GDPR sætter fokus på digital arkivering

GDPR sætter fokus på digital arkivering

Efter at EU’s databeskyttelsesforordning, GDPR, trådte i kraft den 25. maj 2018 er der kommet øget fokus på kommunernes digitale arkivering af data. Med GDPR er mange kommuner blevet opmærksomme på, at de er tvunget til at slette data, som de ikke har brug for. Det giver udfordringer i forhold til arkivloven, der forpligter offentlige myndigheder til at gemme data for eftertiden.
Danmark har som det eneste land i verden, en fællesoffentlig strategi for digital arkivering, som både gælder staten, regioner og kommuner. Arkivering sker af flere grunde. Både af hensyn til borgernes retssikkerhed, og ud fra administrative genanvendelsesbehov i de respektive myndigheder samt fremtidens mulighed for at kunne forske i historien. Der er 100 års tradition for lovgivning, der regulerer arkivområdet, som forpligter det offentlige til at gemme data ”med evigheden for øje”.
EU’s nylige GDPR-forordning (databeskyttelsesloven red.) understreger dog, at kommunerne ikke ejer data, men at de forvalter data på borgernes vegne. Og med GDPR er der sat udløbsdato for, hvor længe kommunerne må opbevare disse data.
På den måde lever slettefristerne fra databeskyttelsesloven altså parallelt med arkivlovens forpligtelse om at kommuner og andre myndigheder skal gemme data for eftertiden. De to love har nemlig hvert deres sigte.
På den ene side skal myndighederne forvalte borgernes data og slette dem efter nogle år, ifølge databeskyttelsesloven (den danske version af GDPR red.), og på den anden side skal myndighederne bevare data for eftertiden, ifølge Arkivloven.
 
 
Udfordringen
Afdelingsleder Mads Neuhard, Københavns Stadsarkiv, sætter ord på det ”dilemma” kommunerne befinder sig i. Han er desuden formand for sammenslutningen Netværket Elektronisk Arkivering (NEA), der er en sammenslutning af 29 kommuner med disse udfordringer tæt inde på livet. 
”Der er i dag to udfordringer med digital arkivering. Den ene knytter sig til arkivloven, den anden til databeskyttelsesloven i Danmark. De to lovgivninger griber ind i hinanden et eneste sted. Myndigheden i Danmark er forpligtet til, ifølge GDPR, at slette data, som myndigheden ikke længere har brug for. Hidtil har myndighederne anmeldt sine slettefrister for data i fagsystemer til Datatilsynet. Det skal kommunerne i stedet for anmelde til deres Data Protection Officer. En god tommelfingerregel for borgerrettede sager er, at fem år efter en sag er lukket, skal data slettes i fagsystemet,” siger Mads Neuhard.
I GDPR forsøger man at balancere borgernes ret til at ”blive glemt” op mod bevaringsmæssige hensyn i samfundets tjeneste. Her spiller arkivloven en nøglerolle.
 
Arkivloven siger, at data skal arkiveres. Arkivloven siger også, at data fra it-systemer skal arkiveres i et ”system-uafhængigt format”. Det betyder, at data omformes til en arkiveringsversion, der består af et konverteret udtræk af data.
”Vi får data til digital arkivering fra et kommunalt it-system og bagefter, når arkiveringen er godkendt, kan kommunen slette dataene i deres it-systemer. Så har myndigheden på én gang overholdt sine forpligtelser i forhold til begge lovgivningsområder, og kan give borgere, forskere og myndigheden selv adgang til data i arkivet, efter de adgangsregler, der måtte være gældende. F.eks. i forbindelse med behandling af sager om aktindsigt,” siger Mads Neuhard, der på den måde forklarer, hvordan kommunerne kommer om ved at løse den udfordring, der opstår i krydsfeltet mellem databeskyttelsesloven og arkivloven.
”Rent lovgivningsmæssigt er kommunale arkiver en del af kommunen, men de er også en selvstændig dataansvarlig enhed ved siden af kommunen. De data, der bevares i arkiverne, må ikke være tilgængelige for sagsbehandlere i kommunen, men skal være adskilt logisk og funktionelt fra kommunens driftsmiljø,” siger Mads Neuhard.
Digital arkivering er i databeskyttelsesmæssig sammenhæng et alternativ til sletning.
 
