Metode for identifisering og sikring av dokumentasjon

Denne veilederen gjør det enklere å beslutte hvilken dokumentasjon din virksomhet må sikre over tid. Metoden er et første steg på veien mot moderne dokumentasjonsforvalting og innebygd arkivering.

Om metoden

Illustrasjon av metodeprosessen
Metodeprosessen består av tre faser: kartlegging, identifisering og sikring.

 

Digitalisering gir store muligheter for å forenkle samhandling og bruke informasjon på nye måter. Viktige dokumenter opptrer i nye former og formater, eller erstattes av andre løsninger som for eksempel SMS, Skype og SharePoint. Det kan være utfordrende i en slik sammenheng å forstå hva som er dokumentasjon og bør behandles deretter.

Dokumentasjonsforvaltningen i offentlige organer skal skje i tråd med arkivloven. Arkivloven med forskrifter har omfattende bestemmelser om hvordan offentlige organer skal behandle sine arkiver, men sier ikke hva organene skal dokumentere og hvilken informasjon som skal sikres som dokumentasjon. 

I arkivregelverket brukes begrepet arkiv om de dokumentene som blir til som ledd i en virksomhet, og som inngår i saksbehandlingen og har verdi som dokumentasjon. Det har imidlertid vist seg å være utfordrende å bruke disse kriteriene i vurderingen av hvilke dokumenter som skal sikres. Erfaring tilsier at det er arbeidskrevende for saksbehandlere å vurdere fortløpende hvorvidt dokumenter skal arkiveres og at dette fører til lav kvalitet på arkivene.

Denne metoden er et første steg på veien i en handlingsplan mot moderne dokumentasjonsforvaltning. Den er også et verktøy for å lykkes med det vi kaller “innebygd arkivering”; en tilnærming der forvaltningen skal ta vare på digitale data på nye måter. Det innebærer at man allerede i utformingen av nye arbeidsprosesser, systemer og løsninger tar hensyn til tilgangen til data i et langtidsperspektiv. Les mer om Arkivverkets satsning på innebygd arkivering (åpnes i ny fane).

Målet er at sikring og bruk av dokumentasjon skal bidra til gjennomsiktighet, etterrettelighet og verdiskapning gjennom økt kvalitet og effektivitet på offentlige tjenester.

Denne veilederen beskriver de 3 fasene i metoden:

Fase 1: Kartlegging
Du skal få oversikt over omgivelsene til en utvalgt prosess og hvilke aktiviteter den omfatter. Du skal finne ut hvilken informasjon som brukes, skapes eller endres i prosessen. Dette blir grunnlaget for identifiseringen i neste fase.

Fase 2: Identifisering av dokumentasjon
Du skal identifisere hva som er dokumentasjon blant informasjonen du har kartlagt.

Fase 3: Sikring 
Du får retningslinjer for arbeidet med å sikre dokumentasjonen, og viktige vurderingspunkter til bruk i planleggingsfasen. 

Hensikt

Formålet med å bruke metoden er å gjøre det enklere å beslutte hvilken dokumentasjon din virksomhet må sikre over tid.

Et godt arkiv er mer enn en samling av inn- og utgående korrespondanse. Et godt arkiv kan gi svar på hvordan man kom frem til et vedtak. Derfor er det viktig at dokumentasjon som arkiveres faktisk reflekterer det som skjer i virksomheten. Dette undersøker vi nærmere i kartleggingsfasen.

Ofte er det uklart hvordan informasjonen vi sikrer i dag vil bidra til å svare på morgendagens spørsmål. I identifiseringsfasen vil vi se på hvordan man kan beskrive fremtidige behov. I denne fasen er det viktig at man ikke har fokus på hva som eventuelt skal avleveres til en arkivinstitusjon. Fokus må være på å ivareta virksomhetens egne behov for tilgang til etterrettelig dokumentasjon over tid.
 

Resultat

Du skal kunne identifisere hvilke aktiviteter som bør dokumenteres og hvordan denne dokumentasjonen skal behandles. 

Du har et register med systematiske vurderinger av hva som er dokumentasjon – både ifølge gjeldende regelverk, og ut fra virksomhetens eget behov. 

Du har et hjelpemiddel når du skal påse at hensyn til dokumentasjon ivaretas fra første stund når en prosess eller et system skal utvikles. Du kan bruke føringer fra metodens tredje fase, «Sikring av dokumentasjon», når du skal operasjonalisere sikringen av den dokumentasjonen du har identifisert.
 

Hvem bør bruke metoden?

Digitalisering, tjenesteutvikling, internkontroll, informasjonssikkerhet, personvernkartlegging eller revisjoner kan tydeliggjøre mangel på kontroll over hva som dokumenteres i dag, og hva som burde vært dokumentert.

Målgruppen for metoden er primært de som legger premissene for hvordan informasjon skapes og brukes i virksomheten.

Du er en premissgiver hvis du:

  • er ansvarlig for en saksbehandlingsprosess
     
  • er prosjektleder for typiske digitaliseringsinitiativ
     
  • er avdelings- eller fagleder som har opplevd hendelser der du ikke har kunnet fremskaffe riktig dokumentasjon
     
  • skal tolke og iverksette sikkerhetstiltak knyttet til dokumentasjon
     
  • skal designe nye systemer der dokumentasjonskrav er ivaretatt fra første stund


Eksempler på situasjoner der metoden er nyttig å bruke:

  • når dere skal utrede digitalisering av prosesser
     
  • prosessforbedring
     
  • tjenestedesign-prosjekt
     
  • avvik eller bemerkning fra internkontroll som påpeker mangler ved dokumentasjon
     
  • utfordringer med å tolke lover og forskrifter som gjelder deres dokumentasjon
     
  • usikkerhet om hva dere skal gjøre med lagring i skyen, SharePoint, Lync, Teams osv.
     
  • nytt system skal anskaffes eller utvikles


Metoden er ikke ment for å brukes i det daglige arbeidet med vurdering av dokumentasjon, men kan være en støtte for dette arbeidet i form av prosessgjennomganger.
 

