Veileder for identifisering og sikring av dokumentasjon

Transkript

1 Veileder for identifisering og sikring av dokumentasjon

2 Innhold Metode for identifisering og sikring av dokumentasjon... 3 Om metoden... 3 Hensikten... 4 Hvem kan og bør bruke metoden?... 4 Hva får du ut av å bruke metoden?... 5 Når skal man bruke metoden?... 5 Fase 1: Forberedelse... 6 Fase 1- Trinn 1: Kartlegge prosessen og dens omgivelser... 8 Fase 1- Trinn 2: Kartlegge informasjonen i prosessen... 9 Fase 2: Identifisering av dokumentasjon Fase 2 - Trinn 1: Vurdere om det finnes krav til dokumentasjon beskrevet i regelverk Fase 2 - Trinn 2: Å uttrykke behovet for dokumentasjon i virksomheten gjennom en risikobasert vurdering Fase 3: Sikring av dokumentasjon LES MER OM Sjekkliste for bruk av metoden LES MER OM Fase 1 - Trinn 1: Kartlegge prosessen og dens omgivelser LES MER OM Fase 1 - Trinn 2: Kartlegge informasjonen i prosessen LES MER OM Fase 2 - Trinn 2: Risikobasert tilnærming Risiko identifisering Estimering av risiko (Risikoanalyse) Risikoevaluering ORDLISTE... 31

3 Metode for identifisering og sikring av dokumentasjon Om metoden Metoden er et svar på behovet offentlige virksomheter har for å kunne identifisere hva som er dokumentasjon i deres arbeidsprosesser og som derfor skal sikres. Denne veilederen er utviklet for å tilby offentlige virksomheter en systematisk fremgangsmåte for å identifisere dokumentasjon. Digitalisering gir store muligheter for å forenkle samhandling og bruke informasjon på nye måter. Viktige dokumenter opptrer i nye former og formater, eller erstattes av andre løsninger som for eksempel SMS, Skype og SharePoint. Det kan være utfordrende i en slik sammenheng å forstå hva som er dokumentasjon og bør behandles deretter. Denne metoden er et første steg på veien i en handlingsplan mot moderne dokumentasjonsforvaltning. Målet er at sikring og bruk av dokumentasjon bidrar til gjennomsiktighet, etterrettelighet og verdiskapning ved økt kvalitet og effektivitet på offentlige tjenester. Denne veilederen beskriver de 3 fasene i metoden: 1- Forberedelse Du skal få oversikt over omgivelsene til en utvalgt prosess, og hvilke aktiviteter den omfatter. Du skal finne ut hvilken informasjon som brukes, skapes eller endres i prosessen. Dette blir grunnlaget for identifiseringen i neste fase. 2- Identifisering av dokumentasjon Du skal identifisere hva som er dokumentasjon blant informasjonen du har kartlagt. 3- Sikring Hensikten med denne fasen er å gi retningslinjer for arbeidet med å sikre dokumentasjon. Resultat: Etter å ha brukt denne metoden skal du kunne legge frem en nåsituasjonsbeskrivelse av informasjonsproduksjonen og håndtering i en utvalgt prosess. Du skal kunne identifisere hvilke aktiviteter som bør dokumenteres og hvordan behandle denne dokumentasjonen. Du har et register med systematiske vurderinger av hva som er dokumentasjon både i følge gjeldende regelverk, og ut fra virksomhetens eget behov. Dette er et verktøy for å tydeliggjøre og kommunisere verdien av dokumentasjonen i den aktuelle prosessen. 3

4 Du har et hjelpemiddel når du skal påse at hensyn til dokumentasjon ivaretas fra første stund når en prosess eller et system skal utvikles. Du kan bruke føringer fra metodens tredje fase, «Sikring av dokumentasjon», når du skal operasjonalisere sikringen av den dokumentasjonen du har identifisert. Hensikten Formålet med å bruke metoden er å gjøre det enklere å beslutte hvilken dokumentasjon din virksomhet m å sikre over tid. Din virksomhet skal kunne få bedre arkiver uavhengig av hvor noe bevares. Et godt er arkiv er mer enn en samling av inn- og utgående korrespondanse. Et godt arkiv kan gi svaret på hvordan man kom frem til et resultat, for eksempel et vedtak. Derfor er det viktig at dokumentasjon som arkiveres faktisk reflekterer det som skjer i virksomheten. Dette undersøker vi nærmere i forberedelsesfasen. De fremtidige behovene som skal dekkes ved sikring av dokumentasjon er ofte noe uklare. Metoden forsøker derfor å si noe om hvordan man kan beskrive dette fremtidige behovet. Dette ser vi på i identifiseringsfasen. I denne fasen er det viktig at man ikke har fokus på hva som eventuelt skal avleveres til en arkivinstitusjon. Fokus må være på å ivareta virksomheten egne behov for tilgang til etterrettelig dokumentasjon over tid. Hvem kan og bør bruke metoden? Målgruppen for metoden er primært de som legger premissene for hvordan informasjon skapes og brukes i virksomheten. Du er en premissgiver hvis du: er ansvarlig for en saksbehandlingsprosess er prosjektleder for typiske digitaliseringsinitiativ er avdelings- eller fagleder som har opplevd hendelser der du ikke har kunnet fremskaffe riktig dokumentasjon skal tolke og implementere sikkerhetstiltak knyttet til dokumentasjon skal designe nye systemer der dokumentasjonskrav er ivaretatt fra første stund 4

