Fjögur lög sem stýra málastjórnun hjá opinberum stofnunum
Opinberar stofnanir starfa ekki í tómarúmi. Fern meginlög setja ramma utan um hvernig mál eru skráð, meðhöndluð, varðveitt og afhent. Þegar þessi lög eru lesin saman verður ljóst að málastjórnun er ekki valkvæð — hún er lagaleg skylda.
Þessi grein fer yfir helstu kröfur þeirra og hvernig þær tengjast málastjórnun í daglegu starfi.
Stjórnsýslulög nr. 37/1993 — grundvöllur málsmeðferðar
Stjórnsýslulög nr. 37/1993 eru elstu lögin í þessum hópi og setja grunnreglur um hvernig opinberar stofnanir meðhöndla mál einstaklinga og lögaðila.
Rannsóknarreglan í 10. gr. kveður á um að stjórnvald skuli sjá til þess að mál sé nægjanlega upplýst áður en ákvörðun er tekin. Þetta þýðir að stofnun getur ekki tekið ákvörðun á grundvelli ófullnægjandi gagna. Í málastjórnunarkerfi þarf að vera hægt að skrá öll gögn sem tengjast máli og tryggja rekjanleika.
Andmælaréttur samkvæmt 13. gr. veitir aðila rétt til að tjá sig um efni máls áður en ákvörðun er tekin. Stofnun þarf að sýna fram á að þessi réttur hafi verið virtur. Málastjórnunarkerfi þarf að skrá hvenær og hvernig aðili fékk tækifæri til andmæla.
Samkvæmt 9. gr. skulu ákvarðanir teknar eins fljótt og unnt er. Ef afgreiðsla dregst þarf að tilkynna aðila um ástæður og hvenær ákvörðunar sé að vænta. Tímastjórnun í málastjórnunarkerfi er ekki bara hagkvæmni — hún er lagaskylda.
Rökstuðningur ákvörðunar samkvæmt 22. gr. skal vísa til lagaákvæða, útskýra meginsjónarmið og draga saman staðreyndir sem skiptu máli. Aðili getur krafist skriflegs rökstuðnings innan 14 daga og stofnun skal svara innan 14 daga.
Kæruheimildir í 26.–31. gr. kveða á um að aðili geti kært stjórnvaldsákvörðun til æðra stjórnvalds. Kærufrestur er þrír mánuðir. Úrskurður æðra stjórnvalds skal vera skriflegur og innihalda kröfur aðila, málavexti, rökstuðning og niðurstöðu.
Upplýsingalög nr. 140/2012 — aðgangur og skráningarskylda
Upplýsingalög nr. 140/2012 tryggja rétt almennings til aðgangs að gögnum hjá opinberum stofnunum.
Samkvæmt 5. gr. er skylt að veita almenningi aðgang að fyrirliggjandi gögnum sé þess óskað. Stofnanir þurfa því að vita hvaða gögn eru til staðar og geta fundið þau fljótt.
Svartími samkvæmt 17. gr. er sjö dagar. Ef beiðni er ekki afgreidd á þeim tíma skal tilkynna um töf og hvenær svars sé að vænta. Hámark er 30 dagar áður en vísa má til úrskurðarnefndar. Þetta krefst þess að málastjórnunarkerfi haldi utan um beiðnir og svartíma.
Skráningarskylda í 27. gr. kveður á um að opinberar stofnanir skuli skrá munnlegar upplýsingar og önnur gögn sem skipta máli fyrir úrlausn mála. Einnig skulu mikilvægar ákvarðanir og samskipti skráð.
Undantekningar í 6.–10. gr. ná yfir gögn ríkisráðs, starfsmannamál, vinnuskjöl, viðskiptaleyndarmál og þjóðaröryggismál. En undantekningarnar eru þröngar og skráningarskyldan gildir engu að síður.
Lög um opinber skjalasöfn nr. 77/2014 — varðveisla og afhending
Lög um opinber skjalasöfn nr. 77/2014 fjalla um hvernig opinber gögn eru varðveitt til framtíðar.
Skjalastjórnun samkvæmt 2. gr. er skilgreind sem kerfisbundin stjórnun á gerð, móttöku, vörslu, notkun og förgun skjala. Lögin leggja ábyrgð á stjórnendur stofnana samkvæmt 22. gr. — forráðamenn skulu bera ábyrgð á skjalastjórnun og vörslu gagna.
Þjóðskjalasafn setur reglur um skráningu, flokkun, skipulag og afhendingu samkvæmt 23. gr. Stofnanir eru bundnar þessum reglum.
Afhendingartímar í 15. gr. kveða á um að stafræn gögn skuli almennt afhent innan fimm ára frá gerð en pappírsgögn innan 30 ára.
