Menu

V3 Vägledning

Vägledning

Hantering av dokumentation i verksamhetsrevison

Bakgrund

All revision ska genomföras objektivt och sakligt. De iakttagelser som redovisas i en revisionsrapport ska enligt god revisionssed kunna styrkas, det vill säga verifieras med revisionsbevis. Yrkesrevisorns ställningstagande ska kunna underbyggas med dokumentation som stödjer och verifierar slutsatserna. Detta förutsätter att underlag och revisionsbevis samlas in och sparas på ett systematiskt sätt.

Revisorerna (de förtroendevalda revisorerna) är en myndighet som bedriver sin verksamhet under allmänhetens insyn. De ansvarar för sina handlingar och sitt arkiv. I ansvaret ligger att registrera allmänna handlingar, välja lämpliga metoder och material för handlingars upprättande, beskriva och förteckna sitt arkiv, vårda arkivet och hålla handlingar tillgängliga för allmänheten.

Yrkesrevisorer anlitas som sakkunnigt biträde och arbetar direkt mot de förtroendevalda revisorerna1 vilket innebär att de arbetar på uppdrag av en offentlig myndighet. Det är väsentligt att klargöra vem som är ansvarig för hanteringen av handlingar och hur information som samlas in i revisionsarbetet ska behandlas och dokumenteras så att regler om offentlighet- och sekretess samt personuppgiftsbehandling följs samtidigt som god revisionssed upprätthålls.

Som uppdragstagare behöver yrkesrevisorn vara medveten om grundläggande regler kopplat till detta.

För anställda på revisionsföretag kan tolkningen av om det sakkunniga biträdets arbete inom den kommunala revisionen på uppdrag av förtroendevalda revisorer utgör revisionsverksamhet i revisorslagens mening leda till ytterligare och ibland motstridiga lagkrav. I denna vägledning har de områden där olika tolkningar kan göras av kraven på en yrkesrevisors dokumentation utifrån de olika lagstiftningarna lyfts fram.

Enligt Revisorsinspektionen tematillsyn i januari 2020 är den redovisningsrevision som utförs på uppdrag av förtroendevalda revisorer av yrkesrevisorer som är anställda på revisionsföretagen att betrakta som revisionsverksamhet som omfattas av revisorslagen2. Det råder dock delade meningar om huruvida de sakkunniga biträdena i detta förhållande utför revisionsverksamhet i revisorslagens mening. Den verksamhetsrevision som utförs av yrkesrevisorer på uppdrag av de förtroendevalda revisorerna omfattas inte av tematillsynen.

Vare sig definitionen av revisorsverksamhet i revisorslagen eller dess förarbeten ger något entydigt stöd för att verksamhetsrevision i kommunal verksamhet som utförs av sakkunniga biträden på uppdrag av de kommunala revisorerna är att betrakta som revisionsverksamhet3.

Vissa allmänna uttalanden om revisionsverksamhet kan tala för att så skulle vara fallet andra emot. I förarbetena till revisorslagen nämns inte den kommunala revisionen överhuvudtaget. SKYREV:s utgångspunkt är i denna vägledning att den kommunala verksamhetsrevisonen inte är revisionsverksamhet i revisorslagens mening.

Syfte

Syftet med denna vägledning är att ge kompletterande information om hur viktiga principer enligt rekommendation R1 Dokumentation i verksamhetsrevision bör hanteras. I denna vägledning beskrivs även hur yrkesrevisorn bör förhålla sig till lagstiftning om offentlighetsprincipen och personuppgiftsbehandling samt hur revisionens dokumentation i arbetet med verksamhetsrevisionen bör hanteras. I de fall där hänvisning görs till direkta lagkrav anges i det följande att dessa ska följas.

Yrkesrevisorns roll och ansvar

De konstateras i förarbetena till kommunallagen att de förtroendevalda är ytterst ansvariga för verksamheten. Det sakkunniga biträdets ställning är inte annorlunda än andra kommunalt anställda. Det innebär att det åvilar de sakkunniga att på de förtroendevaldas uppdrag självständigt göra och redovisa sina bedömningar till de förtroendevalda revisorerna. Detta följer naturligt av de sakkunnigas yrkes- och konsultansvar4.