5 Hva får du ut av å bruke metoden? Når du bruker metoden vil du kunne få svar på: Hvilken delmengde av informasjonen vi behandler skal vi bevare som dokumentasjon for vår virksomhet? Å sikre dokumentasjon. Hva innebærer det egentlig? Virksomheten vil få en helhetlig forståelse av fremtidig dokumentasjonsbehov. Den stegvise fremgangsmåten og den risikobaserte tilnærmingen gir mulighet til å gjøre systematiske vurderinger om hva som skal behandles som dokumentasjon. Systematikken kan enkelt kommuniseres til et bredt publikum internt i virksomheten. Når skal man bruke metoden? Digitalisering, tjenesteutvikling, internkontroll, informasjonssikkerhet, personverskartlegging eller revisjoner kan tydeliggjøre mangel på kontroll over hva som dokumenteres i dag, og hva som burde vært dokumentert. Denne metoden kan tas frem som et tilleggsverktøy i slike situasjoner for å sørge for at hensynet til dokumentasjon blir ivaretatt. Det vil gi deg et godt grunnlag for å vite hvordan dere kan jobbe for å sørge for riktig dokumentasjon allerede under planleggingen av nye prosesser, tjenester eller systemer. Metoden kan også brukes alene der man vil sette søkelys på og forbedre virksomhetens dokumentering av oppgaveløsning. 5

6 Fase 1: Forberedelse Om denne fasen Denne fasen er et forarbeid for identifiseringsarbeidet. Målet er å skape en forståelse av hvordan arbeidsoppgaver utføres i praksis og hvilke opplysninger som faktisk skapes og brukes i prosessen. Altså å kartlegge all informasjon. Kartleggingsarbeid kan bli omfattende og er en forutsetning for å kunne identifisere dokumentasjon, men dette er ikke en prosesskartleggingsmetode. Det er derfor viktig å undersøke hvilke kartlegginger som gjennomføres eller har blitt gjort i andre relevante initiativ og hvilke opplysninger som kan gjenbrukes. Denne fasen inneholder to trinn der du skal: 1. Få en oversikt over den aktuelle prosessen og avgrense hvilke omgivelser som påvirker den. 2. Finne ut hvilke informasjonsobjekter som brukes, skapes eller endres i den valgte prosessen (en informasjonsoversikt). Resultater fra fasen Etter kartleggingen vil du ha: Oversikt over virksomhetens omgivelser. Eksempelvis interne og eksterne interessenter (beslutningstakere/brukere), lover og regler og styringsdokumenter. Oversikt over prosessen og den sammenhengen den inngår i. Eksempelvis prosessens formål, grenseflater (start-slutt), aktiviteter og informasjonssystemer. En Informasjonsoversikt der du har beskrevet informasjonen og opplysninger som skapes og brukes i prosessen. 6

7 Aktører Prosesseier Avdelingsleder Saksbehandler Arkiv og dokumentasjonstjenester kan bidra med fagkompetanse Lover og forskrifter De lover som er relevante for din virksomhet Verktøy, referanser og eksempler NS-ISO 30300:2011 (Ledelsessystemer for dokumentasjon) NS-ISO :2016 (Dokumentasjonsforvaltning) DIFIs veiledninger om informasjonssikkerhet Direktoratet for økonomistyring (DFØ) veiledning om prosesskartlegging. Sjekkliste for bruk av metoden Eksempler (under utvikling) 7

8 Fase 1- Trinn 1: Kartlegge prosessen og dens omgivelser Å beskrive prosessens omgivelser gir deg premissene prosessen påvirkes av slik som lover og regler, ulike interessenter og ressurser som benyttes. Beskrivelsen av prosessen og dens omgivelser bør være presis og dekkende nok til at den virker avgrensende for videre arbeid. Beskrivelsen må skape forståelse for formålet med prosessen. Det er lurt å finne et detaljeringsnivå som er tilpasset din virksomhet. Du bør starte med å undersøke om andre i virksomheten allerede kan ha gjort et arbeid for å avdekke opplysninger som er relevant for den prosessen du nå skal kartlegge. Slike opplysninger kan du kanskje finne i forbindelse med: Arbeid med lover og forskrifter: Finnes det en oversikt over hvilke generelle lover og særlover som gjelder din virksomhet/tjeneste? Prosesskartlegging/Tjenestedesign: Har dere startet arbeidet med prosesskart og prosessbeskrivelser har du en oversikt over hvordan produkt- og tjenesteleveranser skjer. Hvis dere ikke har dette fra før, har direktoratet for økonomistyring et prosesskartleggerverktøy. Personvernsarbeid: Dersom dere har gjort en vurdering av personvernkonsekvenser har man et behandlingsgrunnlag som sier noe om personligopplysninger. Informasjonssikkerhet: En risikoanalyse i forbindelse med informasjonssikkerhet eller internkontroll kan være til hjelp, og inneholder kanskje også en kritikalitets- eller verdivurdering av informasjonen. Internkontroll: Hvilke rammer gjelder? Dersom dere har kartlagt konteksten ved implementering av NS-EN ISO 9001:2015 (Ledelsessystemer for kvalitet) eller NS-EN ISO/IEC27001:2017 (Ledelsessystemer for informasjonssikkerhet) kan dette være hensiktsmessig å bruke. Da har man kartlagt interne og eksterne forhold, interessenter, samt grenseflater man har mot andre virksomheter og organisasjoner. Dersom din virksomhet ikke har eksisterende kartlegginger/beskrivelser/analyser som kan brukes, foreslår vi å tilpasse eksemplene for å skape denne oversikten: Oversikt over virksomhetens omgivelser: interne og eksterne interessenter (beslutningstakere/brukere), lover og regler, styringsdokumenter Oversikt over prosessen og den sammenhengen den inngår i: prosessens formål, grenseflater (start-slutt) og aktiviteter, informasjonssystemer LES MER OM Fase 1 - Trinn 1: Kartlegge prosessen og dens omgivelser 8

