Saksfremlegg til møte i samarbeidsforum for Offentlig elektronisk postjournal 14.05.12 Direktoratet for forvaltning og IKT viser til innkalling til møte i samarbeidsforum i OEP. Møtet avholdes i Oslo kongressenter(folkets hus) ved Youngstorget i Oslo fra klokken 12.00 til klokken 15.30. Det er åpent for registrering av deltakere og kaffe fra klokken 11.30. Sak 1. Orientering om forrige års drift og resultater for OEP Difi orienterer om bruk av OEP i perioden. Tema som tas opp er utvikling i bruk av tjenesten, driftssituasjonen for OEP, problemer som har oppstått i perioden og utviklingstiltak. Difi vil også ta opp hvilke særlige utfordringer vi ser i tiden som kommer, og fortelle om prioriteringene som ligger til grunn for forvaltning av OEP i 2012. VEDLEGG: 1 BRUKSSTATISTIKK OEP Sak 2. Innkomne saker Difi har utsatt fristen for å melde saker til samarbeidsforum etter ønske fra arbeidsgruppen for OEP. Det vil derfor bli ettersendt saker, eventuelt at disse presenteres i møtet den 14. mai. Følgende saker er meldt: 2.1. Fra Justervesenet «Antallet journalposter som kan overføres per journaldag ser ut til å ligge på ca 500 per dag. Dette kan i periode med stor aktivitet for vår virksomhet, være svært upraktisk. Vi har ganske mange dager hvert år med langt flere enn 500 journalposter om dagen, og selv om vi overfører f. eks inngående og utgående journalposter hver for seg, kan det lett komme over 500 for den ene typen. Jeg vet ikke om det er vanlig å overføre så mange journalposter per dag som oss for andre virksomheter. For Justervesenet er det sterkt ønskelig å få publisert 1
journalen for våre kontrollrapporter. Disse utgjør 90 % av journalpostene vi overfører, og er svært populære å be om innsyn i. Jeg håper det derfor kan bli mulig å øke grensen for hvor mange journalposter som kan mottas i OEP om dagen. Kanskje 1000 journalposter om dagen vil være en bedre grense?» 2.2. Fra Petroleumstilsynet «Vi lurer på om journalposter fra PST Politiets sikkerhetstjeneste og Etterretningstjenesten skal stå på våre postlister eller om disse skal unntas. Spørsmålet gjelder dokumenter som ikke kommer under sikkerhetsloven. På side 8 Særregler for enkelte andre journaler eller journalinnførsler står det: Følgende journalinnførsler kan unntas fra innsyn: - journaler hos Etterretningstjenesten og Politiets sikkerhetstjeneste, På side 27 Opplysninger som ikke skal gjøres tilgjengelig på Internett står følgende: Tredje ledd seier at det kan gjerast unntak frå innsyn for dokument som gjeld saker hjå Etterretningstenesta og Politiets tryggingsteneste (PST), og frå innsyn i journalar hjå desse organa. Det skal dermed heller ikkje gå fram av journal som er gjort tilgjengeleg på Internett, at eit dokument gjeld saker hjå eit av desse organa. Når vi søker i OEP ser vi at det er flere som registrerer og gjør tilgjengelig slike dokumenter.» 2.3. Fra Utenriksdepartementet I forbindelse med OEP-samarbeidsforum eller kurs, ønsker vi å ta opp taggingen med spesialtegn #. Våre brukere har opplevd at teksten man prøver å tagge ved bruk av # ikke blir tagget, mens andre deler av teksten som ikke burde være tagget, blir det. 2.4. Fra arbeidsgruppa i OEP Blir ettersendt før samarbeidsmøtet. VEDLEGG: 0 Sak 3. Beredskapsvakt oppfølging av sak fra høstmøtet 2011 2
Erfaringer fra beredskapsvakten: Beredskapsvakten er relativt lite brukt siden lanseringen av OEP 18. mai 2010. I perioden har man håndtert rundt 20 hendelser utenfor normalåpningstid. 4 av hendelsene vurderte vi slik at de ble prioritert som kritisk. Disse sakene gjaldt publisering av taushetsbelagt informasjon, så som sensitive personopplysninger og annen informasjon som ikke skulle vært offentlig tilgjengelig. Felles for alle hendelsene er at innholdsleverandørene selv har hatt teknisk funksjonalitet tilgjengelig for å kunne håndtere situasjonen. For alle de fire kritiske hendelsene har det vært nødvendig å fjerne/endre informasjon som er publisert til OEP. Virksomhetene har likevel kontaktet Difi for å få informasjon om funksjonaliteten eller assistanse til å bruke denne. Det har ikke vært