Yrkesrevisorn arbetar i sin roll som sakkunnigt biträde alltid på uppdrag av de förtroendevalda revisorerna vilket påverkar yrkesrevisorns hantering av handlingar och dokumentation. Detta gäller oavsett om yrkesrevisorn är anställd på ett revisionskontor eller på en privat revisionsbyrå5. Kommunallagen, offentlighets – och sekretesslagstiftning och GDPR m.m. gäller alla som jobbar på uppdrag av förtroendevalda i en kommun/region.

Att yrkesrevisorn arbetar på uppdrag av de förtroendevalda revisorerna utgör också utgångspunkten för äganderätten till och ansvaret för dokumentationen. Det är de förtroendevalda revisorerna som är ansvarig medan yrkesrevisorn som biträde utför uppgifter på de förtroendevalda revisorernas uppdrag. Till följd av detta är äganderätten till och ansvaret för sådan information som samlas in och som produceras under uppdraget de förtroendevalda revisorernas. Här kan graden av självständighet i uppdraget påverka situationen och tolkningen av rättsläget som styrs av kontraktshandlingarnas utformning och innehåll. SKYREV:s tolkning är dock att detta i första hand gäller redovisningsrevisionen.

Utgångspunkter för dokumenthantering

Av kommunallagen framgår att yrkesrevisorernas rapporter ska bifogas den revisionsberättelse som revisorerna översänder till fullmäktige inför ansvarsprövningen6. Fullmäktige, berörd nämnd/styrelse och allmänheten ska genom att ta del av yrkesrevisorernas rapporter och övrig dokumentation som utgör grund för revisorernas ställningstagande kunna förstå på vilka grunder deras ställningstagande vilar.

Enligt SKYREV:s rekommendation R1 Dokumentation i verksamhetsrevision ska yrkesrevisorns dokumentation bestå av tillräckliga revisionsbevis som styrker de iakttagelser, slutsatser och bedömningar som görs i granskningsrapporten. Dokumentationen ska behandlas så att information som är belagd med sekretess eller på annat sätt är konfidentiell inte riskerar att komma obehöriga till del. Regler om offentlighet och sekretess samt personuppgiftsbehandling ska beaktas.

Spårbarhet

Grundläggande krav på dokumentationen av revisionsbevis är enligt rekommendationen att yrkesrevisorns slutsatser går att följa, förstå och återskapa (spårbarhet). Dokumentationen ska verifiera och stödja yrkesrevisorns ställningstaganden, bedömningar och slutsatser. Det ska vara möjligt att i efterhand kunna styrka att tillräckliga revisionsbevis ligger till grund för granskningens slutsatser och att granskningen är utförd enligt god revisionssed i kommunal verksamhet.

I samband med en intern eller extern kvalitetskontroll av yrkesrevisorns arbete ska den eller de som utför kontrollen exempelvis kunna ta del av den dokumentation som granskningsrapporters slutsatser, bedömningar och rekommendationer baseras på. Arbetet ska kunna återskapas och den som kontrollerar arbetet ska i rimlig omfattning komma fram till samma ställningstagande som yrkesrevisorn.

Granskningsakt

Rapporterna och det underlag som de baseras på utgör därmed revisionsbevis och ska dokumenteras på ett ordnat och systematiskt sätt. Dokumentationen ska vara tydligt ordnad och ha en överskådlig struktur och förvaras under betryggande former. Dokumentationen ska förvaras på sådant sätt att endast revisionsteam och eventuell kvalitetskontrollant kan ta del av dokumentationen under löpande granskning.

Dokumentationen hanteras lämpligen i en granskningsakt som bör upprättas per granskningsuppdrag eller projekt. En väl ordnad dokumentation underlättar för efterföljande kvalitetssäkring, för eventuella uppföljningar samt för ett överlämnade av uppdraget till annan yrkesrevisor eller byrå. Omfattning och innehåll i yrkesrevisorns dokumentation påverkas av förhållanden som uppdragets karaktär och komplexitet samt av revisionsrapportens utformning.

En granskningsakt bör omfatta följande grupper av handlingar och underlag men behöver anpassas till hur granskningen har genomförts:

  • Riskanalys och planering7
  • Prövning av oberoende8
  • Revisionskriterier
  • Granskningsmetodik
  • Insamlade revisionsbevis
  • Rapport9 eller PM
  • Uppföljning och kvalitetssäkring

Bevarande av revisionsbevis

Dokumentationen i en granskningsakt eller motsvarande ska bevaras i enlighet med de regler som gäller för den organisation där yrkesrevisorn arbetar på uppdrag av den förtroendevalde revisorn. På byråerna ska dokumentationen bevaras i minst tio år efter avslutat uppdrag. På kommunalt revisionskontor ska dokumentationen bevaras i enlighet med dokumenthanteringsplan, gallringsplan och upprättad klassificeringsstruktur.

