2008-05-21 Riktlinjer för diariet på Internet Beslutad av Kommunstyrelsen den 4 juni 2008, 246/2008 KOMMUNKANSLIET ADRESS Nämndhuset 442 81 Kungälv TELEFON 0303-23 80 00 vx FAX 0303-132 17 E-POST kommunstyrelsen@kungalv.se HEMSIDA www.kungalv.se
2(8) 1. INLEDNING 3 1.1 UPPDRAG 3 1.2 SYFTE 3 2. TEKNISKA ÖVERVÄGANDEN 3 3. URVAL AV INFORMATION 3 3.1 SEKRETESS 3 3.2 PERSONUPPGIFTER 3 3.4 ANPASSNINGAR AV INFORMATION 4 4. INFORMATION I ANSLUTNING TILL DIARIET 5 5. SKRIVREGLER 5 6. UTVÄRDERING OCH UTVECKLING 5 7. EXEMPEL PÅ ANPASSNINGAR 6 7.1 DIARIEPOST SOM INTE BEHÖVER ANPASSAS FÖR INTERNETPUBLICERING 6 7.2 ÄRENDEN MED KÄNSLIGA UPPGIFTER ENLIGT 13 PUL 6 7.3 ÄRENDE DÄR EN ANSTÄLLD FÖREKOMMER MEN INTE SOM HANDLÄGGARE 7 8. CHECKLISTA FÖR BEDÖMNING AV ENSKILDA DIARIEPOSTER 8
3(8) 1. Inledning Internet ger nya möjligheter för myndigheterna att förverkliga intentionerna bakom offentlighetsprincipen genom att öka insynen i myndigheternas verksamhet och sprida information till medborgarna, till exempel genom att göra diarier och andra handlingar tillgängliga på Internet. Dessa riktlinjer är framtagna för vägleda berörd personal så att hanteringen av dokument och annat digitalt material sker på ett säkert sätt. Riktlinjerna ska ses över vart fjärde år. 1.1 Uppdrag Kommunfullmäktige gav den 7 mars 2005 de dåvarande nämnderna i uppdrag att prioritera införandet av lönsamma, transaktionstäta e-servicetjänster. Till grund för beslutet låg en handlingsplan för införande av e-tjänster i Kungälvs kommun. Diariet på webben var en av flera planerade e-tjänster. 1.2 Syfte Urvalet av externt tillgängliga uppgifter ur diariet bör vara inriktat mot att uppfylla syftet med diarieföringen, det vill säga att underlätta insyn. Detta innebär att inte att man för säkerhets skull bör lägga ut mer av diariet än som krävs enligt reglerna. 2. Tekniska överväganden För att säkra dataintrång ligger Internetdiariets databas på en egen server. Uppgifter från originaldatabasen förs rutinmässigt över en gång per dygn. De uppgifter som förs över är rensade från personuppgifter och sekretesskyddad information. För att minimera risken för kartläggning av enskilda kan sökresultat inte sparas så att man direkt kan hänvisa till resultatet med en länk. Postlista och andra typer av statistiska dokument publiceras av samma anledning inte i HTML-, PDF- eller Office-format. 3. Urval av information För att den personliga integriteten inte ska kränkas måste vissa uppgifter döljas. Det är viktigt att observera att det är enskilda uppgifter som ska döljas, inte hela diarieposter. Med detta avses att känslig information som finns i diariet inte blir tillgänglig via Internet. 3.1 Sekretess En handling eller ett diarium skall göras tillgänglig för allmänheten i de delar som den inte är hemlig. Om uppgifter görs allmänt tillgängliga innebär detta att myndigheten inte kan kontrollera vem som efterfrågar vilka uppgifter. Man bör därför utgå från den strängaste tillämpningen av sekretessreglerna. De uppgifter som får publiceras på Internet ska vara harmlösa. En myndighet som med stöd av särregleringen lämnar ut uppgifterna via Internet behöver därför normalt sett inte göra någon särskild sekretessprövning enligt 7 kap. 16 SekrL. 3.2 Personuppgifter Personuppgifter som pekar ut den registrerade får inte föras över. Detta förbud gäller inte en förtroendevald när det gäller hans eller hennes uppdrag. Förbudet gäller inte heller om övriga personuppgifter som rör den registrerade inte är sådana som avses i 13 eller 21 i PuL (Dessa paragrafer fastställer vad som bedöms som känsliga uppgifter och innebär ett förbud att behandla personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös- eller