9 Fase 1- Trinn 2: Kartlegge informasjonen i prosessen Når du nå skal kartlegge hvilken informasjon som håndteres i prosessen, bør du ta utgangspunkt i arbeidet du har gjort med å beskrive prosessen og de aktivitetene dette innebærer. Se på informasjon som skapes eller brukes i sammenheng med aktivitetene som gjøres. Dette vil gi deg innsikt i hvorfor noe gjennomføres. Se på hva det er man gjør i praksis og hvilken funksjon informasjonen har. Dette kan gi deg innsikt i hvordan noe gjennomføres. Deler av informasjonen i prosessen kan du enkelt finne fordi de opptrer som tradisjonelle dokumenter eller digitale skjemaer. Andre deler kan fremstå som puslespillbiter som først gir mening når de ses i sammenheng. Dokumentene, sammen med puslespillbitene, beviser at man har fulgt prosessen. Figur 1: Her er eksempel fra en prosess; deler av en generisk søknadsprosess der informasjon er uthevet i rødt Det kan også være nyttig å stille noen konkrete spørsmål for å identifisere alle informasjonsobjektene, deres flyt og tilhørighet: Hvilken opplysning/aktivitet starter prosessen og hvilken opplysning/aktivitet avslutter prosessen? Hvilke aktiviteter består prosessen av? Hvilke opplysninger/informasjonsobjekter skapes, brukes eller oppdateres i prosessen? Hvordan blir beslutninger, opplysninger og transaksjoner dokumentert? Hvor blir opplysningene lagret? 9

10 Bruker prosessen opplysninger som vedlikeholdes av andre virksomheter? Hentes det for eksempel opplysninger fra folkeregisteret? Hvordan brukes disse opplysningene? Brukes de til oppslag, innhenting av opplysninger som skal lagres lokalt eller annet? Blir opplysninger fra denne prosessen brukt av andre prosesser eller virksomheter? I så fall hvordan? Dette kan være relevant for sikringsvurderingen Dere kan vurdere om de som er mer detaljerte skal inkluderes: Er gjennomføringen avhengig av en bestemt type opplysninger? Hvilke, hvor kan de hentes? Endrer denne prosessen data eller informasjon? Hvis ja, på hvilken måte? Hvilken informasjon lagres eller overføres til andre prosesser? Vi foreslår at dere dokumenterer alle informasjonsobjekter i et register. Beskriv prosessen informasjonen oppstår i, aktivitetene som utføres og hvilke attributter det aktuelle informasjonsobjektet kan ha. For eksempel hvilke informasjonssystemer som håndterer informasjonen, om den er strukturert eller ustrukturert, informasjonsklassifikasjon, hvor det oppstår og hvilken aktivitet den benyttes i videre. Når du har kartlagt all informasjonen i prosessen, går du videre til fase 2 av metoden for å identifisere hvilken informasjon som er dokumentasjon. LES MER OM Fase 1 - Trinn 2: Kartlegge informasjonen i prosessen 10

11 Fase 2: Identifisering av dokumentasjon Om denne fasen Hensikten med denne fasen er å identifisere hva som er dokumentasjon blant informasjonen du kartla i den første fasen. Vi legger til grunn at informasjon ikke blir dokumentasjon før noen gjør et aktivt valg og behandler informasjonen som dokumentasjon. Derfor handler det mye om bevisstgjøring av behovet for dokumentasjon slik at denne kan sikres Hvilken dokumentasjon må jeg ha for å bevise handlinger og være etterrettelig nå og hva må jeg gjøre for at denne dokumentasjonen er uforandret over tid? For å konkretisere arbeidet og minimere tidsbruk, er det er lagt opp til at identifisering av dokumentasjon bør gjøres i to trinn: 1. Undersøke krav til dokumentasjon i lover eller regelverk 2. Vurdere virksomhetens behov for dokumentasjon gjennom «risikoen for å ikke ha den» I mange tilfeller vil det det være tydelige lovkrav til dokumentasjon. Noen prosesser er svært lovregulerte og aktivitetene som skal dokumenteres vil være tydelig definert i lovkrav, spesielt i særlover. I andre tilfeller vil kravene til dokumentasjon av aktivitetene være uklare eller ikke eksistere. Dette gjelder for eksempel for prosjekter eller i prosesser hvor samarbeid på tvers kan skape usikkerhet om hvem som har ansvar for dokumentasjonen. Her dekker den risikobaserte tilnærmingen mye av identifiseringen. Det vil variere hvor mye tid man bruker på de ulike trinnene. Resultater fra fasen Etter identifiseringsfasen har du: Aktivt tatt stilling til om informasjonen er regulert av loven eller bør behandles som dokumentasjon for å dekke et behov i virksomheten. 11

12 Systematikk og sporbarhet i de vurderingene som er gjort, gjerne i et risikoregister. Dette kan brukes til å kommunisere til ledelsen om hvilke beslutninger som bør tas for å sikre den dokumentasjonen som er identifisert. Et grunnlag som kan brukes til kontinuerlig forbedring av dokumentasjonsstyring Aktører Identifiseringsfasen kan gjennomføres i flere omganger med fag/linje/prosess, gjerne som arbeidsmøte/workshop, og gjerne med et tverrfaglig team bestående av: Prosesseier Saksbehandler/personer med kjennskap til prosessen Systemkompetanse (eksempelvis om fagsystem brukes) Juridisk kompetanse Lover og forskrifter Forvaltningsloven Særlover Verktøy, referanser og vedlegg Referanser: NS-ISO 31000:2018 Risikostyring Retningslinjer Vi foreslår at workshopen dokumenterer arbeidet i et risikoregister. Dette eksempelet er et hentet fra DIFI. Benytter man seg av konfidensialitetsklasser er dette viktig å ta med, spesielt i forhold til risikoidentifisering. Se gjerne DIFIs versjon av klassifisering som kalles tilgangsnivå: offentlig (grønn), begrenset offentlighet (gul) og unntatt offentlighet (rød) Se til Direktoratet for Økonomistyring (DFØ) for utvidet innsikt i risikostyring i staten. Se også Difis retningslinjer om risikoforståelse. En kortversjon av ROS- analyser. 12