Dokumentation av personuppgifter

Vid revisionsarbetet och då särskilt vid insamling av revisionsbevis i en granskning kan revisionsbevisen komma att innehålla personuppgifter. Detta innebär att yrkesrevisorn måste ha kunskaper om reglerna för personuppgiftsbehandling10.

Generellt kan sägas att samla in och behandla personuppgifter i enlighet med dataskyddsförordningen till stor del bygger på att den som är ansvarig för behandlingen har skapat tydliga rutiner, processer och metoder för personuppgiftsbehandlingen. Detta innebär att den som är ansvarig för den aktuella behandlingen måste se till att skapa tydliga och strukturerade förutsättningar för att uppfylla dataskyddsförordningens krav.

Laglig grund och ändamål för behandlingen

Konkret krävs s.k. laglig grund för att behandla personuppgifter11. Detta innebär att det måste finnas grund i rättsordningen för behandling. Kommunal revision, dvs. granskning av kommunala verksamheter (verksamhetsrevision), är lagstadgad vilket innebär att det finns stöd i rättsordningen för den behandling som är nödvändig för att kunna genomföra revisionen. Vidare får personuppgifter bara samlas in för särskilda, uttryckligen angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. De uppgifter som yrkesrevisorn kommer i kontakt med i revisionen är som utgångspunkt insamlade för ändamål i den verksamhet som revisionen tar sikte på.

Uppgiftsminimering och lagringsminimering

Dataskyddsförordningen innehåller även krav på såväl uppgiftsminimering som på lagringsminimering. Uppgiftsminimeringskravet innebär att personuppgifter som behandlas ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålet för behandlingen12. Kravet på lagringsminimering innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas13. Med utgångspunkt i dessa två principer är det viktigt att dels inte behandla fler personuppgifter än vad som är absolut nödvändigt för att uppnå syftet med den aktuella behandlingen, dels radera uppgifter som inte längre behövs eller på annat sätt inte är relevant för granskningens syfte. Det är därför viktigt att inom ramen för revisionen bedöma och planera för en minimering av såväl behandling som dokumentationen av personuppgifter. Yrkesrevisorn behöver därför noga överväga om personuppgifter behöver användas i granskningen eller om det finns andra sätt att göra granskningen.

Säkerhet

En ytterligare princip som är relevant i det här sammanhanget är principen i dataskyddsförordningen om integritet och konfidentialitet14. Principen ställer krav på att personuppgifter behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna. Det inbegriper skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse framför allt om det kan medföra fysisk, materiell eller immateriell skada. Vidare föreskrivs15 att den personuppgiftsansvarige och personuppgiftsbiträdet ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. För att upprätthålla säkerheten och förhindra behandling som bryter mot förordningen bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, som kryptering, för att minska dem. Den senaste utvecklingen och genomförandekostnader i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas ska beaktas.

En viktig del i fråga om integritet och konfidentialitet är att se till att bara behöriga personer får ta del av personuppgifterna. Med det menas att bara de som behöver tillgång till personuppgifterna för att utföra sina arbetsuppgifter ska ha åtkomst till dem. Detta kan t.ex. ske genom tydliga riktlinjer för behörighetstilldelning. Vad som är lämpliga skyddsåtgärder i en enskild situation beror på hur känsliga uppgifterna är och vilka integritetskränkningar de kan leda till, hur omfattande uppgifterna är (exempelvis antal registrerade), om uppgifterna kan missbrukas på något sätt (exempelvis bedrägerier) etc. Yrkesrevisorn ska utgå från ett riskbaserat synsätt när personuppgifter används som revisonsbevis.