Eyðing opinberra gagna krefst heimildar samkvæmt 24. gr. „Varðveisluskylda og förgunarreglur" — í lögum, reglugerð eða grisjunarheimild Þjóðskjalasafns. Slík heimild er oftast veitt á grundvelli grisjunaráætlunar sem stofnunin leggur fram og safnið staðfestir. Eyðing er því stýrt ferli sem málastjórnunarkerfið verður að styðja.
Lög um persónuvernd nr. 90/2018 — meðferð persónuupplýsinga
Lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 innleiða almennu persónuverndarreglugerð Evrópusambandsins og eiga sérstaklega við þar sem mál varða einstaklinga.
Meginreglur 8. gr. krefjast þess að vinnsla persónuupplýsinga sé lögmæt, sanngjörn og gagnsæ. Gögn skulu vera fullnægjandi, viðeigandi og ekki umfram það sem nauðsynlegt er.
Ábyrgðarskylda í 23. gr. krefst viðeigandi tæknilegra og skipulagslegra ráðstafana til að sýna fram á að farið sé að lögum. Innbyggð persónuvernd samkvæmt 24. gr. þýðir að persónuverndarsjónarmið skulu höfð að leiðarljósi frá upphafi við hönnun kerfa.
Vinnsluskrá samkvæmt 26. gr. krefst þess að ábyrgðaraðilar og vinnsluaðilar haldi skipulega skrá yfir vinnslustarfsemi sína. Þetta er skylt fyrir opinberar stofnanir án undantekninga.
Réttindi skráðra einstaklinga samkvæmt 17.–22. gr. fela í sér rétt til upplýsinga, aðgangs, leiðréttingar, eyðingar og andmæla. Sérstaklega þarf að benda á 22. gr. sem veitir einstaklingum rétt til að sæta ekki ákvörðunum sem byggjast eingöngu á sjálfvirkri vinnslu.
Persónuverndarfulltrúi samkvæmt 35. gr. er skyldubundinn þegar vinnsla er í höndum opinbers aðila.
Hvers vegna verður varðveisla mikilvægari, ekki minni, á næstu árum?
Gervigreind dregur ekki úr þörfinni fyrir góða málastjórnun. Hún gerir slæma málastjórnun miklu dýrari.
Frá og með 1. janúar 2025 ber opinberum aðilum almennt að senda einstaklingum og lögaðilum gögn í stafrænt pósthólf á Ísland.is. Bréf, tilkynningar, ákvarðanir og úrskurðir verða í auknum mæli eingöngu rafræn. Stafræna pósthólfið tekur þegar við milljónum skjala árlega, og umfangið mun aðeins aukast.
Spurningin er því ekki lengur hvort opinber gögn verði rafræn. Það er þegar orðið. Spurningin er hvort þau séu nógu vel skráð, flokkuð, varðveitt og rekjanleg til að standast þær kröfur sem næstu ár munu gera til stjórnsýslunnar.
Þar mætast þrjár stórar breytingar: sjálfvirk samskipti, gervigreind og langtímavarðveisla stafrænnar stjórnsýslu. Allar kalla þær á markvissari málastjórnun, ekki veikari.
Sjálfvirk samskipti: hver ber ábyrgð á bréfi sem enginn skrifaði?
Þegar bréf til borgara er ekki skrifað handvirkt af starfsmanni, heldur búið til sjálfvirkt af kerfi út frá sniðmáti, ákvörðunarreglu og gögnum úr þjónustugátt, breytist ekki hver ber ábyrgðina. Hún er áfram hjá stofnuninni.
Slíkt bréf er ekki „bara kerfisskilaboð“. Það er hluti af stjórnsýslulegri málsmeðferð. Það getur haft áhrif á réttindi, skyldur, fresti, andmælarétt, kæruheimildir og væntingar borgarans. Þess vegna þarf að vera hægt að sýna fram á hvað var sent, hvenær, til hvers, á hvaða forsendum og með hvaða gögnum að baki.
Vandinn er að mörg sjálfvirknikerfi eru ekki hönnuð með varðveislu í huga. Þau geyma kannski niðurstöðuna, en ekki útgáfusöguna. Þau senda kannski bréf, en varðveita ekki nákvæmlega hvaða regla, hvaða sniðmát og hvaða gögn urðu til þess að bréfið leit út eins og það gerði.
Það er áhætta. Stofnun sem treystir sjálfvirkni án þess að krefjast skráningar, rekjanleika og varðveislu gæti síðar staðið frammi fyrir miklu magni rafrænna samskipta sem hún getur ekki útskýrt, rökstutt eða afhent með öruggum hætti.
Gervigreind og gæði opinberra gagna
Gervigreind byggir á gögnum. Ef gögnin eru óskipulögð, óáreiðanleg eða illa merkt verða niðurstöðurnar það líka.