nødvendig å stenge tjenesten i noen av tilfellene. I tillegg til de kritiske hendelsene har beredskapsvakten også håndtert hendelser som kategoriseres som alvorlige eller mindre alvorlige. Dette har blant annet vært feil i løsningen, at OEP har vært utilgjengelig og at dataoverføringer har feilet. Hovedtyngden av kontakter har kommet i forbindelse med innfasing av nye innholdsleverandører og i ukene etter dette. Vurdering av fremtidig behov: ROS-analysen for OEP beskriver beredskapsvakten som et risikoreduserende tiltak med utgangspunkt i at en rekke hendelser kan skje. Formålet med vaktordningen er å redusere omfanget av disse typene hendelser ved å kunne respondere også utenfor normalarbeidstid. Beredskapsvakten reduserer risiko på følgende områder i følge ROS-analysen: A, K01 Feil data blir publisert til OEP B, K04 Sensitiv informasjon om enkeltperson blir tilgjengelig via OEP C, K06- Bruker oppdager data som man mener ikke skal være tilgjengelig på OEP, men klarer ikke få kontakt med ansvarlig virksomhet D, K14- Innholdsleverandør klarer ikke å tilbakekalle informasjon fra OEP E, K16- Innholdsleverandør har ikke tilstrekkelig kompetanse til å bruke systemet riktig F, I01- IL klarer ikke å overskrive rettstridig publisert informasjon G, T01- OEP ikke tilgjengelig innholdsleverandørs område nede H, T09- Innholdsleverandør har glemt/ikke tilgang til påloggingsinformasjon til eget område Erfaringen fra perioden beredskapsvakten har vært operativ viser at det i krisehåndtering 3
kan være behov for assistanse til å bruke funksjonaliteten som ligger i virksomhetenes brukergrensesnitt. Behovet for assistanse utover normalarbeidstid kan oppstå fordi nøkkelpersoner i virksomheten ikke er tilgjengelig, og at de personene som får melding om hendelsen i virksomhetene ikke har tilgang til relevante verktøy, kunnskap om hvordan de kan håndtere feilsituasjonen eller kompetanse for å bruke denne. Ut fra de hendelsene som har vært håndtert viser det seg å være en kombinasjon av A og B, D, E og F eller H. Det er iverksatt informasjonstiltak til virksomhetene om behovet for interne rutiner for å håndtere avvik for å redusere behovet for beredskapsvakten. OEP har nå funksjonalitet som gjør at virksomhetene selv kan stenge egen journal for søk, slik at man kan rette avvik uten at postjournalene er tilgjengelige for allmennheten. Alternativer for beredskapsvakten videre 0- Dagens ordning Beredskapsvakten videreføres som i dag. Difi er tilgjengelig på telefon virkedager mellom klokken 08.00 og klokken 20.00. Ingen henvendelser har kommet til vakttelefonen etter klokken 20.00 siden åpningen av OEP. Dette gir tilfredsstillende tilgjengelighet for innholdsleverandørene, og reduserer de identifiserte risikoene i tilfredsstillende grad. 1- Beredskapsvakten er tilgjengelig i forbindelse med innfasing av nye innholdsleverandører Dette alternativet innebærer at beredskapsvakten er tilgjengelig i fire uker etter hver innfasingspulje av nye innholdsleverandører. Dette gir en lavere tilgjengelighet for innholdsleverandørene. Beredskapsvakten vil trolig være tilgjengelig mellom 3 og 4 måneder av året. Løsningen reduserer kostnader i stor grad. 2- Beredskapsvakten legges ned. Iverksetting av endring Før en eventuell endring i beredskapsvakten iverksettes må tilrådningen drøftes i samarbeidsforum for OEP, og med hovedsammenslutningene i forbindelse med avtalen med de tillitsvalgte. Følgende avtaler må endres: Tjenesteavtale mellom Direktoratet for forvaltning og IKT og innholdsleverandørene for forvaltning av publiseringstjenesten Offentlig elektronisk postjournal Avtale om beredskapsvakt i Offentlig elektronisk postjournal mellom Difi og Hovedsammenslutningene Anbefalinger: Difi anbefaler at beredskapsvakten legges ned. 4