Personuppgiftsincidenter

En ytterligare fråga kopplad till integritet och konfidentialitet är anmälan av s.k. personuppgiftsincidenter till tillsynsmyndigheten16. En personuppgiftsincident är en säkerhetsincident som kan innebära risker för olika typer av integritetsintrång. En personuppgiftsincident är en säkerhetshändelse som har påverkat sekretessen, integriteten eller tillgängligheten till personuppgifter. Personuppgifter kan exempelvis ha förstörts, ändrats eller röjts till någon obehörig. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter. Om yrkesrevisorn i sin roll som sakkunnigt biträde till de förtroendevalda revisorerna behandlar personuppgifter för revisorernas räkning är det viktigt att ha klart för sig om behandlingen sker som personuppgiftsansvarig eller som personuppgiftsbiträde. Det juridiska ansvaret för att anmäla personuppgiftsincidenten ligger alltid kvar hos den personuppgiftsansvarige.

Eftersom den personuppgiftsansvarige måste anmäla vissa personuppgiftsincidenter till datainspektionen inom 72 timmar är det viktigt att yrkesrevisorn har kännedom om processen kring personuppgiftsincidenter. Är yrkesrevisorn verksam på ett revisionskontor sker behandlingen som personuppgiftsansvarig medan det för byråanställda revisorer är mer oklart. Detta eftersom revisionsbyråerna har intagit helt olika ståndpunkt i frågan om de anser sig som personuppgiftsansvariga eller personuppgiftsbiträden i sina uppdrag som sakkunnigt biträde. I det fall som yrkesrevisorn är personuppgiftsbiträde ska ett särskilt avtal slutas med de förtroendevalda revisorerna.

Utgångspunkter för hantering av allmänna handlingar

Offentlighetsprincipen

Yrkesrevisorer som arbetar på revisionskontor (som då utgör en kommunal förvaltning) omfattas av offentlighetsprincipen i allt de gör eftersom de utgör en del av den offentliga förvaltningen. Yrkesrevisorer som arbetar på revisionsbyrå kan omfattas av offentlighetsprincipen med avseende på handlingar som de förvarar och upprättar i samband med att de utför uppdrag åt förtroendevalda revisorer eller för ett revisionskontor. Enligt offentlighetsprincipen har var och en rätt att ta del av allmänna handlingar17. En handling, i lagens mening, kan avse en bild, en skrift, ett SMS, en ljudupptagning, e-post eller liknande18.

Muntlig information vid t.ex. ett telefonsamtal är inte en handling i lagens mening men om det inkommer uppgifter på något annat sätt än genom en handling ska (myndigheten och även den som utför ett uppdrag för myndighetens räkning) snarast dokumentera informationen, om de kan ha betydelse för ett beslut i ärendet. Det ska framgå av dokumentationen när den har gjorts och av vem19. Den här dokumentationen, som brukar benämnas tjänsteanteckning, är en handling i lagens mening. En handling är allmän om den förvaras hos en myndighet och om den anses inkommen dit eller har upprättats där20.

Alla allmänna handlingar hos en myndighet är emellertid inte offentliga. Huvudregeln är att de är offentliga om de eller uppgift i dem inte är hemliga med hänvisning till sekretess. Handlingar som innehåller sekretessbelagda uppgifter kan vara offentliga i de delar som inte omfattas av sekretessen.

Registrering och diarieföring

De förtroendevalda revisorerna har som myndighet en skyldighet att registrera de allmänna handlingar som antingen har inkommit till eller har upprättats hos myndigheten21. Handlingar som inte omfattas av sekretess behöver inte registreras om de hålls ordnade så att det utan svårighet kan fastställas om de har kommit in eller upprättats. Om det råder tveksamhet huruvida handlingen omfattas av registreringsskyldighet ska handlingen registreras.

De förtroendevalda revisorerna kan genom upphandling ha avtalat med en revisionsbyrå att yrkesrevisorn löpande ska hantera revisionens handlingar. Handlingarna är då inte formellt överlämnade till revisionsbyrån utan betraktas fortfarande som förvarade hos myndigheten revisorerna. De förtroendevalda revisorerna kan dock inte genom avtal uppdra till en revisionsbyrå att pröva och besluta om att lämna ut handlingar. Uppgiften behöver skötas antingen av revisorerna själva eller av en anställd person eller av någon annan inom den kommunala förvaltningen på uppdrag av revisorerna, till exempel registrator.