filosofisk övertygelse, eller medlemskap i fackförening. Det är också förbjudet att behandla sådana personuppgifter som rör hälsa och sexualliv. Uppgifter om lagöverträdelser är även att betrakta som känsliga uppgifter). Förbudet gäller heller inte om det saknas skäl att anta att det finns risk för att den registrerades personliga integritet kränks genom överföringen. När den sekretessbelagda informationen dolts måste diariet anpassas enligt bestämmelserna i PUF (Personuppgiftsförordningen). Huvudregeln är att den information som läggs ut på Internet inte får innehålla personuppgifter som direkt pekar ut den enskilde, t ex namn, personnummer eller samordningsnummer. Om övriga uppgifter som rör den registrerade inte är känsliga, (rör lagöverträdelser eller det saknas skäl att anta att det finns risk att den registrerades personliga integritet kränks genom överföringen) behöver övriga personuppgifter, t.ex. namn inte döljas. I speciella fall kan redan uppgiften om att en person förekommer i ett ärende hos en myndighet inom ett visst verksamhetsområde vara av så integritetskänslig natur att den registrerades personliga integritet kränks om uppgifter om denne publiceras. När det gäller anställda inom Kungälvs kommun finns normalt inga integritetsbetingade hinder för att låta deras personuppgifter vara externt tillgängliga. Även anställda hos andra offentliga organ hör normalt till denna kategori. Det kan till exempel gälla en uppgift om en tjänsteman vid en annan myndighet som yttrat sig i ett ärende. Om uppdrag lagts ut på en extern konsult bör uppdragstagaren jämställas med en anställd och hans eller hennes namn bör kunna läggas ut. Namn på handläggare bör göras externt tillgängliga om det inte finns tungt vägande skäl som talar för motsatsen. Då den anställde förekommer i ett personalärende eller om den anställde är part i ett förvaltningsärende bör inte den anställdes namn läggas ut. 4(8) 3.4 Anpassningar av information Av integritetsskäl är det olämpligt att informationen i diarierna finns tillängliga på Internet under lång tid efter det att de ärenden som berörs är avslutade. Informationen i webbdiariet ligger ute två år efter ärendet avslutats. Webbdiariet ska i första hand uppfylla ett mer kortsiktigt insynsbehov 1. Ett långsiktigt behov uppfylls av det ordinarie diariet och personal som vid behov kan söka information för den som är intresserad. Utformningen av informationen måste anpassas med hänsyn till integritetsaspekter och begriplighet. Utformningen av ärendemeningar och annan information i diariet får inte bli sådan att diariet inte kan användas internt. Till exempel får inte sökbarheten eller möjligheten att använda diariet för ärendestatistik försämras. ar bör utformas så att det klart framgår vad ärendet rör. Detta kan i vissa fall leda till en konflikt mellan öppenhet och integritetsskydd. Därför kan sättet att skriva ärendemeningar behöva anpassas för att möjliggöra publicering av diariet på Internet. Se rubriken Skrivregler, sidan 5. Ärenden som inte innebär myndighetsutövning eller liknande handläggning, kan ha ett mycket stort informationsvärde för den som vill följa ett ärendes gång. Dessa ärenden innehåller normalt ingen känslig information och kan därför ges en mer individualiserad ärendebeteckning. När det gäller interna ärenden, till exempel personalärenden, bör man vara varsam vid utformning av ärendemeningar eftersom det av den registrerade kan upplevas som kränkande även om ärendena inte innehåller några känsliga uppgifter enligt PuLs mening. 1 Enligt riktlinjer från Statskontoret