Samkvæmt 10. gr. gervigreindarreglugerðar ESB, reglugerð 2024/1689, þurfa gögn sem notuð eru við þjálfun, prófun og sannprófun áhættumikilla gervigreindarkerfa að uppfylla kröfur um gæði, viðeigandi framsetningu, rekjanleika og viðeigandi gagnastjórnun. Opinber málastjórnunarkerfi geta því orðið mikilvægur heimildargrunnur fyrir framtíðarkerfi, bæði hjá stjórnvöldum sjálfum og hjá aðilum sem þróa lausnir fyrir opinbera þjónustu.
Stofnun sem hefur stjórn á gögnum sínum stendur vel að vígi. Hún veit hvaða gögn eru til, hvaðan þau komu, hvaða málum þau tengjast, hvaða takmarkanir gilda um aðgang og hvort heimilt sé að nota þau í nýjum tilgangi.
Stofnun sem hefur ekki stjórn á gögnum sínum stendur hins vegar frammi fyrir tvöföldum vanda. Hún getur hvorki nýtt gögnin með ábyrgum hætti né sýnt fram á að þau séu ekki notuð með óábyrgum hætti.
Þetta er ekki fyrst og fremst tæknilegt vandamál. Þetta er stjórnsýslulegt ábyrgðarmál.
Gervigreindarreglugerðin gerir einnig ráð fyrir auknu gagnsæi um þjálfunargögn almennra gervigreindarlíkana, meðal annars með því að framleiðendur birti yfirlit yfir efni sem notað hefur verið við þjálfun samkvæmt aðfararlið 107. Ef opinber íslensk gögn rata inn í þjálfunarsöfn, viljandi eða óviljandi, verður uppruni, gæði og rekjanleiki þeirra ekki lengur aðeins innanhússmál íslenskra stofnana. Hann verður hluti af stærra alþjóðlegu samhengi.
Vönduð málastjórnun ver stofnunina líka gegn því sem mætti kalla ábyrgðarþvott gervigreindar. Það gerist þegar vélgerð samantekt, tillaga eða drög að ákvörðun skyggja á frumgögnin sem niðurstaðan byggir á.
Ef stofnun getur ekki rakið hvaða skjöl, hvaða útgáfur, hvaða leit, hvaða gögn og hvaða mannlega yfirferð lágu að baki niðurstöðu sem studd var af gervigreind, þá getur hún ekki sýnt fram á að rannsóknarregla, andmælaréttur og rökstuðningur hafi verið virt. Þá er gervigreindin ekki lengur hjálpartæki. Hún er orðin skjól fyrir órekjanlega stjórnsýslu.
Söguleg ábyrgð: það sem ekki er varðveitt núna verður ekki til síðar
Stafræn gögn eru viðkvæmari en þau virðast. Þau geta horfið vegna úreltra kerfa, ólæsilegra sniða, misheppnaðra kerfisskipta, ófullnægjandi útflutnings, rangra heimilda eða einfaldlega vegna þess að enginn hannaði varðveisluna frá upphafi.
UNESCO-yfirlýsingin um varðveislu stafrænnar arfleifðar frá 2003 bendir einmitt á að stafræn arfleifð er í eðli sínu brothætt og krefst virkra ráðstafana til að varðveitast. Sérstaklega þarf að huga að gögnum sem eru fædd stafræn, því þau eiga sér ekki pappírsfrumrit eða annan varanlegan farveg.
Íslensk málastjórnunarkerfi árið 2026 geyma ekki bara skjöl. Þau geyma sönnunargögn um hvernig ríkið starfar. Þar má sjá hvernig ákvarðanir verða til, hvaða gögn voru lögð til grundvallar, hvernig borgarar áttu samskipti við stjórnvöld og hvernig stofnanir brugðust við.
Þetta eru gögn sem framtíðarsagnfræðingar, rannsakendur, eftirlitsaðilar, dómstólar, fjölmiðlar og almenningur munu þurfa til að skilja okkar tíma. Ef málastjórnun er ekki kerfisbundin núna verður tímabilið annaðhvort óaðgengilegt, götótt eða illa skiljanlegt eftir 30 ár.
Þjóðskjalasafn hefur sett skýrar leiðbeiningar um afhendingu rafrænna gagna, studdar af reglum nr. 877/2020 um tilkynningu, samþykkt og skil á rafrænum gagnasöfnum afhendingarskyldra aðila. Þar er meðal annars gerð krafa um að skjöl séu tengd málum, að einkvæm auðkenni séu til staðar, að breytingasaga sé varðveitt og að gögn séu afhent á tilgreindu varðveislusniði.
Það er ekki nóg að geyma gögn þar sem þau urðu til. Það þarf að geta flutt þau, lesið þau, skilið þau og treyst þeim löngu eftir að upprunalega kerfið er horfið.