Fase 1: Kartlegging

Illustrasjon fase 1 crop

 

Om denne fasen

Denne fasen inneholder to trinn der du skal: 

Trinn 1: Få en oversikt over den aktuelle prosessen og avgrense hvilke omgivelser som påvirker den.

Trinn 2: Finne ut hvilke informasjonsobjekter som brukes, skapes eller endres i den valgte prosessen. Med andre ord skal en informasjonsoversikt utarbeides. 

Denne fasen er et forarbeid for identifiseringsarbeidet. Ved å kartlegge prosessen oppnår vi en forståelse av hvordan oppgaver utføres i praksis og hvilken informasjon som faktisk skapes og brukes i arbeidet.

Kartleggingsarbeid er en forutsetning for å kunne identifisere dokumentasjon. Det er viktig å undersøke hvilke kartlegginger som gjennomføres eller har blitt gjort i andre relevante initiativ, og hvilke opplysninger fra tidligere kartlegginger som kan gjenbrukes. 

Resultater fra fasen

Etter kartleggingen vil du ha:

  • Oversikt over prosessens omgivelser, for eksempel oversikt over lover, regler og styringsdokumenter samt relevante beslutningstakere, brukere og andre interessenter.
     
  • Oversikt over prosessen og den sammenhengen den inngår i. Eksempelvis prosessens formål, grenseflater (start-slutt), aktiviteter og informasjonssystemer.
     
  • En informasjonsoversikt der du har beskrevet informasjonen og opplysninger som skapes og brukes i prosessen.

Aktører

  • Prosesseier
  • Avdelingsleder
  • Saksbehandler
  • Arkiv og dokumentasjonstjenester kan bidra med fagkompetanse

Lover og forskrifter

De lovene som er relevante for din virksomhet.

Ressurser

 

1.1 - Kartlegge prosessen og dens omgivelser

Å beskrive prosessens omgivelser gir deg premissene prosessen påvirkes av, slik som lover og regler, ulike interessenter og ressurser som benyttes. Beskrivelsen av prosessen og dens omgivelser bør være presis og dekkende nok til at den virker avgrensende for videre arbeid. Beskrivelsen må skape forståelse for formålet med prosessen. Det er lurt å finne et detaljeringsnivå som er tilpasset din virksomhet.

Du bør starte med å undersøke om andre i virksomheten allerede kan ha gjort et arbeid for å avdekke opplysninger som er relevant for den prosessen du nå skal kartlegge. Slike opplysninger kan du kanskje finne i forbindelse med: 

  • Arbeid med lover og forskrifter: Finnes det en oversikt over hvilke generelle lover og særlover som gjelder din virksomhet/tjeneste?
     
  • Prosesskartlegging/Tjenestedesign: Har dere startet arbeidet med prosesskart og prosessbeskrivelser, har du en oversikt over hvordan produkt- og tjenesteleveranser skjer.  Hvis dere ikke har dette fra før, har direktoratet for økonomistyring et prosesskartleggerverktøy (docx).
     
  • Personvernsarbeid: Enhver virksomhet som behandler personopplysninger er pliktige til å utarbeide en protokoll over behandlingsaktiviteter i henhold til personvernforordningen art. 30. En slik protokoll gir en oversikt over personopplysninger som behandles i virksomheten og kan derfor være til hjelp når en prosess skal kartlegges.
     
  • Informasjonssikkerhet: En risikoanalyse i forbindelse med informasjonssikkerhet eller internkontroll kan være til hjelp, og inneholder kanskje også en kritikalitets- eller verdivurdering av informasjonen.
     
  • Internkontroll: Hvilke rammer gjelder? Dersom dere har kartlagt konteksten ved implementering av NS-EN ISO 9001:2015 (Ledelsessystemer for kvalitet) eller NS-EN ISO/IEC27001:2017 (Ledelsessystemer for informasjonssikkerhet) kan dette være hensiktsmessig å bruke. Da har man kartlagt interne og eksterne forhold, interessenter, samt grenseflater man har mot andre virksomheter og organisasjoner.

Dersom din virksomhet ikke har eksisterende kartlegginger/beskrivelser/analyser som kan brukes, foreslår vi å tilpasse eksemplene for å skape denne oversikten:

  • Oversikt over prosessens omgivelser: interne og eksterne interessenter (beslutningstakere/brukere), lover og regler, styringsdokumenter
  • Oversikt over prosessen og den sammenhengen den inngår i: prosessens formål, grenseflater (start-slutt) og aktiviteter, informasjonssystemer

 

Grønn seksjon i Gråne bydel ønsker å identifisere og sikre dokumentasjon i forbindelse med tildeling av prosjekt- og utviklingsmidler for grønn bydel. Arkivleder Bente og seksjonsleder Silje forbereder seg ved å kartlegge prosessen og dens omgivelser med denne oversikten:

Tabell 1: Prosesskartlegging

  Prosessbeskrivelse

 

  Formål

  Skape en trivelig bydel, sunne innbyggere, bedre trafikksikkerhet

  Aktiviteter

  Saksbehandling på vegne av grønn seksjon

  Starter ved at

  Kommunen varsler bydelen

  Avsluttes når

  Kontroll av hvordan midlene ble brukt

  Andre relevante prosesser

  Seksjonens egne prosjekter

  Regelverk

 

  Eksternt regelverk

  Forvaltningsloven, offentlighetsloven, arkivloven

  Interne styringsdokumenter

  Retningslinjer for tildeling av grønne midler

  Aktører

 

  Eksterne

  Søkere (for eksempel borettslag, sameier, lag og organisasjoner)

  Interne

  Fagdirektør, avdelingsdirektør, saksbehandlere, ledergruppe, økonomi

  Informasjonssystemer og -objekter

 

  Informasjonssystemer

  Sakarkivsystem (Spesifiser hva systemet heter)

  Informasjonsobjekter

  Avslagsbrev, tildelingsbrev, søknadsbrev, søknadsskjema

Dette er et eksempel på hvordan en prosess og dens omgivelser kan kartlegges og er ikke et fasitsvar. Hvordan man velger å sette opp oversikten er opp til den enkelte virksomhet og må tilpasses etter behov. Målet er å utarbeide en oversikt over prosessen som vil gjøre det enklere å finne informasjonen som skapes og brukes når man kommer til trinn 1.2.

