INNSYN
Sentralisert innsynsbehandling
Trondheim kommune har hatt sentralisert innsynsbehandling siden 2011. Det betyr at hovedvekten av innsynskrav behandles av Byarkivet. Vi behandler innsynskrav for ca. 200 enheter, samt byråd og byrådsavdelingen med stab.
Trondheim kommune har totalarkiv, noe som betyr at Byarkivet har ansvar for hele arkivdanningsfasen og er depot for kommunen. 1. september 2024 ble IT-Tjenesten og Trondheim byarkiv slått sammen til en enhet. Det nye navnet er Trondheim DIGITAL. I denne teksten brukes for enkelhets skyld enhetsnavnet Trondheim byarkiv.
Kommunens dokumentasjon
Trondheim kommune har ca. 15 000 ansatte som produserer dokumentasjon i ulike arkiv- og fagsystemer. Det er deponert ca. 30 000 hyllemeter med papirarkiver fra nåværende Trondheim kommune, samt de tidligere kommunene Klæbu, Strinda, Leinstrand, Byneset og Tiller, i forbindelse med kommunesammenslåinger i 2020 og 1964. Kommunen har hatt elektronisk journal siden 1990-tallet, og hovedvekten av enheten har vært fullelektronisk siden 2011. Det har vært noen unntak, så det vil fortsatt komme til noe mer papirarkiv.
Videre har vi ca. 200 fagsystemer med varierende grad av bevaringsplikt eller bevaringsverdighet. I noen tilfeller er det integrasjon mot sakarkivet (tidligere ESA, nå Elements) eller mot arkivkjernen TK-arkiv (Documaster). Andre systemer skal i fremtiden deponeres, med eller uten innsynsløsning. I noen tilfeller blir systemene kassert. Vi på innsynsteamet har i liten grad tilgang til de aktive fagsystemene, men må innhente opplysninger fra fagenhetene ved behov. Vi har tilgang til alle de deponerte fagsystemene, enten via en egen innsynsløsning eller ved at kolleger som arbeider med digital deponering, henter opplysninger fra systemene.
Innsynskravets vei
Når kommunen mottar et innsynskrav, blir dette opprettet som en selvstendig sak i vårt sakarkivsystem, ikke i den saken det bes om innsyn i. Det legges samtidig inn en lenke mellom innsynskravet og journalposten det bes om innsyn i, noe som gjør at vi enkelt kan se om det er gitt innsyn i en eller flere journalposter i en sak. Slik kan innsynskrav i samme journalpost likebehandles, og vi kan enkelt få oversikt over hva som er gitt ut tidligere.
Det er ikke mulig å si sikkert hvor mange forespørsler om innsyn som rettes til Trondheim kommune per år, for folk kan kontakte kommunen i alle slags kanaler. Bestiller skal kunne kontakte kommunen på ett sted og få de opplysningene de har behov for eller krav på, uten å måtte kjenne til kommunens organisering.
Systemene er satt opp slik at de henvendelser som kommer inn via hovedkanalene, rettes til Byarkivet. Vi mottar ca. 8000 henvendelser per år. Henvendelsene deles inn i tre hovedkategorier: Innsyn etter offentleglova (offinns), partsinnsyn (pinnsyn) og tilbakelån eller oppslag for enhetene.
Vår kategori pinnsyn inkluderer også slekts- og hobbyhenvendelser, da vi mottar relativt få slike henvendelser per år. Det er ikke hensiktsmessig med en separat kategori.
Hovedvekten av forespørslene kommer inn via skjema (interne og eksterne) og direkte fra postlisten. Når det sendes bestillinger via disse løsningene, blir det automatisk opprettet én sak per henvendelse, og dette skjermes i henhold til lovverk og våre rutiner. Ca. 1500–2000 henvendelser sendes inn via e-post. Disse henvendelsene kan være mer kompliserte med tanke på både taushetsplikt og personvern.
Personvern og taushetsplikt
Når vi snakker med saksbehandlere i forbindelse med innsynskrav, merker vi at det ofte er lett å blande sammen personvern og taushetsplikt. Det er ikke det samme. At noe er en personopplysning, betyr ikke at det skal unntas offentlighet.