Sú vinna verður mun auðveldari ef málastjórnunarkerfið er hannað með varðveislu í huga frá fyrsta degi. Hún verður mun erfiðari ef reynt er að bjarga gögnunum eftir á.
Samspil laganna: hvað þýðir þetta í reynd?
Á pappírstímanum skapaði léleg málastjórnun fyrst og fremst skráningar- og leitarvandamál. Á stafræna tímanum eru afleiðingarnar alvarlegri. Léleg málastjórnun getur brenglað sjálfvirkar samantektir, villt leitarvélar, veikt rökstuðning, hulið ábyrgð, aukið persónuverndaráhættu og gert stofnun ókleift að sýna fram á hvers vegna hún tók tiltekna ákvörðun.
Þegar lögin fjögur eru lesin saman verða kröfurnar skýrar. Opinber stofnun þarf kerfi sem getur:
- skráð öll gögn og samskipti sem tengjast máli
- haldið utan um fresti, svartíma og tafir
- sýnt fram á að andmælaréttur hafi verið virtur
- varðveitt rökstuðning og ákvörðunarferil
- stutt afgreiðslu upplýsingabeiðna innan lögbundinna tímamarka
- tryggt réttan aðgang að persónuupplýsingum
- stutt lögmæta grisjun og varðveislu
- afhent rafræn gögn í samræmi við kröfur Þjóðskjalasafns
- skráð notkun sjálfvirkni og gervigreindar þar sem hún hefur áhrif á mál
Málastjórnunarkerfi opinberrar stofnunar er því ekki aðeins vinnutól. Það er heimildarkerfi stjórnsýslunnar. Það er grunnurinn að því sem stofnun getur sýnt fram á, varið, útskýrt og afhent.
Þess vegna er spurningin ekki hvort stofnun þurfi málastjórnunarkerfi. Spurningin er hvort núverandi kerfi standist þær lagalegu, tæknilegu og siðferðilegu kröfur sem þegar eru komnar fram.
Lögin sem fjallað hefur verið um hér eru ekki aðeins reglur dagsins í dag. Þau eru mælikvarðinn sem framtíðin mun nota til að dæma stjórnsýslu okkar tíma.
Vörnin felst ekki í því að ná lágmarkskröfum. Hún felst í því að byggja kerfi sem þolir skoðun síðar: lagalega, tæknilega, stjórnsýslulega og sögulega.
Næsta spurning: stenst kerfið álag, rof og óvissu?
Það er ekki lengur nóg að spyrja hvort gögn séu vistuð. Næsta spurning er hvort stofnunin geti treyst þeim þegar eitthvað fer úrskeiðis.
Ef skýjaþjónusta rofnar, auðkenningarþjónusta bilar, birgir hættir þjónustu, netárás truflar rekstur eða stjórnsýslan þarf að starfa við óvenjulegar aðstæður, skiptir máli að vita hvaða gögn eru lífsnauðsynleg, hvar þau eru vistuð, hver hefur aðgang að þeim og hvort hægt sé að sýna fram á uppruna, samhengi og áreiðanleika þeirra.
Þar tengist málastjórnun stærra viðfangsefni: stafrænu fullveldi og viðnámsþrótti. Staðlar, skjalastjórn og góð málaskráning eru ekki aðeins leið til að uppfylla lög. Þau eru hluti af getu stofnunar til að halda áfram að starfa, verja réttindi borgara og varðveita traust þegar aðstæður verða erfiðar.
Þetta verður sérstaklega mikilvægt í varnartengdum og öryggistengdum verkefnum, þar sem rekjanleiki, aðgangsstýring, uppruni gagna, afhendingarhæfni og stjórn á birgjum eru ekki aukaatriði. Þar er góð málastjórnun ekki skrifræði. Hún er hluti af viðnámsþrótti.
Heilsufarsmat málastjórnunar gefur fyrstu vísbendingu um stöðuna á þinni málaskrá!
Heimildir
Íslensk löggjöf
Stjórnsýslulög nr. 37/1993 Upplýsingalög nr. 140/2012 Lög um opinber skjalasöfn nr. 77/2014 Lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018
Reglur og leiðbeiningar
Þjóðskjalasafn: Afhending rafrænna gagna Þjóðskjalasafn: Reglur um skjalavörslu og skjalastjórn Reglur nr. 877/2020 um tilkynningu, samþykkt og skil á rafrænum gagnasöfnum afhendingarskyldra aðila Stafrænt Ísland: Stafrænt pósthólf
Alþjóðlegt regluverk og viðmið
Reglugerð ESB 2024/1689, gervigreindarreglugerðin: 10. gr. um gögn og gagnastjórnun Reglugerð ESB 2024/1689: aðfararliður 107 um gagnsæi þjálfunargagna UNESCO: Charter on the Preservation of Digital Heritage, 2003