1.2 - Kartlegge informasjonen i prosessen

Når du nå skal kartlegge hvilken informasjon som håndteres i prosessen, bør du ta utgangspunkt i arbeidet du har gjort med å beskrive prosessen og de aktivitetene dette innebærer.

  • Se på informasjon som skapes eller brukes i sammenheng med aktivitetene som gjøres. Dette vil gi deg innsikt i hvorfor noe gjennomføres.
     
  • Se på hva det er man gjør i praksis og hvilken funksjon informasjonen har. Dette kan gi deg innsikt i hvordan noe gjennomføres.
     

Deler av informasjonen i prosessen kan du enkelt finne fordi de opptrer som tradisjonelle dokumenter eller digitale skjemaer. Andre deler kan fremstå som puslespillbiter som først gir mening når de ses i sammenheng. Dokumentene, sammen med puslespillbitene, beviser at man har fulgt prosessen.

Figur 1, generisk søknadsprosess (illustrasjon)
Figur 1: En generisk søknadsprosess der informasjon er uthevet i rødt

 

Figur 1 illustrerer et eksempel på kartlegging av informasjon i en prosess. Informasjonen er markert med rødt. Søker logger inn med bankID (informasjonen at bruker har logget inn – verifisering av personen) fyller inn og sender inn (informasjon at handlinger er utført) skjema (informasjon om oppgaven) og legger ved obligatoriske vedlegg (tilleggsinformasjon om oppgaven, kopi av førerkort og vandelsattest).

Saksbehandler gjør oppslag (informasjon om at verifisering er gjennomført) på en dato (loggføring) i register (informasjon fra vandelsregister og førerkortregister). Saksbehandler verifiserer (informasjon om at verifikasjon har blitt gjort) opplysningene mot kriterier for tildeling (informasjon om grunnlaget for å ta beslutning).

Det kan være nyttig å stille noen konkrete spørsmål for å identifisere alle informasjonsobjektene, deres flyt og tilhørighet:

  • Hvilken type aktivitet eller informasjon starter prosessen og hvilken type aktivitet eller informasjon avslutter prosessen?
     
  • Hvilke aktiviteter består prosessen av?
     
  • Hvilken type informasjon/informasjonsobjekter skapes, brukes eller oppdateres i prosessen?
     
  • Hvordan blir ulike aktiviteter, beslutninger og transaksjoner dokumentert?
     
  • Hvor blir informasjonen lagret?
     
  • Bruker prosessen informasjon som vedlikeholdes av andre virksomheter? Hentes det for eksempel informasjon fra folkeregisteret? Hvordan brukes denne informasjonen? Brukes den for eksempel til oppslag, eller brukes den til innhenting av annen informasjon som skal lagres lokalt?
     
  • Blir informasjonen fra denne prosessen brukt i andre prosesser eller av andre virksomheter? I så fall hvordan? Dette kan være relevant for sikringsvurderingen.
     

Dere kan vurdere om informasjon som er mer detaljert skal inkluderes:

  • Er gjennomføringen avhengig av en bestemt type informasjon? Hvilken informasjon og hvor kan den hentes?
     
  • Endrer denne prosessen data eller informasjon? Hvis ja, på hvilken måte?
     
  • Hvilken informasjon lagres eller overføres til andre prosesser?
     

Vi foreslår å beskrive disse informasjonsobjektene i et register. Når du har kartlagt all informasjonen i prosessen, går du videre til fase 2 av metoden for å identifisere hvilken informasjon som er dokumentasjon

Her ser du et eksempel på hvordan informasjonsobjektene i en prosess kan kartlegges i et excel-skjema. Eksempelet er hentet fra en rekrutteringsprosess:

Fase 2: Identifisering av dokumentasjon

Illustrasjon fase 2 crop

 

Om denne fasen

Hensikten med denne fasen er å identifisere hva som er dokumentasjon blant informasjonen du kartla i den første fasen. 

Vi legger til grunn at informasjon ikke blir dokumentasjon før noen gjør et aktivt valg og behandler informasjonen som dokumentasjon. Derfor handler det mye om bevisstgjøring av behovet for dokumentasjon slik at denne kan sikres. Hvilken dokumentasjon må jeg ha for å bevise handlinger og være etterrettelig, både nå og senere?

For å konkretisere arbeidet og minimere tidsbruk, er det lagt opp til at identifisering av dokumentasjon bør gjøres i to trinn: 

Trinn 1: Undersøke krav til dokumentasjon i lover eller regelverk

Trinn 2: Vurdere virksomhetens behov for dokumentasjon gjennom «risikoen for å ikke ha den»

I mange tilfeller vil det det være tydelige lovkrav til dokumentasjon. Noen prosesser er svært lovregulerte og aktivitetene som skal dokumenteres vil være tydelig definert i lovkrav, spesielt i særlover.

I andre tilfeller vil kravene til dokumentasjon av aktivitetene være uklare eller ikke eksistere. Dette gjelder for eksempel for prosjekter eller i prosesser hvor samarbeid på tvers kan skape usikkerhet om hvem som har ansvar for dokumentasjonen. Her dekker den risikobaserte tilnærmingen mye av identifiseringen. 

Resultater fra fasen

Etter identifiseringsfasen har du:

  • Aktivt tatt stilling til om informasjonen er regulert av loven eller bør behandles som dokumentasjon for å dekke et behov i virksomheten.
     
  • Systematikk og sporbarhet i de vurderingene som er gjort, gjerne i et risikoregister. Dette kan brukes til å kommunisere til ledelsen om hvilke beslutninger som bør tas for å sikre den dokumentasjonen som er identifisert.
     