Så vidt vi forstår, er det ikke krav om selvstendig behandlingsgrunnlag for å kunne behandle innsynskrav etter offentleglova, så lenge behandlingsgrunnlaget er på plass i første omgang. Dette er utdypet i Prop. 158L (2020–2021), punkt 41.1., og i personvernnemndas avgjørelse i sak pvn-2018-12, hvor de skriver: “Nemnda legger etter dette til grunn at rettstilstanden etter personopplysningsloven 2018 og GDPR er slik at utlevering av personopplysninger «i samsvar med» offentleglova ikke krever behandlingsgrunnlag i artikkel 6 og 9.”
Personopplysningsloven gjelder for levende og identifiserte mennesker, mens taushetsplikten også gjelder etter en persons død. Normalt faller taushetsplikten bort etter 60 år, jf. forvaltningsloven § 13 c tredje ledd. Det er i tillegg noen unntak i forvaltningslovforskriften og i særlover. Når vi arbeider med innsyn, er vi derfor mye mer opptatt av taushetsplikt enn av personvern.
Offentleglova skiller tydelig på hvorvidt man skal skjerme opplysninger eller dokumenter. Når det er snakk om taushetsplikt, er det kun mulighet til å unnta opplysninger. Det er noen få unntak, der de taushetsbelagte opplysningene utgjør det vesentligste av dokumentet, men i de fleste tilfeller kan vi gi delvis innsyn. Vi må skjerme opplysninger som gjør det mulig å identifisere personene det gjelder, og forsøker etter beste evne å gi ut opplysninger om sakens faktum eller kritikk av kommunen.
Når vi mottar innsynskrav i dokumenter som inneholder taushetsbelagte opplysninger, baserer vi ikke vurderingene på magefølelse. Selv om det er en grad av skjønn, arbeider vi med å sikre likebehandling og jobber aktivt med kompetansebygging.
Lover og hjelpemidler
Vi er godt kjent med praksis på feltet. I dette arbeidet bruker vi offentleglova og taushetspliktbestemmelsene i forvaltningsloven, men også andre hjelpemidler.
Det viktigste hjelpemiddelet er «Rettleiar til offentleglova», med nyere tillegg. Vi bruker også kommentarutgaver av lovtekster (offentleglova, forvaltningsloven og personopplysningsloven) og forarbeidene til lovene. Videre bruker vi aktivt uttalelser fra Justisdepartementets lovavdeling og Sivilombudet. Også vår egen klagebehandling gir nyttig innsikt. Avslag som blir påklaget til statsforvalteren, og som ender med korrigering og/eller bekreftelse, gir oss en pekepinn på om vi behandler innsynskrav i henhold til gjeldende regelverk. Vi er også aktive på einnsyn og plager statsforvalterne rundt omkring med diverse innsynskrav for å undersøke hvordan klager blir behandlet ellers i landet. Vi følger også med på behandling hos andre klageorganer. Fra et personvernperspektiv er det først og fremst Datatilsynet og Personvernnemnda, men det er også mye interessant hos Sivilombudet.
Fordeler med sentralisert innsyn
Det er flere fordeler med sentralisert innsynsbehandling slik vi har i Trondheim kommune. For det første er det svært få i virksomheten med bedre kjennskap til organisasjonen, i nåtid og fortid. Det at vi har tilgang til papirarkiver, deponerte fagsystemer og elektroniske saksarkivsystemer, gjør at vi har oversikt over endringer og omorganiseringer og i de fleste tilfeller kan finne dokumentasjonen.
Vi har også svært god kjennskap til nåværende organisering og ansvarsdeling, slik at vi enkelt kan henvende oss til rett enhet for oppslag i aktive fagsystemer. Innsynskrav kan også omfordeles til fagenheten ved behov i organisasjonen.
Ved å ha sentralisert saksbehandling av innsynskrav har vi også bygget opp en spisskompetanse på offentleglova. Det gjør at de aller fleste innsynskrav kan behandles innen lovpålagte frister. Det gjør også at vi sikrer likebehandling. Vi behandler innsynskrav så likt som mulig, både når det gjelder personvern, taushetsplikt og merinnsynsvurdering. Innsynskrav behandles også likt uavhengig av om det kommer fra privatpersoner, lokalaviser eller riksmedia.