13 Fase 2 - Trinn 1: Vurdere om det finnes krav til dokumentasjon beskrevet i regelverk Hensikten med å dette trinnet er å avgjøre om det finnes noen konkrete regelverkskrav til dokumentasjon for den utvalgte prosessen. Alle offentlige organer er underlagt noen generelle lover som regulerer behandlingen av informasjon, for å sikre etterrettelighet, åpenhet og demokratiske rettigheter. For eksempel omfattes alle offentlige forvaltningsorganer av: Offentleglova regulerer åpenhet og gjennomsiktighet Forvaltningsloven regulerer hvordan saksbehandling skal gjennomføres Arkivlova regulerer hvordan dokumentasjon skal behandles De viktigste dokumentasjonskravene kan du finne: Særlover Andre formelle krav (avtaler, EU- direktiv, egne policyer) Når du skal gå igjennom regelverket og finne ut hvilken informasjon som må behandles som dokumentasjon må du vurdere både direkte og indirekte krav. Direkte krav kan for eksempel være at man skal arkivere kjøretøysopplysinger i bilregisteret. Om det er vedtak som treffes kan det være indirekte krav til dokumentasjon. Forvaltningsloven sier at et vedtak skal inneholde begrunnelse og en klagefrist. Det står altså indirekte at noe skal dokumenteres. I særlover står det gjerne en begrunnelse for hvorfor noen opplysninger eller handlinger skal dokumenteres i bestemte oppgaver og prosesser. Hvis det er entydig og klart hva du må dokumentere, trenger du ikke å gjøre en risikovurdering. Hvis du er usikker, bør du gå videre til trinn 2: Risikovurdering for å se om du kan få flere svar der. 13

14 Fase 2 - Trinn 2: Å uttrykke behovet for dokumentasjon i virksomheten gjennom en risikobasert vurdering Mange virksomheter kjenner til risikobegrepet, og bruker risikostyring aktivt for eksempel i prosjekter, for beredskap eller for internkontroll. Å bruke en risikobasert tilnærming kan øke forståelsen i forretningen for hva slags dokumentasjon virksomheten vil kunne trenge i fremtiden. Hva må man dokumentere for å sørge for at handlinger, valg og beslutninger dokumenteres på en slik måte at det framstår helhetlig og etterrettelig? Eller sagt på en annen måte: Hva kan skje med virksomheten min hvis informasjon ikke er gjenkjent som dokumentasjon? «Vi identifiserer dokumentasjon gjennom vurderingen av risikoen for å ikke ha den»! Denne praktiske tilnærming til en risikobasert behovsvurdering kan hjelpe deg med: Å øke bevisstheten om virksomhetens eget behov for dokumentasjon, spesielt med tanke på ledelsens rolle og ansvar Å vurdere dokumentasjonsbehovet basert på erfaringer og kunnskap, i stedet for «magefølelse» eller sak-til-sak vurdering Å kommunisere beslutninger om virksomhetens dokumentasjonsbehov med støtte i kjent systematikk Å gjøre øvelsen med en risikobasert tilnærming kan være nyttig også der dere vet at dere dokumenterer for å etterleve et regelverk. En virksomhets behov kan kanskje også vurderes med tanke på gjenbruksverdi, muligheter for å gjenskape dokumentasjonen på andre måter? 3 steg for å vurdere hva som er dokumentasjonsbehovet Det kan være lurt å samle relevante ressurser til en «risikoworkshop» for å gå igjennom 3 punkter: 1. Identifisere og beskrive risikoscenarioer (Hva kan skje hvis denne informasjonen ikke lenger finnes?) 2. Estimere risiko (Hvor trolig det er at disse risikoscenarioene skal oppstå og hvilke konsekvenser kan de ha? Hva er sannsynligheten for negativ konsekvens av å ikke kunne hente frem igjen informasjonen?) 3. Evaluere risiko (Evalueringen gjør risikoer sammenliknbare og rangerbare. Hensikten med denne evaluering er å vurdere hvorvidt man skal sette inn tiltak for å sikre dokumentasjon. Finnes det et minimum av utredning man bør gjøre? Rammene for risikoidentifisering er gitt ved den valgte prosessen og informasjonen som håndteres i den. Det er opp til virksomheten å vurdere hvor mye tid som kan benyttes og hvilket detaljeringsnivå dere trenger. Kjenner du eller virksomheten din godt til risikostyring er det mulig å starte øvelsen basert på at informasjonsobjektene sees på som «grovanalysen» og fokuserer på å beskrive de uønskede hendelsene og utfallet av disse i egne verktøy. 14

15 Hvis prosessen du undersøker er svært regelverksdefinert, kan du gjerne konsentrere seg om de informasjonsobjektene som ikke er det. Det kan være lurt å starte med risiko identifisering på informasjonsobjektene som er vurdert som konfidensiell eller fortrolig dersom man har mange ulike objekter. Vil du vite mer? LES MER OM Fase 2 - Trinn 2: Risikobasert tilnærming Å integrere metoden i egen risikostyring/internkontroll: Hvis dere har mye erfaring med risikoanalyser og har egne verktøy anbefaler vi å bruke disse. Dere bør forsøke så langt det er mulig å gjenbruke eksisterende rammeverk, definisjoner (for eksempel risikomatrise) fra virksomheten i denne fasen. Slik kan vurderingen av dokumentasjonsbehovet også kan bli en del av risikostyringen. Tips: En risikovurdering vil ikke gi dere svar på hvor lenge noe skal bevares. For slike spørsmål kan det være hensiktsmessig å snakke med arkivtjenesten eller dokumentsenteret i virksomheten din. Du kan også kontakte Arkivverket: Avdeling for bevaring og kassasjon. 15

16 Fase 3: Sikring av dokumentasjon Om denne fasen Hensikten med denne fasen er å gi retningslinjer for arbeidet med å sikre dokumentasjon. Når du har gjennomført fase 1 og 2 har du avdekket at det finnes aktiviteter som bør dokumenteres og at du bruker og skaper informasjon som bør behandles som dokumentasjon. Verdien dokumentasjonen har som autorativ kilde for å kunne etterprøve en prosess er avhengig av at tillitten til dokumentasjonen. Denne må opprettholdes selv om omgivelsene endrer seg. Slike endringer kan blant annet være rettslige, organisatoriske eller teknologiske. Tilliten til dokumentasjon er altså ikke bare et teknologisk spørsmål men innebefatter også tillitt til organisasjon og rutiner. For at tillitten skal kunne opprettholdes er det noen prinsipper som må ivaretas. Prinsippene er retningslinjer som skal gjøre det enkelt å inkludere hensynet til dokumentasjon allerede ved planlegging og utviklingen av prosesser og systemer. Prinsippene gir ingen føringer for valg av teknisk løsning, men peker på hvilke vurderinger du bør gjøre for å sikre dokumentasjon. Planlegg for sikring og bevaring av dokumentasjon Dokumentasjonen er autentisk Dokumentasjonen er pålitelig Dokumentasjon er integritetssikret Dokumentasjonen er anvendelig Risikovurdering_skal_bidra_til_å_sikre_dokumentasjon_ved_endring Planlegg for avhending av dokumentasjon 16