  • Et grunnlag som kan brukes til kontinuerlig forbedring av dokumentasjonsstyring.

Aktører

Identifiseringsfasen kan gjennomføres i flere omganger med fag/linje/prosess, gjerne som arbeidsmøte/workshop, og gjerne med et tverrfaglig team bestående av:

  • Prosesseier
  • Saksbehandler/personer med kjennskap til prosessen
  • Systemkompetanse (eksempelvis om fagsystem brukes)
  • Juridisk kompetanse

Lover og forskrifter

Ressurser

 

Figuren og tabellen under viser hvordan resultatet fra fase 2 kan framstilles. BPMN-modellen beskriver prosessen knyttet til Arkivverkets oppfølging av tildelingen av prosjekt- og utviklingsmidler. Rammene med konvolutt representerer informasjonsobjekter som håndteres i prosessen som er identifisert som dokumentasjon.

Figur: BPMN-modell
Figur 2: BPMN-modell av identifisert dokumentasjon i prosessen med tildeling av prosjekt- og utviklingsmidler.

Last ned figur 2 i større versjon (.png)

Tabellen oppgir hvorfor informasjonen må sikres som dokumentasjon, om det er foreligger lovkrav om å sikre dokumentasjonen eller om behovet for dokumentasjon er basert på en risikovurdering og hvor dokumentasjonen lagres.

Tabell 2: Forslag til framstilling av resultat fra fase 2

  Dokumentasjon

  Hvorfor

  Krav/behov  

  Ivaretas av  

  Purring på statusrapport

  Lovkrav

  Krav

  ePhorte

  Statusrapport

  Grunnlag for beslutning  

  Behov

  ePhorte

  Forespørsel om utsettelse

  Grunnlag for beslutning  

  Behov

  ePhorte

  Rapport

  Lovkrav

  Krav

  ePhorte

  Purring på rapport

  Grunnlag for beslutning

  Behov

  ePhorte

  Invitasjon til konferanse for erfaringsutveksling  

  Oppfølgingsbehov

  Behov

  ePhorte

 

2.1 - Vurdering av dokumentasjonskrav i regelverk

Hensikten med å dette trinnet er å avgjøre om det finnes noen konkrete regelverkskrav til dokumentasjon for den utvalgte prosessen.

Alle offentlige organer er underlagt noen generelle lover som regulerer behandlingen av informasjon, for å sikre etterrettelighet, åpenhet og demokratiske rettigheter.

For eksempel omfattes alle offentlige forvaltningsorganer av:

De viktigste dokumentasjonskravene kan du finne i:

  • Særlover
  • Andre formelle krav (avtaler, EU- direktiv, egne policyer)
     

Når du skal gå igjennom regelverket og finne ut hvilken informasjon som må behandles som dokumentasjon må du vurdere både direkte og indirekte krav.

Direkte krav kan for eksempel være at man skal arkivere kjøretøysopplysinger i bilregisteret. Om det er vedtak som treffes kan det være indirekte krav til dokumentasjon. Forvaltningsloven sier at et vedtak skal inneholde begrunnelse og en klagefrist.  Det står altså indirekte at noe skal dokumenteres. I særlover står det gjerne en begrunnelse for hvorfor noen opplysninger eller handlinger skal dokumenteres i bestemte oppgaver og prosesser.

Hvis det er entydig og klart hva du må dokumentere, trenger du ikke å gjøre en risikovurdering og kan gå videre til fase 3. Hvis du er usikker, bør fortsette til 2.2 - Risikobasert vurdering av behovet for dokumentasjon.

2.2 - Risikobasert vurdering av behovet for dokumentasjon

Mange virksomheter bruker risikostyring aktivt for eksempel i prosjekter, for beredskap eller for internkontroll. Risikostyring handler om å identifisere og håndtere forhold eller hendelser som kan påvirke ulike mål man ønsker å oppnå. For eksempel et mål om å kunne utøve samfunnsoppdraget sitt på en tilfredsstillende måte.  

En risikobasert tilnærming kan være en effektiv måte å øke forståelsen av hva slags dokumentasjon en virksomhet vil kunne ha behov for i fremtiden. Man kan spørre seg selv: Hva kan skje med virksomheten min hvis informasjon om handlinger, valg og beslutninger ikke er identifisert som dokumentasjon? 

På denne måten identifiserer man behovet for dokumentasjon ved å vurdere hva som kan skje dersom man ikke har den. 

Vi identifiserer dokumentasjon gjennom å vurdere risikoen for å ikke ha den.

En risikobasert tilnærming kan hjelpe deg med:

  • å øke bevisstheten om virksomhetens eget behov for dokumentasjon, spesielt med tanke på ledelsens rolle og ansvar
     
  • å vurdere dokumentasjonsbehovet basert på erfaringer og kunnskap, i stedet for «magefølelse» eller sak-til-sak vurdering
     
  • å kommunisere beslutninger om virksomhetens dokumentasjonsbehov med støtte i kjent systematikk
     

3 steg for å vurdere hva som er dokumentasjonsbehovet

Det kan være lurt å samle relevante ressurser til en «risiko-workshop» for å gå igjennom 3 punkter:

  1. Identifisere og beskrive risikoscenarioer (Hva kan skje hvis denne informasjonen ikke lenger finnes?)
     
  2. Estimere risiko (Hvor sannsynlig er det at disse risikoscenarioene oppstår, og hvilke konsekvenser kan de ha dersom de oppstår? Hva er for eksempel sannsynligheten for negativ konsekvens av å ikke kunne hente frem igjen informasjonen?)
     
  3. Evaluere risiko (Evalueringen gjør risikoer sammenliknbare og rangerbare. Hensikten med denne evaluering er å vurdere hvorvidt man skal sette inn tiltak for å håndtere risikoen og sikre dokumentasjon).

Finnes det et minimum av utredning man bør gjøre?

Det er opp til virksomheten å vurdere hvor mye tid som kan benyttes og hvilket detaljeringsnivå dere trenger.