4. Information i anslutning till diariet För att göra det praktiskt möjligt för medborgarna att använda diariet finns användarinstruktioner på hemsidan. Där framgår: Vad ett diarium är och hur det ska användas Vilka typer av handlingar som diarieförs och vilka som inte diarieförs Hur diariet på webben skiljer sig från ordinarie diariet PUF:s allmänna regler om diarier på Internet Med vilken frekvens diariet uppdateras och om uppdateringstakten skiljer sig mellan det ordinarie diariet och webbdiariet. Om förkortningar används i diariet, ska dessa finnas med i det nätbaserade diariet och förklaras i anslutning till det. Anvisningar om hur man får tag i de handlingar som kan sökas i diariet. Besöksadress och öppettider samt telefonnummer till medborgarservice. Information om hur man når kommunens arkivfunktion. I anslutning till diariet är det också lämpligt att lämna information om PUL, framför allt 23-25. Denna information bör vända sig både till dem som kan förekomma i diariet och till dem som tar del av information i diariet. 5. Skrivregler För att kunna lägga ut diariet på Internet krävs att ärendemeningarna anpassas till detta utifrån sekretess och PuL samt att texten ska vara läsbar. Det är viktigt att anpassningarna ändå visar vad ärendet rör och inte blir intetsägande. ar för vanligt förekommande ärenden kan med fördel standardiseras. Det man behöver ta extra hänsyn till är: Förkortningar Personuppgifter på fysiska personer Sekretess Bortsett från person- och samordningsnummer, som aldrig får publiceras, behöver övriga personuppgifter, exempelvis namn och adress inte döljas. Detta förutsätter att övriga uppgifter inte är känsliga (13 PuL) eller rör lagöverträdelser (21 PuL). Det är viktigt att det inte finns skäl att anta att den registrerades personliga integritet kränks. Integritetskänsliga uppgifter förekommer exempelvis i ärenden som rör en persons brottslighet eller ärenden som rör uppehållstillstånd eller motsvarande. Uppgifter om namn på handläggare bör alltid publiceras. 6. Utvärdering och utveckling Webbdiariet kommer fortlöpande utvärderas och ligger till grund för utvecklingsarbete. Förvaltningen bör kontinuerligt se över formuleringen av ärendemeningar och registreringsrutiner i övrigt. 5(8)
6(8) 7. Exempel på anpassningar 7.1 Diariepost som inte behöver anpassas för Internetpublicering Ärendet rör myndighetens ordinarie verksamhet, t.ex. tillståndsgivning Ärendet rör en juridisk person Diarieposten innehåller ingen sekretessbelagd information I diariet och på Internet Diarienummer Registreringsdatum 1/2008 042 Rekrytering Karin Karlsson Lisa Niklasson Ansökan om bygglov fastigheten Bodarna 34 7.2 Ärenden med känsliga uppgifter enligt 13 PUL Ärendet rör myndighetens ordinarie, utåtriktade verksamhet Diariet innehåller uppgifter som är känsliga enligt 13 PUL Diariet innehåller personnummer I diariet Diarienummer Registreringsdatum 2/2008 040 Sjukpenning Karin Karlsson 451207-5018 Peter Andersson Ansökan om sjukpenning På Internet Diarienummer Registreringsdatum 2/2008 040 Sjukpenning -- Peter Andersson Ansökan om sjukpenning
7(8) 7.3 Ärende där en anställd förekommer men inte som handläggare Ärendet rör myndighetens inre administration Diarieposten innehåller ingen information som är känslig enligt 13 PUL Diarieposten innehåller ingen sekretessbelagd information Det kan antas om den registrerades integritet kränks genom överföringen I diariet Diarienummer Registreringsdatum 3/2008 04 Personalärende Kent Karlsson 630127-5189 Arne Andersson Beslut om entledigande På Internet Diarienummer Registreringsdatum 23/2008 04 Personalärende -- Arne Andersson Beslut om entledigande
8(8) 8. Checklista för bedömning av enskilda diarieposter Innehåller diarieposten personeller samordningsnummer Avlägsna person- eller samordningsnummer! Avser diarieposten en vanligt förekommande ärendetyp Diarieposten anpassas enligt rutin, som på standardiserat sätt innefattar bedömning enligt övriga punkter Innehåller diarieposten sekretessbelagd information Ta bort den sekretessbelagda informationen Innehåller diarieposten känsliga uppgifter (13 PUL) eller uppgifter om lagöverträdelser (21 PUL)? Anonymisera diarieposten! Finns det skäl att anta att det föreligger risk för att den registrerades personliga integritet kränks genom överföringen? Anonymisera diarieposten! PUBLICERA