17 Resultater fra fasen At du kjenner til retningslinjer for sikring av dokumentasjon At du basert på prinsippene kan utarbeide hensiktsmessige krav for sikring av dokumentasjon Aktører Prosesseier IT Systemkompetanse (eksempelvis om fagsystem brukes) Juridisk kompetanse Virksomhetsarkitekt IT Sikkerhet Verktøy, referanser og vedlegg Nasjonale arkitekturprinsipper for IT i offentlig sektor Arkitekturprinsipper for samhandling Internkontroll i praksis informasjonssikkerhet Direktoratet for økonomistyring - Internkontroll Datatilsynets veiledninger for personvern ISO :2016 ISO 18128:2012 ISO 30300:

18 Planlegg for sikring og bevaring av dokumentasjon Forklaring Sikring og bevaring av dokumentasjons bør være en del av planlegging av IT-verktøy og arkitektur. Prinsippet skal sikre at virksomheten vurderer hensynet til dokumentasjon planleggings- og evalueringsfasen av prosesser og informasjonssystemer. Tilnærming legger til rette for å utvikle effektive og hensiktsmessige løsninger for sikring av dokumentasjon i forbindelse med prosessforbedring eller ved planlegging av systemer. Konsekvens Ved etablering eller videreutvikling av IT-løsninger, bør virksomheten legge til grunn en tilnærming som sikrer helhetlig dokumentasjon i sammenheng med virksomhetens oppgaveløsing. Sikringen forholder seg til aktivitetene og informasjonsflyten i en prosess. En prosess kan benytte flere forskjellige IT-system. Planleggingen av sikring bør også definere i hvilket system dokumentasjonen skal sikres. Ressurser Dokumentasjon er autentisk Forklaring Dokumentasjonen er autentisk hvis den har bevisverdi. Dette innebærer at vi kan ha tillit til at informasjonen som er registrert om hendelsen som skal dokumenteres er hva den hevder å være. Slik kontekstuell informasjon kan være opplysninger om hvem som skapte og sendte dokumentasjonen og på hvilket tidspunkt. Autentisitet handler altså om tillitt til omgivelsene hvor dokumentasjon skapes eller behandles, og hvordan det har skjedd. Det er derfor viktig at dokumentasjon av policyer og rutiner inngår i konteksten. Konsekvens Organisasjoner implementerer og dokumenterer policyer og rutiner som styrer produksjon, mottak, overføring, vedlikehold og disponering av dokumentasjon Virksomheten innfører styringstiltak for å hindre uautoriserte handlinger som tilføyelse, sletting, endring, bruk og hemmelighold Dokumentasjonen må omfattes av kontroller som identifiserer personer eller prosesser og hvilke autorisasjoner disse har Dokumentasjon om handlinger og prosesser (automatiserte eller manuelle) må sikres sammen med dokumenter Ressurser ISO 15489, ISO 30300, ISO

19 Dokumentasjon er pålitelig Forklaring At dokumentasjonen er pålitelig betyr at man kan ha tillit til at innholdet er en fullstendig og nøyaktig gjengivelse av transaksjonene, aktivitetene og faktaene som skal dokumenteres. At dokumentasjonen er pålitelig er viktig for etterfølgende transaksjoner og aktiviteter som benytter dokumentasjonen som grunnlag i sine prosesser. Konsekvens Dokumentasjon bør produseres samtidig med transaksjonen eller hendelsen den angår, eller kort tid etter Produksjon av dokumentasjon må relateres til de personer eller prosesser som har direkte kjennskap til fakta Dokumentasjonen sikres i prosesser som følger metoder som virksomheten rutinemessig bruker til å utføre transaksjonen Ressurser ISO 15489, ISO 30300, ISO Dokumentasjon er integritetssikret Forklaring Integritetssikret dokumentasjon betyr at den er beskyttet mot uautoriserte endringer og at eventuelle endringer blir dokumentert. Integritetssikring innebærer også at dokumentasjonen bevares slik at man kan være sikker på at den er fullstendig og uendret. Konsekvens Virksomheten må sørge for at policyer rutiner og prosesser bestemmer hvilke endringer, tilføyelser eller kommentarer som er tillatt. Dokumentasjon må beskyttes mot uautorisert endring. Policyer og rutiner for dokumentasjonsforvaltning bør angi hvilke tilføyelser eller kommentarer som kan påføres dokumentasjonen etter at den er produsert. Det bør angis under hvilke omstendigheter tilføyelser eller kommentarer kan godkjennes, og hvem som har tillatelse til å gjøre dem. Alle godkjente kommentarer, tilføyelser eller slettinger i dokumentasjonen bør være dokumenterte og sporbare Ressurser ISO 15489, ISO 30300, ISO

