Skytjenester - utfordringer for Arkivverket og for offentlige organ underlagt arkivlova Hilde Langaker, seniorrådgiver Tor Anton Gaarder, underdirektør 1 Arkivloven 1.Føremål Føremålet med denne lova er å tryggja arkiv som har monaleg kulturelt eller forskingsmessig verde eller som inneheld rettsleg eller viktig forvaltningsmessig dokumentasjon, slik at desse kan verta tekne vare på og gjorde tilgjengelege for ettertida. 6.Arkivansvaret Offentlege organ pliktar å ha arkiv, og desse skal vera ordna og innretta slik at dokumenta er tryggja som informasjonskjelder for samtid og ettertid 7.Rettleiings- og tilsynsansvar Riksarkivaren har rettleiings- og tilsynsansvar for arkivarbeidet i offentlege organ. Arkiverer sikrer demokratiets hukommelse 2 9b utførselsforbud for offentlige arkiv 9.Kassasjon m.m. Utan i samsvar med føresegner gjevne i medhald av 12 i denne lova eller etter særskilt samtykke frå Riksarkivaren, kan ikkje arkivmateriale a.avhendast. b.førast ut or landet, dersom dette ikkje representerer ein naudsynt del av den forvaltningsmessige eller rettslege bruken av dokumenta. Når blir dokumenter arkivmateriale? Veiledning i lovens forarbeider? Kopi av arkivmateriale kan føres ut. Private arkiv utførselseforbud om de er registrert som særskilt verneverdige 3 1
Digitaliseringsrundskrivet - 2.4 Bruk skytjenester Bruk av skytjenester kan gi økt fleksibilitet og mer kostnadseffektiv bruk av IKT. Virksomheter som etablerer nye eller oppgraderer eksisterende fagsystemer eller digitale tjenester, eller endrer eller fornyer avtaler knyttet til drift, skal vurdere skytjenester på linje med andre løsninger. Når det ikke foreligger spesielle hindringer for å ta i bruk skytjenester, og slike tjenester gir den mest hensiktsmessige og kostnadseffektive løsningen, bør en velge slike tjenester. Spesielle hindringer kan for eksempel være særlige krav til sikkerhet og sårbarhet, eller eksisterende systemer og infrastruktur som gjør at bruk av skytjenester ikke vil være kostnadseffektivt. Det er en forutsetning at valgt løsning tilfredsstiller virksomhetens krav til informasjonssikkerhet. Dette krever at virksomheten kjenner verdien av egne data og systemer, og at det gjennomføres en risikovurdering. 4 Nasjonal skystrategi side 17, om arkivlova Kulturdepartementet har sett i gang arbeid med revisjon av arkivforskrifta og vil i den samanhengen vurdere om det òg er behov for endringar i arkivlova. Intensjonen med arbeidet er mellom anna å tilpasse arkivregelverket til digitalisering. I samband med revisjonen ønsker departementet å vurdere behov for endring slik at offentlege organ kan ta i bruk skytenester med serverar utanfor Noreg for arkiv. Riksarkivaren vurderer òg kva krav som skal stillast for å kunne gi særskilt samtykke til lagring av arkiv i skytenester med serverar utanfor Noreg. Riksarkivaren tar sikte på å ha dette klart i løpet av våren 2016. 5 Gir sky utfordringer for arkiv? skytjenester betyr jo bare at man kjøper tjenester fra andre i form av f eks Tilgang til og bruk av systemløsninger (fagsystemer, sakarkivsystemer, e-postsystemer.) Lagring av data Drift av egne systemer som leveres via internett Dagligarkiv, bortsettingsarkiv, depot Journalføring og postjournal Tilgang i dag og over tid Hvem eier dokumenten? Proveniens Arkivlokaler Tilsyn 6 2