  • Hvis virksomheten din har egne verktøy for risikovurdering, kan dere bruke disse.
     
  • Hvis prosessen dere undersøker er svært regelverksdefinert, kan dere gjerne konsentrere dere om de informasjonsobjektene som ikke er det.
     
  • Hvis dere har mange ulike informasjonsobjekter, kan det være lurt å starte med risikoidentifisering på de som er vurdert som konfidensielle eller fortrolige.

 Les mer om risikobasert tilnærming under.

Innlemme metoden i egen risikostyring/internkontroll

Hvis dere har mye erfaring med risikoanalyser og har egne verktøy, anbefaler vi å bruke disse.

Dere bør forsøke så langt det er mulig å gjenbruke eksisterende rammeverk og definisjoner (for eksempel risikomatrise) fra virksomheten i denne fasen. Slik kan vurderingen av dokumentasjonsbehovet også bli en del av risikostyringen.

En risikovurdering vil ikke gi dere svar på hvor lenge noe skal bevares. For slike spørsmål kan det være hensiktsmessig å snakke med arkivtjenesten i virksomheten. Se også riksarkivarens forskrift kapittel 7. Bevaring og kassasjon og Arkivverkets nettsider om bevaring og kassasjon, eller kontakt Arkivverket.

Om risikobasert tilnærming

Hva mener vi med risiko når vi snakker om dokumentasjon?

Disse eksemplene kan illustrere:

  • I et stort byggeprosjekt manglet det vann og avløp til vasker på toalettene. Oppdragsgiver påstod at det hadde blitt bestilt i en e-post som tillegg til kontrakten. E-posten kunne ikke finnes i systemet og oppdragsgiver måtte ta ekstra kostnad ved å rette feilen. Det er dessverre ikke helt uvanlig med manglende kontroll med både hovedkontrakt og endringer/tillegg i for eksempel IT-kontrakter og konsulentavtaler. Dette medfører at man ikke stiller særlig sterkt ved «feil» på leveransen og ender opp med å måtte ta kostnaden selv.
     
  • En innbygger klager på at naboen har fått oppføre en stor garasje for nær hans tomt.  Det viser seg at han ikke har mottatt nabovarsel og ikke har hatt anledning til å uttrykke sin mening, ettersom han ikke var registrert som nabo i byggesaken. Feil opplysninger er lagt til grunn for beslutningen og en lang og kostbar tvist følger.
     
  • VG skal granske utdanningsetaten og ber om innsyn i saksdokumentene, men dokumenter i saken mangler. Hvordan skal de klare å utføre sitt samfunnsoppdrag om kontroll med forvaltningen og belyse alle sider av saken?

 

Risiko kan ofte være vanskelig å bryte ned. For å gjøre vurderingen litt enklere, kan man stille seg følgende spørsmål: 

  • Er dette informasjon som forplikter virksomheten overfor andre, eller forplikter andre overfor virksomheten?
     
  • Er informasjonen grunnlaget for en beslutning? 
     
  • Hvordan støtter denne informasjonen oppgaven som løses?


Ved vurderingen kan man ta utgangspunkt i de ulike informasjonsobjektene som er kartlagt i fase 1, trinn 2. Se på hvert enkelt informasjonsobjekt og besvar spørsmålene ovenfor. Vurder hvilke scenarier som kan oppstå dersom informasjonen ikke finnes, og hvilke konsekvenser dette kan få. Det kan være lurt å starte med risikoidentifisering på informasjonsobjektene som er vurdert som konfidensielle eller fortrolige dersom man har mange ulike objekter. 

Når man har gjort denne vurderingen, bearbeider man svarene for å få hensiktsmessige risikobeskrivelser. Risiko kan beskrives på ulike måter avhengig av behov, og det er viktig at risikobeskrivelsene er tilpasset virksomheten. Gode risikobeskrivelser har gjerne med noen stikkord om

  • (1) innledende hendelse(r)
  • (2) uønsket hendelse 
  • (3) de uønskede konsekvensene som kan oppstå


Eksempel på en risikobeskrivelse:
Risiko 1: Det kommer inn klage på et vedtak (1). Saksbehandler slår opp for å finne beslutningsgrunnlaget og det viser seg å ikke være registrert at oppslag er gjort mot ekstern database og heller ikke hvilke data som ble brukt. Vi kan heller ikke se endringene i den eksterne databasen (for den eier ikke vi). Man har ikke vurdert hvordan og av hvem det skal dokumenteres endringer (2). Personen har ikke fått de pengene de skulle ha hatt (3). Eksempelet illustreres av figuren under. 

Figur 3 - eksempel på risikobeskrivelse
Figur 3: eksempel på risikobeskrivelse

 

I neste steg skal dere gjøre en risikoanalyse hvor dere vurderer hvordan risikoscenariene kan få negative virkninger for virksomheten eller utøvelsen av samfunnsoppdraget, og hvor sannsynlig det er at de ulike risikoscenariene oppstår. 

Risiko er ofte definert som kombinasjonen av konsekvenser og (tilhørende) sannsynligheter. Man kan spørre seg selv: Hvordan kan manglende dokumentasjon påvirke virksomhetens mål negativt, og hvor stor er sannsynligheten for at det skjer? 

En risikoanalyse består med andre ord av to deler: 

  1. En vurdering av den forventede konsekvensen som risikoen kan medføre dersom den oppstår
  2. En vurdering av sannsynligheten for at risikoen oppstår

Mål/konsekvenser

God risikostyring forutsetter blant annet at det er satt tydelige mål. Uten klare mål er det vanskelig å vurdere risikoen for å ikke nå disse målene. 
 
Konsekvenskategorier er enkle grupperinger av mål.  Det er for eksempel et mål at en virksomhet vil ha et godt omdømme og tillit fra brukerne. Når du vurderer risikoene du har identifisert og beskrevet, er neste steg å uttrykke i hvor stor grad konsekvensene påvirker et mål negativt.