Justitieombudsmannen (JO) menar att eftersom kommunrevisionen är en del av den kommunala förvaltningen bör registrering och arkivering ske i nära samband med den övriga förvaltningen, såväl organisatoriskt som geografiskt, med hänsyn främst till medborgarnas tillgänglighet. Enligt JO är det viktigt att dessa förvaltningsuppgifter sker i myndighetens namn så att inte den enskilda medborgaren kan få intrycket att de hanteras utanför myndigheten och att de grundläggande bestämmelserna om offentlighet med mera därmed inte skulle tillämpas22.

Förvarad hos myndighet

Att en handling är förvarad hos en myndighet innebär inte bara att handlingen är tillgänglig rent fysiskt hos myndigheten. Det kan även innebära tillgång till handlingar som finns hos någon som företräder myndigheten eller på myndighetens uppdrag förvarar handlingen. Det är i dessa fall myndighetens rådighet över handlingen som är avgörande. En myndighet, till exempel förtroendevalda revisorer/revisionskontor, som anlitar fristående konsult kan även anses förfoga över (förvara) handlingar som finns hos konsulten – förutsatt att dessa handlingar tagits emot av konsulten eller upprättats av konsulten för myndighetens räkning23. Det avgörande när det gäller framställning av handlingar i uppdraget är graden av självständighet vilket ytterst styrs av kontraktshandlingarna mellan den kommunala revisionen och konsulten (det sakkunniga biträdet)24. När en konsult med särskild sakkunskap i speciella frågor har knutits till en myndighet eller fått i uppdrag att avge ett utlåtande ska denne som huvudregel ses som självständig gentemot myndigheten25.

Inkomna och upprättade handlingar

En handling är inkommen till myndigheten så snart den ankommit dit eller kommit en behörig befattningshavare till handa26. Handlingen måste inte vara registrerad (diarieförd) för att den ska anses som inkommen.

Handling anses som upprättad när den har expedierats, när det ärende den hänför sig till har slutbehandlats eller när den har justerats eller på annat sätt färdigställts27. För vissa speciella handlingar som diarier, register, protokoll etc. gäller specialregler. Specialreglerna för protokoll gäller dock inte protokoll från kommunens revisorer28.

Arbetsmaterial – dvs. handlingar som inte är färdigupprättade i lagens mening

Under pågående granskning är yrkesrevisorernas dokumentation normalt sett inte att anse som allmänna handlingar. Det gäller t.ex. intervjuanteckningar, rapportutkast, frågor och svar

m.m. som inte har expedierats29 eftersom det då betraktas som arbetsmaterial. Bedömningen avseende handlingar som skapas i revisionsprocessen och som inte ska expedieras följer regeln om att de blir allmänna när det ärende till vilket de hänför sig blir slutbehandlat. Eftersom revisionsärendet inte är färdigställt (slutbehandlat) förrän myndigheten (företrätt av de förtroendevalda revisorerna) skiljt sig från det genom att avlämna revisionsberättelsen (för det aktuella revisionsärendet) innebär detta att handlingar som upprättas inom revisionskontoret eller revisionsbyrån aldrig är färdigställda i TF:s mening (såvida de inte expedieras) och därför inte utgör allmänna handlingar på denna grund innan revisionsberättelse avlämnats. Notera dock att en handling som inkommer till revisionskontoret i ett revisionsärende ändå kan utgöra en allmän handling innan revisionsberättelsen avlämnats – då på grund av att den är inkommen.

Mellanprodukter

Det finns dessutom en viss typ av handlingar som aldrig blir allmänna. Utkast eller koncept till en myndighets beslut eller skrivelse och andra därmed jämställda handlingar som inte har expedierats anses inte som allmänna30. Handlingen anses dock vara allmän om den tas om hand för arkivering. Det här innebär t.ex. att rapportutkast som inte har expedierats och som sänds från revisorerna till granskad verksamhet för faktagranskning inte räknas som allmän handling om inte rapportutkasten tagits om hand för arkivering.

Det är emellertid viktigt att i samband med utskicket klargöra att det är en handling som översänds i konsultationssyfte där någon form av motreaktion förväntas eftersom handlingar som en myndighet lämnar ifrån sig enbart i informationssyfte inte omfattas av undantaget.31

Skriftliga synpunkter på en faktaavstämning som skickas till en yrkesrevisor innefattas däremot inte av delningsundantaget enligt rättspraxis. Ett sådant svar är expedierat av avsändaren

– och är därmed allmän handling där. Svaret är dessutom inkommet till myndigheten (de förtroendevalda revisorerna) och är i utgångsläget att betrakta som allmän handling där. Det skriftliga svaret eller uppgift i det kan dock ändå omfattas av sekretess. Om den som lämnar synpunkter istället lämnar dessa muntligen och mottagaren gör en tjänsteanteckning32 så bedöms tjänsteanteckningen inte som inkommen utan som upprättad (handlingen skapad hos mottagaren) och blir då allmän först när ärendet är avslutat.