Forts: Gir sky utfordringer for arkiv? IKT tjeneste kan være sky-basert eller ikke sky-basert Hvorfor er sky den stygge ulven? Det finnes og brukes norske skytjenester Hvorfor er utenlandsk lagring den stygge ulven? Kanskje fordi skyløsninger flytter (faktisk) kontroll med bevaring, tilgang og integritet til leverandøren av tjenesten? 7 Forslag til endring i arkivforskriften 22 Lagring av digitalt arkivmateriale utanfor Noreg Offentlege organ kan lagre digitalt arkivmateriale utanfor Noreg dersom pliktene i arkivlova med forskrifter er regulerte i avtala mellom organet og eigaren av arkivlageret. Organet skal behalde tilgang til, kontroll med og eigedomsrett til sitt eige arkivmateriale. Lagre hvor som helst? Regulere arkivpliktene i avtalen. førast ut i 9 innebærer normalt også avhending eller tap av tilgang. Støtte i personvernregler 8 Forslag til endring i arkivforskriften 3 Internkontroll for arkiv Alle offentlege organ skal til kvar tid ha internkontroll for arkiv. Internkontrollen skal dokumentere korleis organet ivaretek arkivansvaret, og korleis arkivfunksjonen er organisert. Internkontrollen skal gje ei samla oversikt over arkiva til organet, jf. arkivlova 2 bokstav b. Internkontrollen skal i det minste innehalde a) organisering av arkivfunksjonen og delegeringsfullmakter på arkivområdet, medrekna kvar ansvaret for å forvalte arkiva er plassert b) rutinar for dokumentfangst, journalføring, innsyn og kvalitetssikring av arkiva c) rutinar for oppbevaring og sikring av arkiva d) klassifikasjon e) oppdatert systemoversikt som viser kvar arkivdokument er lagra, og kva prosessar arkivdokumenta inngår i f) bevarings- og kassasjonsplan med oppbevaringsfristar og rutinar for gjennomføring av planane 9 g) avleveringsplan for statlege organ, jf. 27. 3
Og da er alt enkelt og greit? NEI! Ansvaret flyttes fra Arkivverket til arkivskaper Frislipp i teorien, men alle de pliktene som ligger til arkivskaper fører til at man umulig kan ta i bruk slike skytjenester uten en skikkelig vurdering, og sikre at relevante tiltak blir ivaretatt. Risiko 1 Arkivskaper tar for lett på ansvaret, skjønner ikke Skyløsninger anses som en IKT greie, ikke som arkiv. Risiko 2 Arkivverket veileder for dårlig, for lite Risiko 3 Vanskelig å gjennomføre tilsyn Risiko 4 Arkivverket og andre myndighetsorgan gir motstridende råd og pålegg For eksempel: slette eller lagre/ kryptere eller ikke kryptere / flere organ som dokumenterer i samme løsning eller kun en 10 Før og nå - kort fortalt: Det du lagrer er det samme som det du henter fram Det du lagrer er en matematisk formel Hva anser offentlige organ som et helt naturlig ansvar? -Dagligarkivet: det som er i bruk. -Bortsettingsarkivet? Ja, så lenge man har behov for informasjonen der. Som befinner seg hos en tredjepart et helt annet sted enn ditt arbeidssted 11 Lagring ute forstørrer en del spørsmål Hvor er arkivmaterialet? Hvem bestemmer over det? Hvem har kontroll på det? Hvem har adgang til det? Får vi det tilbake, og hva får vi tilbake? exit-strategi og portabilitet Hvor lenge skal det være ute (depot?)?.og hvor mye av dette bør være Arkivverkets problem? 12 4
Arkivverkets ansvar Arkivverkets rolle er primært å legge til rette for at arkivskapere kan ivareta sitt ansvar etter arkivloven, eks Ivareta tilgjengelighet og integritet (i nåtid og fremtid) At arkivrelaterte krav følges opp ved arkivskapers egen kontraktsoppfølging Sikre mulighet for myndighetskontroll (tredjemannsrevisjon ok?) Sikre tilbakeføring av arkivmateriale (inkl exit-strategier) Bruke egenerklæringer eller sjekklister som hjelp? Råd om hva man kan føre ut? Risikovurderinger Ev begrensninger i særlovgivning Stille krav til informasjonssikkerhet generelt? For Arkivverket er tilgjengelighet og integritet mest relevant Informasjonssikkerhet og konfidensialitet ivaretas også i andre regelverk; eks personopplysningslov, forvaltningslov, e-forvaltningsforskrift. 13 Arkivverket vil nok gi råd om å ta det nokså rolig i starten.. 14 5