Arkivering koster penge
En gennemsnitlig kommune vil have bevaringsværdige informationer i en lang række it-systemer, og danske kommuner bruger årligt et trecifret millionbeløb på digital arkivering. Selv om det er et anseligt beløb er det ikke en opgave, der hidtil har haft den store bevågenhed i kommunernes it-afdelinger.
Men med GDPR-forordningen er der opstået en ny situation. For kommunerne er blevet mere bevidste om, at de skal arkivere, hvis de vil overholde slettefristerne. Dermed kommer der også fokus på de omkostninger der knytter sig digital arkivering.
”Data skal gemmes ensartet uanset ESDH-system og uanset fagsystem, så alle data fra alle kommuner er gemt på samme måde i det digitale arkiv.
 
 
Data trækkes ud af systemer og konverteres til en arkiveringsversion, så data er gemt i et format, der kan anvendes i fremtiden. Al funktionalitet i
et proprietært system er skrællet af,” siger Lars Bo Hansen, der er digital arkivar i Københavns Stadsarkiv.
”Denne beskrivelse af opgaven vil være fremmed for de fleste, men brydes den ned i praktiske elementer gemmer der sig kendte it-opgaver, såsom: Dataudtræk, konvertering af dokumenter, samt dokumentation af systemet på metadataniveau. Den manglende praktiske erfaring om digital arkivering hos mange kommuner om, hvad opgaven indebærer, gør at leverandørerne har mulighed for at opretholde et ”de facto monopol” på arkiveringsversionen fra egne systemer og dermed undgå direkte konkurrence om opgaven,” uddyber han.
”Der er altså gode muligheder for at opnå økonomiske besparelser, hvis kommunerne opnår mere viden om digital arkivering. Det bedste råd herfra er at tænke arkivering ind i hele implementeringen, når man køber et it-system,” siger Lars Bo Hansen.

 
FAKTA
Netværket Elektronisk Arkivering (NEA)
Et netværk med 29 kommuner
 
”NEA har siden 2007 handlet om at samle kompetencer og udstyr, med henblik på at skabe stordriftsfordele og kvalitet i arkiveringen for medlemmer af netværket. Der er en række fordele ved at være en del af et digitalt arkivnetværk som NEA,” fortæller afdelingsleder Mads Neuhard, Købensdhavns.
 
”Kommunerne får mulighed for at trække på specialiseret viden, og få rådgivning om alt fra kontraktindgåelse og leverandørvalg til porteføljestyring og langtidsbevaring. Dertil kommer en række Archive-As-A-Service-løsninger mhp. kvalitetssikring af arkiveringsversionerne og adgang til dem efterfølgende. NEA løfter så at sige den mest komplekse del af arkiveringsopgaven væk fra den lokale kommune, og bidrager til at der træffes rationelle valg, mens kommunen selv kan håndtere de lovregulerede forpligtelser.”
 
NEA starter i 2019 en oplysningskampagne sammen med KL, der skal skabe forståelse for og viden om digital arkivering i praksis. Praktisk viden og kendskab til alternative løsninger skal give kommunerne mulighed for at tage initiativ til at gå i dialog med leverandørerne for at opnå økonomiske besparelser ved digital arkivering. Det kan ske ved at få flere leverandører til at byde på opgaven eller ved at kommunen selv påtager sig (dele af) opgaven. Kampagnen vil også omfatte forslag til krav om digital arkivering, som kommunerne bør stille til leverandørerne.
 
 
 
FAKTA
Bekendtgørelse 184 af 26. januar 2018 beskriver, hvilke dele af kommunernes informationsdannelse, der skal bevares for eftertiden.
 
Af Københavns Kommunes ca. 1000 it-systemer, indeholder ca. 60 it-systemer data, der efter arkivloven er bevaringsværdige for eftertiden.
 
I NEA er der gennem de seneste 12 år arkiveret næsten 1.500 arkiveringsversioner indeholdende 71 mio. filer med en samlet datamængde på 58 Terabytes
 
Bekendtgørelse 1007 af 20. august 2010 fastsætter de tekniske specifikationer for udformningen af en arkiveringsversion.