Handlingar som sänds från en yrkesrevisor vid ett revisionskontor till en eller flera förtroendevalda revisorer har inte brutit någon myndighetsgräns – de är att betrakta som myndighetsinterna och har därmed inte expedierats genom översändandet. De är då som huvudregel inte allmänna handlingar (om de inte kan anses färdigställda på annat sätt). Motsvarande kan i vissa fall sägas gälla för yrkesrevisorer på revisionsbyråer. Kammarrätten i Stockholm har i ett fall konstaterat att de i målet aktuella konsulterna inte intagit en sådan självständig ställning i förhållande till revisorerna (projektledare fanns vid revisionskontoret) att konsultrapporten kunde anses inkommen till revisionskontoret.33 Konsultrapporten var därför inte att betrakta som allmän handling. Domstolen konstaterade vidare att eftersom det ärende dit

konsultrapporten ”hörde” inte heller var slutbehandlad (jämför resonemanget runt arbetsmaterial till grund för revisionsberättelse) så kunde handlingen inte anses vara allmän.

Minnesanteckningar

En minnesanteckning som har gjorts hos en myndighet och som inte har expedierats ska inte heller efter den tidpunkt då den enligt huvudreglerna är att anse som upprättad anses som allmän handling hos myndigheten. Minnesanteckningen anses dock som upprättad om den har tagits om hand för arkivering34. Med minnesanteckning avses promemorior och andra uppteckningar eller upptagningar som har kommit till endast för föredragning eller beredning av ett ärende, dock inte till den del de har tillfört ärendet någon sakuppgift35.

Anteckningar från intervjuer som tillför sakuppgifter utgör inte minnesanteckningar i lagens mening utan är internt ”arbetsmaterial” till dess ärendet slutbehandlas och blir därför inte allmänna handlingar förrän då.

Rätt att ta del av allmän handling

Den som begär ut en allmän handling har rätt att ta del av handlingens innehåll utan oskäligt dröjsmål. Detta gäller även allmänna handlingar som fysiskt finns hos revisionsbyråer under revisionsåret. Begäran om utlämnande sker dock alltid hos myndigheten, dvs. de förtroendevalda revisorerna. Utlämnande ska ske så snart det är möjligt om det inte finns betydande hinder36. Vem som helst kan begära att få ta del av en allmän handling eller uppgift ur allmän handling i myndighetens lokaler, eller i form av kopia37. I de flesta fall får man inte fråga efter eller efterforska personens identitet eller vad uppgiften ska användas till. Undantag gäller om det behövs för sekretessprövningen eller om handlingen är sekretessbelagd och en prövning ska ske om den ändå kan lämnas ut med förbehåll.

Sekretess

Det är viktigt att skilja på allmän handling och allmän offentlig handling. En allmän handling (alltså en handling som är förvarad, inkommen till eller upprättad hos en myndighet) är inte detsamma som en offentlig handling. För att en handling ska vara offentlig krävs (1) att den är en allmän handling och (2) att den inte är sekretessbelagd.

Den sekretess som gäller för uppgifter hos myndigheter och andra organ som omfattas av offentlighetsprincipen finns angiven i offentlighets- och sekretesslagen (2009:400)[OSL]. För revisorer finns möjligheter att sekretessbelägga uppgifter enligt 17 kap. 1 § OSL. I paragrafen stadgas att sekretess gäller för uppgift om planläggning eller andra förberedelser för sådan inspektion, revision eller annan granskning som en myndighet ska göra, om det kan antas att syftet med granskningsverksamheten motverkas om uppgiften röjs.

Uppgifter som kan sekretesskyddas kan alltså vara sådana som rör de personer eller myndigheter som ska bli föremål för granskning, tiden för granskningen, granskningsplaner samt uppgifter av liknande slag. Sekretess gäller endast om det kan antas att syftet med granskningen motverkas om uppgiften röjs (t.ex. upptäckten av ett brott). Utgångspunkten är alltså att alla uppgifter är offentliga och att en uppgift bara kan sekretessbeläggas om det finns anledning att anta att syftet med granskningen motverkas om uppgiften röjs. För att kunna sekretessbelägga uppgiften måste det alltså finnas ett konkret skäl som leder till ett sådant antagande.

