8. Dokumentation, spårbarhet och kvalitetssäkring av maskeringsbeslut

Översikt: Varför dokumentation och spårbarhet är avgörande

I de två föregående modulerna fokuserade du på hur man maskerar och hur det skiljer sig mellan olika dokumenttyper. I den här modulen handlar allt om hur du visar i efterhand vad du gjorde, varför du gjorde det och vem som ansvarar.

I svensk förvaltning är detta nära kopplat till bl.a.:

• Offentlighets- och sekretesslagen (OSL, 2009:400) – reglerar om uppgifter får/inte får lämnas ut.
• Tryckfrihetsförordningen (TF) – rätten att ta del av allmänna handlingar.
• Förvaltningslagen (2017:900) – krav på dokumentation av viktiga beslut.
• Arkivlagen (1990:782) och myndighetens arkiv-/informationshanteringsplan – hur handlingar (inkl. omaskerade original) ska bevaras.
• Eventuellt GDPR/dataskyddsförordningen (EU 2016/679) – när personuppgifter ingår.

I praktiken innebär detta att:

• Varje sekretessprövning ska gå att följa i efterhand.
• Varje maskeringsbeslut ska vara motiverat, spårbart och kontrollerbart.
• Originalversionen (omaskerad) ska hanteras säkert men ändå vara åtkomlig för behöriga vid tillsyn, överklagande eller intern uppföljning.

I den här modulen får du:

1. En enkel struktur för dokumentation av sekretessbedömning.
2. Konkreta exempel på versionshantering och lagring av original.
3. Förslag på rutiner för dubbelkontroll och kollegial granskning.
4. Stöd för att formulera checklistor så att dokumentation och kontroll inte glöms bort.

> Mål: Efter modulen ska du kunna beskriva hur maskeringsbeslut dokumenteras, föreslå rutiner för dubbelkontroll och formulera checklistesteg för kvalitetssäkring.

Steg 1: Vad behöver dokumenteras vid en sekretessprövning?

Utgångspunkten: En utomstående granskare ska i efterhand kunna förstå hur du tänkte.

Miniminivå vid en sekretessprövning (oavsett om det slutar med maskering eller full utlämning):

1. Vilken handling och vilken version?

• Diarienummer/ärendenummer
• Dokumenttitel
• Versionsbeteckning eller datum/tidsstämpel

1. Vilken begäran?

• Datum när begäran om utlämnande kom in
• Vem som begär (om känt och relevant)
• Hur begäran formulerades (t.ex. "samtliga inspektionsrapporter från 2024 avseende X")

1. Rättslig grund för sekretess

För varje maskerad del bör du ange:

• Aktuell paragraf i OSL (t.ex. 30 kap. 23 § OSL om företagssekretess, 21 kap. 1 § OSL om känsliga personuppgifter)
• Kort motivering: vilken skada eller men skulle uppstå om uppgiften röjs?
• Om det finns en skaderekvisitbedömning (t.ex. "det står klart att" vs. "kan antas att")

1. Intresseavvägning och proportionalitet

• Har myndigheten vägt offentlighetsintresset mot sekretessintresset?
• Har man övervägt partiell maskering i stället för att neka hela handlingen?

1. Beslutsfattare och datum

• Vem gjorde initial bedömning?
• Vem fattade formellt beslut (om det krävs en särskild beslutande funktion)?
• Datum för beslutet.

> Praktiskt tips: Skapa en standardiserad dokumentationsmall (t.ex. formulär i ärendehanteringssystemet) så att du inte missar någon av punkterna ovan.

Steg 2: Exempel på dokumentation av maskeringsbeslut

Föreställ dig ett tillsynsärende hos en svensk myndighet 2025 där ett företag har inspekterats. En journalist begär ut inspektionsrapporten.

Exempel på enkel men tillräcklig dokumentation:

> Ärende: 2025-12345

> Handling: Inspektionsrapport – Företag AB, dnr 2025-12345-1

> Version: Original upprättad 2025-03-15, omprövad 2025-04-02

>

> Begäran om utlämnande:

> Inkommen 2025-04-01 via e-post. Begäran avser "hela inspektionsrapporten inklusive bilagor".

>

> Sekretessprövning:

> 1. Personuppgifter om anställda (namn, privata telefonnummer) på s. 3, 5 och 7.

> - Rättslig grund: 21 kap. 1 § OSL (sekretess för känsliga personuppgifter) samt 39 kap. 3 § OSL (uppgift om enskilds personliga förhållanden i tillsynsverksamhet).

> - Motivering: Utlämnande kan medföra integritetsintrång för enskilda anställda.

> - Åtgärd: Uppgifterna maskeras.

>

> 2. Tekniska specifikationer och produktionsmetoder på s. 8–9.