Figuren under gir et eksempel på hvordan man kan lage en oversikt over ulike konsekvenskategorier (mål) og hvordan disse kan påvirkes negativt i ulik grad. En slik tabell gir et verktøy som kan brukes for å plassere risikoscenariene som er identifisert og beskrevet i forrige steg ut fra hva slags mål de berører og hvor alvorlige konsekvensene som kan oppstå er. 

Figur 4: konsekvenskategorier
Figur 4: konsekvenskategorier


Dersom virksomheten har etablerte konsekvenskategorier foreslår vi å bruke disse, og evt. tilpasse beskrivelsene og skalaen. 

Vi har definert to mål for virksomheten i seg selv: omdømme/tillit og økonomi/effektivitet, og to mål for å dekke samfunnsoppdragsmålet: utøvelse av samfunnsoppgaven (dvs. brukerens rettigheter) og samfunnets fungering (dvs. konsekvenser for andre dere samarbeider med). 

Dersom de ulike konsekvensene som kan oppstå berører mer enn én av de konsekvenskategoriene, bør man håndtere disse som ulike risikobeskrivelser. Dette gjør det lettere å estimere konsekvens og tilhørende sannsynlighet, og utarbeide forslag til hvordan risikoen skal håndteres senere i arbeidet.

Eksempel på en konsekvensvurdering:

Risiko 1: At dataoppslaget ikke loggføres (er dokumentert) og at brukeren ikke får riktig utbetaling kan bli et godt merkbart (økonomisk eller) rettighetsmessig tap for borgeren. (Medium = GUL)

Sannsynligheter

Videre må det vurderes hvor sannsynlig det er at de uønskede hendelsene inntreffer. I noen tilfeller kan dere også spørre dere hvor ofte. Estimatet angir sannsynligheten for at den uønskede hendelsen har det negative utfallet dere har beskrevet. 

Figuren under gir et eksempel på hvordan man kan lage en skala som kan brukes ved sannsynlighetsvurderingen. En slik tabell kan på lik linje med tabellen ovenfor brukes som et verktøy ved vurderingen av hvor sannsynlig det er at risikoen oppstår. 

Figur 5: sannsynlighetsskala
Figur 5: sannsynlighetsskala


Eksempel på en sannsynlighetsvurdering: 

Risiko 1: Det hender nok med jevne mellomrom at dataoppslaget ikke loggføres (er dokumentert) og at brukeren ikke får riktig utbetaling. (Medium = GUL)
 

Det kan være utfordrende å veie sannsynlighet og konsekvens mot hverandre for å komme frem til en god vurdering av risiko, men det er en nødvendig prosess for å avklare behovet for tiltak. En evaluering gjør risikoer sammenliknbare og rangerbare. 

  • Hensikten med denne evalueringen er å vurdere hvorvidt man skal sette inn tiltak, dvs. sikre dokumentasjonen etter de anbefalte prinsipper om sikring, eller om man akseptere at noe ikke dokumenteres.
     
  • Det handler også om at ledelsen skal kunne gjøre kost-/nyttevurderinger av å ta vare på informasjon som dokumentasjon og at de skal kunne beslutte tiltak.


Risikoene og evalueringene presenteres forståelig i en risikomatrise. Figuren under gir et eksempel på en slik risikomatrise.  

Figur 6 - risikomatrise
Figur 6: risikomatrise


I figuren plasseres risikoens konsekvens horisontalt, mens risikoens sannsynlighet plasseres vertikalt. Når man kombinerer disse vurderingene vil man havne i en av tabellens ruter som angir den samlede risikoen. De ulike fargene i matrisen betyr:  

  • Rød rute betyr høy risiko, og tiltak må utføres. 
     
  • Gul rute anses betyr medium risiko og man må foreta en kost-/nyttevurdering og ledelsesbeslutning av om tiltak skal utføres.
     
  • Grønn rute betyr liten risiko og det er ikke nødvendig å utføre tiltak. 


Eksempel på presentasjon av risiko i risikomatrisen:
Risiko 1: Sannsynlighet og konsekvens er vurdert til medium X medium. Den samlede risikoen er derfor medium (gul rute). Om det skal innføres tiltak må vurderes etter en kost-/nyttevurdering.

Integrere i egen risikostyring/internkontroll

Dere bør forsøke så langt det er mulig å gjenbruke eksisterende rammeverk, definisjoner (f.eks. risikomatrise) fra virksomheten i denne fasen. Slik kan det å vurdere dokumentasjonsbehov også bli en del av risikostyringen. 

For eksempel bør risikoevaluering tilpasses kriterier for å akseptere risiko (virksomhetens egen) hvis det er mulig. Det defineres selv av gruppen på hvilket ledelsesnivå det må løftes opp til om ikke noe er beskrevet i virksomhetens akseptkriterier, men det er nærliggende å velge prosesseier og linjeleder, eller informasjonseier.

Figur 7 - eksempel på risikoregister som tabell
Figur 7: Eksempel på risikoregister med beskrivelse av risiko, estimering av risiko og mulige tiltak.

Figur 7 gir et eksempel på hvordan man kan utarbeide et risikoregister, det vil si en oversikt over risikovurderingene. Last ned større versjon (jpg).

I dette eksempelet viser de første kolonnene fra venstre risikoidentifiseringen. Det er tatt utgangspunkt i informasjonsobjektet og aktiviteten det inngår i. Kategori-kolonnen viser hvilket mål som kan påvirkes negativt hvis den uønskede hendelsen i neste kolonne oppstår. Videre er det en kolonne for å si noe om utfallet/konsekvensen av den ønskede hendelsen, og en kolonne for risikobeskrivelse. 

De neste kolonnene viser risikoanalysen: konsekvensvurdering, sannsynlighetsvurdering og risikoevaluering. Den siste beskriver hvilke tiltak man eventuelt må innføre for å håndtere risikoen.

Fase 3: Sikring av dokumentasjon

Illustrasjon fase 3 crop

 

Om denne fasen

Gjennom fase 1 og 2 har du kartlagt hvilken informasjon virksomheten skaper og bruker i sine prosesser, og identifisert hva som er virksomhetens dokumentasjonsbehov. Hensikten med fase 3 er å gi retningslinjer for arbeidet med å sikre og bevare dokumentasjonen.   