OEP har nå funksjonalitet for å sperre egen journal for søk dersom det blir oppdaget avvik. Virksomhetene kan da rette opp feilsituasjonen uten at data er tilgjengelig for søk på internett. Dette er svært risikoreduserende med tanke på spredningsfaren. Difi vil i samband med opplæring fokusere på tiltak som sikrer at medarbeidere som publiserer til OEP har god kjennskap til funksjonalitet som er etablert for å tilbakekalle data eller hindre søk i egen journal. I videreutviklingen av OEP vil vi legge vekt på tiltak som forbedrer muligheten virksomhetene har til krisehåndtering i OEP, uten bistand fra Difi eller driftsleverandørene for OEP VEDLEGG - 0 Sak 4. Innlegg om personvern Ove Skåra informasjonsdirektør i Datatilsynet holder et innlegg om personvern. Han kommer til å ta opp problemstillinger knyttet til offentlighet og personvern, krav om masseutleveringer av personopplysninger, konsekvenser av offentleglova 9 og retten til å bli glemt. Det er anledning til å stille spørsmål og til diskusjon etter innlegget. VEDLEGG 0 Sak 5. Orientering om resultatene fra brukerundersøkelsen for OEP Brukerundersøkelsen viser at OEP har et bredt nedslagsfelt og brukes både privat og i forbindelse med jobb. Sluttbrukerne er i høy grad fornøyde med den tekniske løsningen, men ønsker forbedringer, blant annet på søkefunksjonaliteten. Sluttbrukerne er positive til den oppfølgingen de får fra virksomhetene, selv om mange påpeker at det er variabelt. Det forventes at bestillingene skal behandles raskt, og at dokumenter er tilgjengelige direkte fra nettsiden uten at man må kreve innsyn. Videre har sluttbrukerne høye forventninger til OEP i framtiden, og de etterspør og forventer at stadig flere offentlige virksomheter skal levere sine journaler til OEP. Både på arkivmedarbeidernivå og virksomhetsnivå ser vi en positiv innstilling til OEP, og at OEP anses som et godt verktøy for publisering av journal. Virksomhetene har imidlertid fått flere innsynskrav, noe som øker arbeidsmengden på dette området. De ønsker seg derfor forbedringer av OEP med tanke på effektivisering. 5
Begge målgrupper etterspør en løsning for publisering av fulltekstdokument. For sluttbrukere vil dette bety en enklere og raskere tilgang til dokumentene. For innholdsleverandører sin del vil dette medføre at mindre tid går med til å behandle innsynskrav. Undersøkelsen har også vist hvor det trengs ekstra innsats i oppfølgingen og samarbeidet med innholdsleverandører. Det er viktig at innholdsleverandørene tas med på råd og involveres tettere i videreutviklingsarbeidet. VEDLEGG 1 DIFIRAPPORT NR. 5. 2012 BRUKERUNDERSØKELSE FOR OEP Sak 6. Orientering om Difi sin utredning av alternativ for fulltekstpublisering av dokument i OEP FAD har ved tildelingsbrev for 2012 gitt Difi i oppdrag å vurdere alternativer for fulltekstpublisering av dokumenter i OEP. Vurderingen skal leveres innen utgangen av september 2012. Arbeidet organiseres som et prosjekt i avdeling for kommunikasjon. Prosjektet skal gjøre rede for ulike alternativer for publisering av fulltekstdokumenter til OEP, og vurdere mulige økonomiske og administrative konsekvenser av disse alternativene. Hensynet til personvernet skal også vurderes. Hypotesen er at fulltekstpublisering av dokumenter kan gi en effektiviseringsgevinst for innholdsleverandørene ved at man ikke trenger å behandle innsynskrav i dokumenter som allerede er publisert. For brukerne er gevinsten at man straks får tilgang til dokumentet, uten at man må gå veien om et innsynskrav. Dette vil gi en raskere og enklere tilgang til offentlige dokumenter VEDLEGG 0 Sak 7. Informasjon om ny versjon for OEP Difi har bestilt og tester nå ny versjon av OEP. Den nye versjonen består blant annet av nye former for brukerhåndtering og tilgangsstyring. I tillegg er det gjort større endringer i forhold til håndtering av publisering av lenker til dokument, egenadministrasjon av brukerinformasjon og kontrollfunksjoner i mottak av journalfiler. VEDLEGG 1 OVERORDNA BEHOVSKRAVSPESIFIKASJON OEP VERSJON 1.2. 6
Sak 8. Spørsmål Vår ref. 2012/127 Vi legger opp til å kunne besvare eventuelle spørsmål relatert til OEP som ikke passer inn under sakene på agendaen i siste del av møtet. Spørsmål kan fremmes i møtet, eller i forkant av møtet til adressen kontakt@oep.no. Vedlegg: Vedlegg 1. Bruksstatistikk OEP Vedlegg 2. Brukerundersøkelse for OEP Vedlegg 3. Overordna behovskravspesifikasjon OEP versjon 1.2. 7