20 Dokumentasjonen er anvendelig Forklaring Konsekvens Dokumentasjon som er anvendelig betyr at den kan gjenfinnes, hentes frem, presenteres og tolkes gjennom teknologi- og systemskifter. Anvendelighet og tolkning av dokumentasjon bør knyttes til konteksten dokumentasjonen ble produsert. Ved etablering eller videreutvikling av IT systemer der dokumentasjon lagres bør det tas med løsninger som er med på å sikre dokumentasjonens anvendelighet. Løsningen kan være: I ettertid bør dokumentasjonen kunne presenteres i direkte forbindelse til forretningsaktiviteten eller transaksjonen som gav opphav til den. Dokumentasjonens kontekstuelle forbindelser bør omfatte den informasjonen som er nødvendig for å forstå transaksjonene der dokumentasjonen ble opprettet og brukt. Konvertering og migrering av dokumentasjon for å holde den anvendelig må inkludere bevaring av integritet og autentisitet. Ressurser ISO 15489, ISO 30300, ISO Risikovurdering skal bidra til å sikre dokumentasjon ved endringer Forklaring Det er nødvendig å vurdere risikoen for at man ikke klarer å sikre dokumentasjon ved endring. Vurdering, evaluering og håndtering av risiko knyttet til dokumentasjon bør være en del av overordnet risikostyringen i virksomheten. Risikostyring gir det et grunnlag for å ivareta tillitten til dokumentasjon gjennom endringer. Konsekvens Det bør kartlegges hvilket informasjonsinnhold løsningen skal omfatte og gjennomføre en risikoanalyse av løsningen basert på virksomhetens krav og behov for den dokumentasjonen. Implementere sikkerhetstiltak for IT-løsningen, som tilfredsstiller det sikkerhetsnivået som er besluttet for dokumentasjonen. Ressurser ISO 15489, ISO 30300, ISO

21 Planlegg avhending av dokumentasjon Forklaring Dokumentasjon skal ha en planlagt avhending når virksomhetens behov for å oppbevare den er avsluttet. Avhending inkluderer sikker sletting i henhold til kassasjonsplan, eksport og migrering til andre system for videre vedlikehold samt overføring til arkivdepot og langtidsbevaring for materiale som skal bevares. Plan for avhending bør gjøres som en del av den innebygde sikringen av dokumentasjon da et bevisst forhold til tidsløpet for dokumentasjonens levetid kan påvirke valg innen arkitektur, infrastruktur og løsninger. Konsekvens Sikrer at en planlagt og hensiktsmessig avhending av dokumentasjon inngår i den overordnede forvaltningen av dokumentasjon og informasjonssikkerhet Det skal utarbeides en plan for kassasjon med frister, bevaring og avlevering. Kassasjon skal være i henhold til Riksarkivarens forskrift. Slettingen skal utføres slik at dokumentasjonen ikke kan gjenskapes eller at det ligger kopier av dokumentasjonen på ukontrollerte lagringssteder. Ressurser ISO 15489, ISO 30300, ISO

22 LES MER OM Sjekkliste for bruk av metoden Situasjon Skal du bruke metoden? Kommentar Utrede digitalisering av JA prosesser? Prosessforbedring JA Daglig arbeid med vurdering av dokumentasjon Nei Foreslå gjennomgang av prosess med bruk av metoden Tjenestedesign-prosjekt? JA Avvik eller bemerkning fra JA internkontroll som påpeker mangler ved dokumentasjon Utfordringer med å tolke lover og JA forskrifter som gjelder deres dokumentasjon Usikkerhet om hva dere skal gjøre JA med lagring i skyen, i SharePoint, på Lync og på Teams? Nye systemer som skal anskaffes eller utvikles i virksomheten? JA Det er selvsagt ikke alle typer av systemer og systemutvikling som dette gjelder, men er et nyttig avskjekkspunkt. 22

23 LES MER OM Fase 1 - Trinn 1: Kartlegge prosessen og dens omgivelser Figur 2 Eksempel fra «Tildeling av prosjekt og utviklingsmidler» Notat: 1 og 2 henviser til at disse opplysningene ble innhentet av andre prosjekter hhv DPIA og en Risikoanalyseprosess for Informasjonssikkerhet Beskrivelsen av omgivelsene er gjort på et svært overordnet nivå, og begrenser dermed utfallsrommet når man skal gå videre og analysere informasjonen som skapes og brukes. Hvordan man skal velger å dokumentere omgivelsene vil være opp til de enkelte virksomheter, og tilpasses behov. 23

24 LES MER OM Fase 1 - Trinn 2: Kartlegge informasjonen i prosessen Vi foreslår å beskrive disse informasjonselementene i et register. Under ser du et eksempel på hvordan informasjonsobjektene (her definert som informasjonselementer) kan se ut. Eksempelet er hentet fra en protokoll for en innkjøpsprosess. Aktiviteter Del-aktiviteter Informasjonselementer i protokoll Skapes eller brukes? Brukes videre i (hvilken Format Informasjonssyte Strukturert/ Infomasjonsklas aktivitet eller prosess?) m ustrukturert? se Vurdere behov (beslutning) >Sjekk Lage kontraktsstrategi >Valg av prosedyre >Dele ikke dele opp konkurransen Brukes Akt: lage konkurransegrunnlag Datafelt KGV Strukturert Open Forberede konkurransen (etablere anskaffingsprotokoll) >Etablere anskaffingsprotokoll >Etablere risikostyring Ingen Lage konkurransegrunnlag >Lage regler for konkurransen >Valg av kontraktsmal(ikke som del av >Tilbudsfrist >Frist for kvalifikasjon (DPS) - Cathrine sjekker >Invitasjon til konkurranse >Kunngjøre konkurranse/sende invitasjon >Svare på spørsmål >Navn(oppdragsgiver) >Adresse(oppdragsgiver) >Beskrivelse av hva som skal anskaffes (fritekst - må stemme med en CPV klassifisering - henter tekst fra kunngjøringsskjemaet) >Kontraktens varighet m/opsjoner) - eks >Protokollen må ha LOT ID (delkontrakter); alle de obligatoriske feltene som kan ha ulikt innhold i ulike delkontrakter, Ingen Figur 3 Eksempel på informasjonsoversikt. Protokoll for innkjøpsprosess 24