Fordi vi behandler innsynskrav fra alle enheter, kan vi kjenne igjen saker og personer på tvers av enheter. Hvis et sykehjem registrerer et avvik, helsetilsynet eller statsforvalteren behandler en tilsyns- eller klagesak og personaltjenesten eller enheten sier opp en ansatt som følge av avviket og tilsynssaken, kan vi ivareta taushetsplikten overfor pasienten, de pårørende og den ansatte. Dersom disse innsynskravene hadde blitt behandlet av tre ulike enheter, hadde man ikke hatt mulighet til å sikre at opplysninger fra ett av dokumentene ikke kan brukes for å identifisere noe i et av de andre.
En ny type innsyn
Med den nye personopplysningsloven har vi merket en ny kategori forespørsler hvor folk ber om innsyn etter artikkel 15. I tillegg til å be om all dokumentasjon ber de også om informasjon om logg fra systemene og behandlingsgrunnlag for håndtering av personopplysninger. De fleste slike henvendelser inneholder skjema fra Datatilsynets nettsider.
Det er utfordrende å ha gode rutiner for å behandle denne typen innsynskrav. Eller, vi veit hvilke opplysninger som behandles i ulike systemer. Hvis du går på skole, eller du er forelder til barn som går på skole, så veit vi at det finnes personopplysninger i fagsystem for skoler. Vi veit også hvilke opplysninger som normalt registreres i disse systemene. Vi veit også hvilke opplysninger som er registrert om du mottar tjenester fra helsesektoren, eller hvis du er ansatt i kommunen. Men vi har ikke kjennskap til hvilke tjenester de ulike mottar.
Skjemaet fra Datatilsynet tar ikke helt høyde for kompleksiteten i hvilke tjenester en kommune tilbyr. Hvis en person født på 2000-tallet, eller den foresatte, ber om innsyn etter artikkel 15, kan det finnes opplysninger på papir, i flere ulike elektroniske systemer for elevmappe og kommunikasjon og i ulike sakarkivsystem. For Trondheims del vil det være TK-elev (elektronisk elevmappe), TK-hist (sakarkiv 2004–2019), TK-sak (sakarkiv 2020–2023), Tk-sak Elements (sakarkiv 2023–dd), Extens (deponert fagsystem for karakterer), meldeboka (deponert kommunikasjonssystem) og Vigilo (aktivt fagsystem for karakter og kommunikasjon). I noen tilfeller er det enkelt å hente logg over lesing og redigering i disse systemene, mens det i andre tilfeller ikke nødvendigvis er bevart logg. Det gjelder særlig for de eldre systemene.
Dette er det vi må gjennomgå når de ber om innsyn i én kategori opplysninger, altså skole. Da kan vi enkelt identifisere hva slags personopplysninger som er registrert i et system, og kan enkelt finne opplysningene som er bevart. Når de derimot ber om alt, av typen “Jeg vil se mappa mi, med logg”, så er det nesten umulig. Det vil antageligvis bli både enklere og vanskeligere fremover.
Med dagens lovverk er det en del krav om beskrivelse av systemene og logging i systemene som kan gjøre det enklere å finne ut hva som er eller skal være registrert. Men det blir også stadig flere fagsystemer og fellesløsninger, så det blir vanskeligere å ha oversikt for alle systemer.
Det viktigste for å behandle denne typen innsynskrav og for å faktisk behandle personopplysninger i tråd med lovens intensjon blir derfor å ha oversikt over hvilke systemer vi bruker, og hvilke personopplysninger som blir registrert i dem. Det vil i alle fall gjøre det mulig å gi generelle svar som viser hvilke opplysninger vi kan ha om enkeltpersoner, og at de kan komme med oppfølgingsspørsmål ved behov. Men slik situasjonen er nå, med mange eldre fagsystemer som ikke nødvendigvis har den funksjonaliteten som kreves, er det svært vanskelig å besvare innsynskrav etter artikkel 15 i personopplysningsloven.
Oppsummert
I vårt daglige arbeid med innsyn i Trondheim kommune fokuserer vi i begrenset grad på personvern, men vektlegger heller taushetsplikt. Så lenge kommunen har behandlingsgrunnlag for å samle inn og bevare opplysningene, har vi ikke behov for selvstendig grunnlag for å behandle innsyn etter offentleglova.
Kort oppsummert kan vi si at vi fokuserer på taushetsplikt på individnivå, og at vi arbeider med personvern på systemnivå.