Sikring innebærer å ta vare på bevisverdien til dokumentasjonen, slik at vi kan ha tillit til at dokumentasjonen forblir uendret og anvendelig - også når omgivelsene endrer seg. Slike endringer kan blant annet være rettslige, organisatoriske eller teknologiske, og bør kartlegges gjennom en risikovurdering.

Virksomheten må også planlegge hva som skal skje med dokumentasjonen når dere ikke lenger har behov for den selv. Et bevisst forhold til dokumentasjonens livsløp kan påvirke valg innen arkitektur, infrastruktur og løsninger. Denne veilederen gir ingen føringer for valg av teknisk løsning, men peker på hvilke vurderinger virksomheten bør gjøre.

Ilustrasjon av dokumentasjon by design
Snu fra reaktiv til proaktiv arkivering med "dokumentasjon by design" - sikring av dokumentasjon er med fra starten i alle endringer.

 

Resultater fra fasen

Sikringsfasen gir deg retningslinjer for arbeidet med å sikre dokumentasjonen, og peker på viktige vurderingspunkter i planleggingsfasen. Basert på disse skal du kunne utarbeide hensiktsmessige krav og rutiner for sikringen. Dette skal gjøre det enkelt å inkludere hensynet til dokumentasjon allerede ved planlegging og utvikling av prosesser og systemer.

Aktører

  • Prosesseier 
  • IT-systemkompetanse
  • Juridisk kompetanse 
  • Virksomhetsarkitekt 
  • IT-sikkerhet
  • Arkivleder 
  • Digital depotordning

3.1 - Planlegg for sikring og bevaring av dokumentasjon

Ta hensyn til sikring og bevaring av dokumentasjon allerede i planleggingsfasen når prosesser, informasjonssystemer eller arkitektur skal endres.

En helhetlig tilnærming legger til rette for å utvikle effektive og hensiktsmessige løsninger for sikring av dokumentasjon i samsvar med virksomhetens oppgaveløsing. Det er enklere, rimeligere og tryggere når dette er planlagt fra starten. 

Se sikringen i sammenheng med aktivitetene og informasjonsflyten i en prosess. Hvis prosessen bruker flere forskjellige IT-systemer, planlegg hvilket system som skal sikre dokumentasjonen.

3.2 - Sikre dokumentasjonens bevisverdi

Sikringen skal ivareta dokumentasjonens bevisverdi. For at dokumentasjonen skal ha verdi som autorativ kilde for å etterprøve en prosess, er vi avhengige av å kunne ha tillit til den. Dette er ikke bare et teknologisk spørsmål, men omfatter også organisasjon og rutiner.

For at tilliten skal kunne opprettholdes over tid og gjennom endringer, må vi sikre de egenskapene ved dokumentasjonen som gir den bevisverdi ved hjelp av de følgende fire prinsippene:

Dokumentasjon er autentisk hvis den har bevisverdi. Vi må kunne ha tillit til at den informasjonen som er registrert om en hendelse er hva den utgir seg for å være. Da trengs kontekstuell informasjon, slik som opplysninger om hvem som skapte og sendte dokumentasjonen, og på hvilket tidspunkt.

Autentisitet handler altså om tillitt til omgivelsene hvor dokumentasjon skapes eller behandles, og hvordan dette har skjedd. Det er derfor viktig at dokumentasjon av policyer og rutiner inngår i konteksten som bevares, sammen med selve dokumentasjonen.

Tiltak

  • Dokumenter og iverksett policyer og rutiner som styrer produksjon, mottak, overføring, vedlikehold og disponering av dokumentasjon. 
     
  • Innfør styringstiltak for å hindre uautoriserte handlinger, som tilføyelse, sletting, endring, bruk og hemmelighold. 
     
  • Identifiserer og kontroller hvilke personer og prosesser som har tilgang til dokumentasjonen, og hvilke autorisasjoner disse har.
     
  • Sikre dokumentasjon om handlinger og prosesser (automatiserte eller manuelle) sammen med dokumentene.
     

At dokumentasjonen er pålitelig betyr at man kan ha tillit til at innholdet er en fullstendig og nøyaktig gjengivelse av transaksjonene, aktivitetene og faktaene som skal dokumenteres. 

Pålitelig dokumentasjon er viktig for etterfølgende transaksjoner og aktiviteter som benytter denne dokumentasjonen som grunnlag i sine prosesser. 

Tiltak

  • Produser dokumentasjon samtidig med transaksjonen eller hendelsen den angår, eller kort tid etter. 
     
  • Relater produksjonen av dokumentasjon til de personene eller prosessene som har direkte kjennskap til fakta. 
     
  • Sikre dokumentasjonen i prosesser som følger metoder virksomheten rutinemessig bruker til å utføre transaksjonen. 
     

Integritetssikret dokumentasjon betyr at den er beskyttet mot uautoriserte endringer og at eventuelle endringer blir dokumentert. Integritetssikring innebærer også at dokumentasjonen bevares slik at man kan være sikker på at den er fullstendig og uendret.

Tiltak

  • Beskytt dokumentasjonen mot uautorisert endring.  
     
  • Ha policyer og rutiner som angir hvilke tilføyelser eller kommentarer som kan påføres dokumentasjonen etter at den er produsert.  
     
  • Angi under hvilke omstendigheter tilføyelser eller kommentarer kan godkjennes, og hvem som har tillatelse til å gjøre dem.  
     
  • Sørg for at alle godkjente kommentarer, tilføyelser eller slettinger i dokumentasjonen er dokumenterte og sporbare. 
     

Anvendelig dokumentasjon betyr at den kan gjenfinnes, hentes frem, presenteres og tolkes gjennom teknologi- og systemskifter. Anvendelighet og tolkning av dokumentasjon bør knyttes til konteksten dokumentasjonen ble produsert i. 