25 Figur 4: Eksempel på kartlegging av en prosess fra et BPMN ståsted 25

26 LES MER OM Fase 2 - Trinn 2: Risikobasert tilnærming Hva mener vi med risiko når vi snakker om dokumentasjon? Disse eksemplene kan illustrere: I et stort byggeprosjekt manglet det vann og avløp til vasker på toalettene. Oppdragsgiver påstod at det hadde blitt bestilt i en epost som tillegg til kontrakten. Eposten kunne ikke finnes i systemet og oppdragsgiver måtte ta ekstra kost ved å rette feilen. Det er dessverre ikke helt uvanlig med manglende kontroll med både hovedkontrakt og endringer / tillegg i for eksempel IT kontrakter og konsulentavtaler. Dette medfører at man ikke stiller særlig sterkt ved «feil» på leveransen og ender opp med å måtte ta kostnaden selv. En innbygger klager på at naboen har fått oppføre en svær garasje for nærme hans tomt. Det viser seg at han ikke har mottatt nabovarsel og ikke har hatt anledning til å uttrykke sin sak, ettersom han ikke var registrert som nabo i byggesaken. Feil opplysninger er lagt til grunn for beslutningen og en lang og kostbar tvist følger. VG skal granske utdanningsetaten, og ber om innsyn i saksdokumentene men dokumenter i saken mangler Hvordan skal de klare å utføre sin samfunnsoppdrag om kontroll med forvaltningen og belyse alle sider av saken? 2.1 Risiko identifisering Risiko kan ofte bli svært og vanskelig å bryte ned. Hva kan gå EGENTLIG galt? For å gjøre en risiko vurdering på informasjons/dokumentasjonsnivå kan vi prøve å stille spørsmålet: Hva kan skje hvis du ikke har skjønt at den(ne) informasjonen vi håndterer bør behandles som dokumentasjon? Vi identifiserer dokumentasjon gjennom vurderingen av risikoen for å ikke ha den. Spørsmål som du kan stille for å få opp noen ideer i gruppa: Er dette informasjon som forplikter virksomheten overfor andre? (andre overfor virksomheten) Er informasjonen grunnlaget for en beslutning? Hvordan støtter denne informasjonen oppgaven som løses? Deretter bearbeider dere ideene for å få hensiktsmessige risikobeskrivelser. Du kan ta utgangspunkt i de ulike informasjonstypene du har avdekket, og ser på risikoer på hendelser som kan ha et negativt utfall. TIPS: Det kan være lurt å starte med risiko identifisering på informasjonsobjektene som er vurdert som konfidensiell eller fortrolig dersom man har mange ulike objekter. Risikoer kan beskrives på ulike måter avhengig av behov, og det er viktig å tilpasse dette til deres behov. Gode risikobeskrivelser har gjerne med noen stikkord om (1) innledende hendelse(r) (2) Uønsket hendelse (3) de uønskede konsekvensene som kan oppstå 26

27 Risiko1: Det kommer inn klage på et vedtak -> Saksbehandler slår opp for å finne beslutningsgrunnlaget og det viser seg ikke å være registret at oppslag er gjort mot ekstern database og heller ikke hvilke data som ble brukt, ei heller kan vi se endringene i den eksterne databasen (for den eier ikke vi), man har ikke vurdert hvordan og av hvem det skal dokumenteres endringer-> Personen har ikke fått de pengene de skulle ha hatt. I neste omgang skal vurdere hvor trolig det er at denne hendelsen skal skje. Og deretter vurderer de konsekvensene dette kan få for din virksomheten eller for utøvelse av samfunnsoppdraget. 2.2 Estimering av risiko (Risikoanalyse) Risiko er ofte definert som kombinasjonen av konsekvenser og (tilhørende) sannsynligheter. Vi bruker samme begrep men vi mener det viktigste er å reflektere over mulige konsekvenser: hvordan kan manglende dokumentasjon påvirke negativt, og hvor trolig det er at det vil skje. Å tallfeste innenfor en gitt skala er ikke målet. MÅL/KONSEKVENSER God risikostyring forutsetter blant annet at det er satt tydelige mål. Uten klare mål er det vanskelig å vurdere risikoen for å ikke nå disse målene. Det kan være vanskelig å finne gode mål, så vi har foreslått 4 mål som vi håper virker relevante. Konsekvenskategorier er enkle grupperinger av mål. Det er for eksempel et mål at en virksomhet vil ha et godt omdømme og tillitt fra brukerne. Når du vurderer risikoene du har beskrevet, uttrykker du egentlig i hvor stor grad utfallet negativt påvirker et mål. Konsekvenskategori (Mål) Lav Medium Høy Omdømme/Tillit Negativ omtale i lokalavisa Negativ omtale i landsdekkende medier, sosiale medier. Svekket tillitt i befolkningen Negativ omtale i landsdekkende medier, gjenstand for korreks i departementet. Meget svekket tillit i befolkningen. Økonomi (og effektivitetstap) Tap under Tap mellom og Tap > Utøvelse av samfunnsoppdraget (konsekvens for borgeren) Et lite merkbart økonomisk eller rettighetsmessig tap for borgerne Et godt merkbart økonomisk eller rettighetsmessig tap for borgerne Et svært godt merkbart økonomisk eller rettighetsmessig tap for borgerne Samfunnets fungering Konsekvensen for andre dvs. det inngår i noen samfunnet/andre offentlige organer har bruk for Forsinker andre organer å utføre oppdraget sitt Hindrer andre organer å utføre oppdraget sitt Sterk negativ påvirkning på fungering i samfunnet Figur 5 Forslag til konsekvenskategorier 27