> - Rättslig grund: 30 kap. 23 § OSL (sekretess för företagshemligheter).

> - Motivering: Utlämnande kan antas medföra ekonomisk skada för företaget, då uppgifterna rör unik produktionsmetod som inte är allmänt känd.

> - Åtgärd: Partiell maskering av specifika stycken och tabeller. Övrig text lämnas ut.

>

> Intresseavvägning:

> Rapporten innehåller betydande uppgifter av allmänt intresse (tillsyn av arbetsmiljö och säkerhet). Dessa lämnas ut i så stor utsträckning som möjligt. Endast uppgifter som bedömts omfattas av sekretess maskeras.

>

> Beslutsfattare:

> Handläggare: A. Svensson

> Beslutande chef: B. Karlsson

> Datum för beslut: 2025-04-02

Notera att exemplet:

• Kopplar varje maskering till konkret paragraf och motivering.
• Visar vilka sidor/stycken som berörs.
• Dokumenterar vem som gjort vad och när.

Detta gör det möjligt att senare:

• Förklara beslutet för den som begärt ut handlingen.
• Hantera ett överklagande till kammarrätten.
• Genomföra intern kvalitetsuppföljning.

Steg 3: Versionshantering – skilj på original och maskerad version

En av de vanligaste riskerna är att originalet försvinner eller blandas ihop med den maskerade versionen. Då blir det svårt att:

• Göra en ny sekretessprövning vid en senare begäran.
• Hantera ett överklagande (domstolen behöver ofta se originalet).
• Följa upp om tidigare maskeringar varit för snäva eller för generösa.

Grundprinciper för versionshantering:

1. Originalversion (omaskerad)

• Ska alltid bevaras enligt myndighetens arkiv-/informationshanteringsregler.
• Ska märkas tydligt, t.ex.:
• Filnamn: `Inspektionsrapport2025-12345original_2025-03-15.pdf`
• Metadata: "Status: Original, omaskerad".
• Åtkomst bör begränsas till behöriga (t.ex. genom behörighetsstyrning i dokumenthanteringssystemet).

1. Maskerad version

• Skapa alltid en separat fil.
• Filnamn: `Inspektionsrapport2025-12345maskerad_2025-04-02.pdf`
• Länka i metadata eller ärendeanteckning till vilket original den bygger på.

1. Historik över omprövningar

• Om samma handling prövas flera gånger (t.ex. efter överklagande):
• Skapa nya maskerade versioner vid ändrad bedömning, t.ex.:
• `...maskeradv2_2025-05-10.pdf`
• Dokumentera vad som ändrats och varför (t.ex. domstolsbeslut eller ny praxis).

1. Tekniskt skydd mot återställning

• Säkerställ att maskering i digitala dokument är irreversibel (se modul 6).
• Spara gärna en intern arbetskopia under arbetet, men se till att slutversionen som lämnas ut är "platt" (t.ex. PDF där maskade delar inte går att avtäcka).

> Nyckelidé: Originalet är beviset på vad som faktiskt fanns i handlingen. Den maskerade versionen är en bearbetad handling som visar hur sekretessprövningen genomförts vid ett visst tillfälle.

Steg 4: Övning – planera versionshanteringen

Föreställ dig att du är ansvarig för dokumenthantering på en tillsynsmyndighet. Ni har precis infört ett nytt ärendehanteringssystem.

Uppgift: Skissa, i punktform, en enkel intern rutin för versionshantering av maskerade handlingar. Använd följande frågor som stöd:

1. Hur ska originalet namnges och var ska det lagras?
2. Hur ska maskerade versioner namnges för att tydligt skilja dem från originalet?
3. Hur ska du dokumentera kopplingen mellan original och maskerad version (t.ex. i ärendeanteckning eller metadatafält)?
4. Hur ska du hantera omprövningar (v2, v3 …) på ett sätt som gör historiken tydlig?
5. Vem får ha åtkomst till originalet respektive till maskerade versioner?

Skriv ner dina punkter (t.ex. i ett eget dokument eller anteckningsapp). Försök hålla dig till max 8–10 punkter, men gör dem konkreta.

> Vill du göra övningen mer realistisk? Utgå från ett system du faktiskt känner till (t.ex. Platina, Public 360, W3D3, e-arkiv) och anpassa punkterna till hur det systemet fungerar.

Steg 5: Intern kontroll och kollegial granskning

Även erfarna handläggare gör felbedömningar. Därför är dubbelkontroll och kollegial granskning centrala delar av kvalitetssäkringen.