Tiltak

  • Sikre dokumentasjonen i systemer som ivaretar dokumentasjonens anvendelighet.
     
  • Ivareta integriteten og autentisiteten når dokumentasjon skal konverteres eller migreres for å holdes anvendelig.
     
  • Sørg for at dokumentasjonen i ettertid kan presenteres i direkte forbindelse med aktiviteten eller transaksjonen som gav opphav til den.
     
  • Pass på at informasjonen om dokumentasjonens kontekstuelle forbindelser omfatter det som er nødvendig for å forstå transaksjonene der dokumentasjonen ble opprettet og brukt.
     

3.3 - Sikre dokumentasjonen ved endringer ved hjelp av risikovurdering

Vurdering, evaluering og håndtering av risiko knyttet til dokumentasjon bør være en del av den overordnede risikostyringen i virksomheten. Det er nødvendig å vurdere risikoen for at man ikke klarer å sikre dokumentasjon ved rettslige, organisatoriske eller teknologiske endringer. 

Risikostyring gir et grunnlag for å ivareta tillitten til dokumentasjon gjennom endringer.

Tiltak

  • Kartlegg hvilket informasjonsinnhold IT-løsningen skal omfatte, og gjennomfør en risikoanalyse av løsningen basert på virksomhetens krav og behov for dokumentasjonen løsningen inneholder.  
     
  • Iverksett sikkerhetstiltak for IT-løsningen, som tilfredsstiller det sikkerhetsnivået som er besluttet for dokumentasjonen.  
     

3.4 - Planlegg avhending av dokumentasjonen

Virksomheten skal ha en plan for hva som skal skje med dokumentasjonen over tid – også når dere ikke lenger har behov for å oppbevare den selv. Riksarkivarens forskrift kapittel 7 gir bestemmelser om bevaring og kassasjon.

Planen skal beskrive hvor lenge dere skal ta vare på ulike typer dokumentasjon, og hvordan dokumentasjonen senere skal avhendes. Avhending inkluderer sikker sletting i henhold til planen, eksport og migrering til andre systemer for videre vedlikehold, og overføring til arkivdepot for langtidsbevaring.

Planlegg hele forløpet fra sikring til avhending, slik at dere kan gjøre hensiktsmessige valg innen arkitektur, infrastruktur og løsninger. Hvordan dokumentasjonen bør sikres er knyttet til formålet og tidshorisonten for sikringen.

Tiltak

  • Utarbeid en plan med tidsfrister for bevaring, kassasjon og overføring til langtidsbevaring. 
     
  • Sørg for at en planlagt og hensiktsmessig avhending av dokumentasjon inngår i den overordnede forvaltningen av dokumentasjon og informasjonssikkerhet. 
     
  • Gjennomfør kun sletting i samsvar med Riksarkivarens forskrift.  
     
  • Utfør slettingen slik at dokumentasjonen ikke kan gjenskapes, eller at det ligger kopier av dokumentasjonen på ukontrollerte lagringssteder. 

     

Ordliste

Anvendelighet
Dokumentasjonen er anvendelig hvis den kan gjenfinnes, hentes frem, vises og tolkes.

Arkiv
Arkiv er all informasjon som virksomheten trenger å ta vare på for en kortere eller lengre periode fordi den har dokumentasjonsverdi.

Attributter
Brukes som en betegnelse på en egenskap ved informasjon.

Autentisitet
Autentisk dokumentasjon er å anse som autoritativt bevis på en transaksjon eller en hendelse, dvs. at det er troverdig at den er det den gir seg ut for å være. Autentisitet sikres gjennom prosedyrene som styrer hvordan dokumentasjon blir registrert. Dette sikrer at de som produserer registreringer er autoriserte og identifiserbare, og at registreringen beskyttes mot uautorisert tilføyelse, sletting, endring, bruk og hemmelighold.

Data
Vil i denne sammenhengen betegne kilder som ennå ikke er fortolket, det vil si ikke tilført mening. Mening tilføres gjennom en fortolking som kan utføres av en datamaskin eller et menneske, eller som et resultat av et samspill mellom disse. Gjentolkbar representasjon av informasjon på en formalisert måte egnet for kommunikasjon, tolkning og prosessering.

Dokument
En logisk avgrenset informasjonsmengde som er lagret på et medium for senere lesing, lytting, framvisning eller overføring.

Dokumentasjon
Informasjon som en organisasjon eller person produserer, mottar og vedlikeholder som bevis og som et aktivum, som et ledd i å oppfylle rettslige forpliktelser eller i en forretningstransaksjon.

Dokumentasjonsforvaltning
Dokumentasjonsforvaltningen i en virksomhet skal sikre effektiv og systematisk kontroll med oppretting, mottak, vedlikehold, bruk og avhending av dokumentasjon. I dette inngår prosesser for å fange inn og vedlikeholde bevis på, og informasjon om, handlinger og transaksjoner i form av dokumentasjon.

Informasjon
Benyttes som en betegnelse på data som er tilført mening. Data som er prosessert, organisert og satt i sammenheng for å gi mening (ISO 30300).

Informasjonsobjekt
En bestemt avgrenset mengde informasjon.

Integritet
Innebærer at dokumentasjonen er komplett og uendret, dvs. at den er beskyttet mot uautoriserte endringer.

Pålitelighet
Dokumentasjonen er pålitelig dersom den representerer en fullstendig og nøyaktig gjengivelse av den transaksjonen eller handlingen som skal dokumenteres. Den må også kunne stoles på ved utførelse av etterfølgende transaksjoner og handlinger

Risiko
Virkningen av usikkerhet knyttet til et mål.

Risikovurdering
Prosess som består av risikoidentifisering, risikoanalyse og risikoevaluering.

Sikring
Å påse at dokumentasjonens egenskaper som bevis ivaretas gjennom informasjons- og styringssystemer og sikkerhetsmodeller.

Uønsket hendelse
En uønsket hendelse i denne sammenhengen er en hendelse som kan føre til et uønsket (negativt) utfall.