ändamål.