Vanliga kontrollnivåer:

1. Kollegial snabbgranskning ("fyra ögon-principen")

• En kollega läser igenom den maskerade handlingen innan den lämnas ut.
• Fokus på:
• Har någon känslig uppgift lämnats omaskerad av misstag?
• Har något maskerats utan tydlig rättslig grund?
• Är maskeringen konsekvent genom hela handlingen?

1. Chefs- eller juristgranskning

• För mer komplicerade ärenden (t.ex. omfattande företagshemligheter, stora datamängder, känsliga personuppgifter).
• Jurist kan särskilt granska tolkningen av OSL och intresseavvägningen.

1. Stickprovskontroll i efterhand

• En kvalitetsansvarig eller jurist gör slumpvisa kontroller av redan utlämnade handlingar.
• Syfte: identifiera mönster av fel och förbättra rutiner, inte att skuldbelägga enskilda.

1. Lärande av misstag

• Om en felaktig maskering upptäcks (t.ex. efter JO-kritik eller domstolsbeslut):
• Dokumentera vad som gick fel (brist i rutin, otydlig mall, stress, bristande utbildning).
• Uppdatera checklistor och mallar.
• Informera berörda handläggare på ett lärande sätt (t.ex. kort intern genomgång).

> Viktigt: Kvalitetssäkring ska vara systematisk, inte bero på enskilda personers goda vilja. Därför bör den finnas nedskriven i interna riktlinjer.

Steg 6: Utforma kontrollmoment – miniworkshop

Nu får du själv formulera konkreta kontrollmoment.

Uppgift: Föreställ dig att du ska beskriva i en intern rutin hur "fyr-ögon-principen" ska fungera vid maskering.

Skriv tre korta instruktioner (1–2 meningar vardera) som svarar på följande:

1. När ska en kollega alltid granskas maskerade handlingar (t.ex. vid viss typ av ärenden, visst sidantal, viss känslighet)?
2. Vad ska kollegan särskilt kontrollera (lista minst tre saker)?
3. Hur ska granskningen dokumenteras (t.ex. anteckning i ärendet, digital signatur, checkruta i systemet)?

Exempel på startformuleringar du kan bygga vidare på:

• "Vid utlämnande av handlingar som innehåller uppgifter om enskildas hälsa ska en kollega alltid…"
• "Granskande kollega ska särskilt kontrollera att…"
• "Genomförd kontroll dokumenteras genom att…"

Fundera också: Hur gör ni om kollegan inte håller med om bedömningen? Vem avgör då?

Steg 7: Checklistor – säkerställ att dokumentation och kontroll inte glöms

Checklistor är ett enkelt men kraftfullt verktyg för att undvika misstag, särskilt under tidspress. Nyckeln är att de är korta, tydliga och integrerade i arbetsflödet.

Exempel på checklista för sekretessprövning och maskering (kan anpassas till din myndighet):

1. Identifiera handlingen

☐ Är rätt handling kopplad till rätt ärende/dnr?

☐ Är det tydligt vilken version av handlingen du arbetar med?

1. Genomför sekretessprövning

☐ Har du gått igenom handlingen systematiskt sida för sida?

☐ Har du identifierat alla uppgifter om enskilda personer?

☐ Har du identifierat möjliga företagshemligheter eller andra skyddsvärda uppgifter?

☐ Har du noterat relevanta paragrafer i OSL för varje typ av uppgift?

1. Dokumentera bedömningen

☐ Är rättslig grund (OSL-paragrafer) angiven?

☐ Är kort motivering dokumenterad för varje kategori av maskerade uppgifter?

☐ Är beslutsdatum och beslutsfattare dokumenterade?

1. Versionshantering

☐ Är originalet sparat och tydligt märkt som omaskerat?

☐ Är den maskerade versionen sparad som separat fil med tydlig beteckning?

☐ Finns en länk eller referens mellan original och maskerad version i ärendet?

1. Dubbelkontroll

☐ Har kollegial granskning genomförts när det krävs enligt rutin?

☐ Är genomförd granskning dokumenterad (t.ex. namn, datum)?

1. Slutlig kontroll före utlämnande

☐ Har du öppnat den slutliga filen (inte arbetskopian) och kontrollerat att maskeringen är irreversibel?

☐ Stämmer den maskerade versionen överens med den dokumenterade sekretessbedömningen?

☐ Är det tydligt för mottagaren att handlingen är maskerad, t.ex. genom en kort notis på första sidan?

> Tips: Försök att få in checklistan direkt i ärendehanteringssystemet (t.ex. som digital checklista) i stället för ett separat papper som lätt glöms bort.

Steg 8: Kunskapskoll – vad är viktigast att dokumentera?

Besvara frågan nedan innan du går vidare.

Steg 9: Repetition av nyckelbegrepp

Använd korten nedan för att repetera centrala begrepp från modulen.