28 Dersom virksomheten har etablerte konsekvenskategorier foreslår vi å bruke disse, og evt. tilpasse beskrivelsene og skalaen. Vi har definert to mål for virksomheten i seg selv: Omdømme/tillit og Økonomi/effektivitet Og to mål for å dekke samfunnsoppdragsmålet utøvelse av samfunnsoppgaven (dvs. brukerens rettigheter) og samfunnets fungering (dvs. konsekvenser for andre dere samarbeider med) Dersom de ulike konsekvensene som kan oppstå berører mer enn én av de konsekvenskategoriene som er beskrevet i virksomhetens føringer, bør man håndtere disse som ulike risikobeskrivelser. Dette gjør det lettere å estimere konsekvens og tilhørende sannsynlighet, og også forslag til hvordan risikoen skal håndteres senere i arbeidet. Eksempel på vurdering av Risiko1: at ikke dataoppslaget ikke loggføres (er dokumentert) og at brukeren ikke får riktig utbetaling kan bli et godt merkbart (økonomisk eller) rettighetsmessig tap for borgeren. (Medium = GUL) SANNSYNLIGHETER Hvor trolig er det at de ulike risikobeskrivelsene inntreffer? Og i noen tilfeller kan dere også spørre dere hvor ofte. Estimatet angir sannsynligheten for at den uønskede hendelsen har det negative utfallet dere har beskrevet. (Det er den vi her kaller tilhørende sannsynlighet) Her bør dere utforme en skala som skal brukes på alle vurderingene. Under finner dere en overordnet beskrivelse av en slik skala. Sannsynlighet Lav Medium Høy Skala Det skjer svært sjeldent Det er enkelttilfeller Det hender med jevne mellomrom Figur 6 Forslag til skala for sannsynlighetsvurdering Eksempel på vurdering av Risiko 1: Det hender nok med jevne mellomrom at det ikke dataoppslaget ikke loggføres (er dokumentert) og at brukeren ikke får riktig utbetaling (Medium = GUL) 2.3 Risikoevaluering Det kan være utfordrende å veie sannsynlighet og konsekvens mot hverandre for å komme frem til en god vurdering av risiko, men det er en nødvendig prosess for å avklare behovet for tiltak. En evaluering gjør risikoer sammenliknbare og rangerbare. Hensikten med denne evaluering er å vurdere hvorvidt man skal sette inn tiltak, dvs. sikre dokumentasjonen. sikre dokumentasjonen etter de anbefalte prinsipper om sikring, eller om man akseptere at noe IKKE dokumenteres. Det handler også om at ledelsen skal kunne gjøre en kost/nytte vurderinger av å ta vare på informasjon som dokumentasjon og at de skal kunne beslutte tiltak. 28

29 Risikoene og evalueringene presenteres forståelig i en risikomatrise. Eksempel på vurdering av Risiko 1: Sannsynlighet og konsekvens er vurdert til medium X medium og risikoen er da medium og det må vurderes med et kost /nytte analyse om hvorvidt tiltak skal gjøres. Integrere i egen risikostyring/internkontroll: Dere bør forsøke så langt det er mulig å gjenbruke eksisterende rammeverk, definisjoner (f.eks. risikomatrise) fra virksomheten i denne fasen. Slik kan det å vurdere dokumentasjonsbehov også bli en del av risikostyringen. For eksempel bør risikoevaluering tilpasses kriterier for å akseptere risiko (virksomhetens egen) hvis det er mulig. Det defineres selv av gruppen på hvilket ledelsesnivå det må løftes opp til om ikke noe er beskrevet i virksomhetens akseptkriterier, men det er nærliggende å velge prosesseier og linjeleder, eller informasjonseier) 29

30 Figur 7 Eksempel på risikoregister med beskrivelse av risiko, estimering av risiko og mulige tiltak. 30

31 ORDLISTE Attributter Anvendelighet Arkiv Autentisitet Data Brukes som en betegnelse på en egenskap ved informasjon. Dokumentasjonen er anvendelig hvis den kan gjenfinnes, hentes frem, vises og tolkes. Arkiv er all informasjon som virksomheten trenger å ta vare på for en kortere eller lengre periode. Autentisk dokumentasjon er å anse som autoritativt bevis på en transaksjon eller en hendelse, dvs. at det er troverdig at den er det den gir seg ut for å være. Autentisitet sikres gjennom prosedyrene som styrer hvordan dokumentasjon blir registrert. Dette sikrer at de som produserer registreringer er autoriserte og identifiserbare, og at registreringen beskyttes mot uautorisert tilføyelse, sletting, endring, bruk og hemmelighold. Vil i denne sammenhengen betegne kilder som ennå ikke er fortolket, det vil si ikke tilført mening. Mening tilføres gjennom en fortolking som kan utføres av en datamaskin eller et menneske, eller som et resultat av et samspill mellom disse. Gjentolkbar representasjon av informasjon på en formalisert måte egnet for kommunikasjon, tolkning og prosessering. DFØ DIFI Dokument Dokumentasjon Dokumentasjonsforvaltning Informasjon Direktoratet for Økonomistyring Direktoratet for forvaltning og IKT En logisk avgrenset informasjonsmengde som er lagret på et medium for senere lesing, lytting, framvisning eller overføring. Informasjon som en organisasjon eller person produserer, mottar og vedlikeholder som bevis og som et aktivum, som et ledd i å oppfylle rettslige forpliktelser eller i en forretningstransaksjon. Dokumentasjonsforvaltningen i en virksomhet skal sikre effektiv og systematisk kontroll med oppretting, mottak, vedlikehold, bruk og avhending av dokumentasjon. I dette inngår prosesser for a fange inn og vedlikeholde bevis på og informasjon om handlinger og transaksjoner i form av dokumentasjon. Benyttes som en betegnelse på data som er tilført mening. 31

32 Informasjonsobjekt Integritet Pålitelighet Risiko Risikovurdering Sikring Uønsket hendelse Data som er prosessert, organisert og satt i sammenheng for å gi mening (ISO 30300). En bestemt av avgrenset mengde informasjon Innebærer at dokumentasjonen er komplett og uendret, dvs. at den er beskyttet mot uautoriserte endringer. Dokumentasjonen er pålitelig dersom den representerer en fullstendig og nøyaktig gjengivelse av den transaksjonen eller handlingen som skal dokumenteres. Den må også kunne stoles på ved utførelse av etterfølgende transaksjoner og handlinger. Virkningen av usikkerhet knyttet til et mål Prosess som består av risikoidentifisering, risikoanalyse og risikoevaluering Er å påse at dokumentasjonens egenskaper som bevis ivaretas gjennom informasjons- og styringssystemer og sikkerhetsmodeller. En uønsket hendelse i vårt setting er en hendelse som kan føre til et uønsket (negativ) utfall. 32