Det är tillåtet att hemligstämpla sekretessbelagd information. Anteckningen (hemligstämplingen, eller med lagens begrepp sekretessmarkeringen) ska innehålla ordet hemlig, den sekretessbestämmelse i OSL som tillämpas, datum när anteckningen gjorts och den myndighet som har låtit göra den. Sekretessmarkeringen i sig gör aldrig en handling hemlig utan ska bara fungera som en varningssignal till handläggaren att vara uppmärksam38.

De förtroendevalda revisorerna har rätt att inhämta behövlig information och inventera tillgångar från nämnder och fullmäktigeberedningar. Yrkesrevisorn har som sakkunniga inte getts en självständig rätt att inhämta upplysningar från nämnder och fullmäktigeberedningar39. I praktiken kommer yrkesrevisorn att själv hämta in information under åberopande av att det sker som en följd av att de förtroendevaldas rätt att ta del av handlingar inom ramen för sitt uppdrag.

Det är inte bara nämnderna, fullmäktigeberedningarna och de enskilda ledamöterna och ersättarna i nämnderna och fullmäktigeberedningarna som är skyldiga att lämna de upplysningar som behövs för revisionsarbetet. Även de anställda har en upplysningsskyldighet. Uppgifter ska lämnas så snart det är möjligt40. Uppgiftsskyldigheten bryter igenom eventuell sekretess41. En nämnd, en enskild ledamot i nämnden, ersättare och de anställda har även en möjlighet att självmant lämna uppgifter till revisionen42. Om sekretessbelagda uppgifter ges till revisonen överförs också sekretessen43.

I de fall där yrkesrevisorerna bara tar del av information på plats hos den som revideras så förs inga handlingar över som kan begäras ut hos revisorerna med stöd av offentlighetsprincipen (om inte anteckningar görs, då skapas ju en ny handling som kan bli allmän). Det är emellertid viktigt att ha klart för sig att den information som yrkesrevisorn får del av på detta sätt ändå omfattas av tystnadsplikt, dvs. informationen får inte röjas muntligen om den är sådan att den omfattas av sekretess.

När en utomstående begär ut uppgifter som omfattas av en sekretessbestämmelse måste den som är ansvarig göra en sekretessprövning. Detta för att avgöra om sekretess gäller eller om uppgifterna är offentliga. För sekretessprövningen se processguiden i bilaga 1.

Bilaga

Processguide prövning av utlämnande av handling.

1 De förtroendevalda revisorerna väljs av fullmäktige i kommunen eller regionen enligt 12 kap. 4 § kommunallagen (2017:725)(KL) och är enligt 4 kap. 1 § KL förtroendevalda i kommunallagens mening. Fullmäktige ska enligt 12 kap. 5 och 7 §§ välja minst 5 förtroendevalda revisorer och var och en av dessa fullgör sitt uppdrag självständigt.

2 Revisorsinspektionens skrift ”Tematillsyn –revisionsbolagens medverkan i den kommunala revisionen” Dnr 2020-50.3 2 § 8 revisorslagen och prop. 2000/01:146, s. 40 f. och 86

4 Prop. 1998/99:66 s. 47 och prop. 2016/17:171 s. 245 f.

5 12 kap. 8 § kommunallagen (2017:725).

6 12 kap. 12 § första stycket kommunallagen (2017:725).

7 Se SKYREV:s rekommendation nr 3

8 Se SKYREV:s rekommendation nr 2

9 Se SKYREV:s rekommendation nr 4

10 Reglerna om personuppgiftsbehandling återfinns främst i EU:s dataskyddsförordning (Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016) som kompletteras av lagen (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning, förordningen (2018:219) med kompletterande bestämmelser till EU:s dataskyddsförordning, Patientdatalagen (2008:355) Patientdataförordningen (2008:360), lag (2001:454) om behandling av personuppgifter inom socialtjänsten och förordningen (2001:637) om behandling av personuppgifter inom socialtjänsten.


16 https://www.datainspektionen.se/lagar–regler/dataskyddsforordningen/personuppgiftsincident/

17 2 kap. 1 § TF

18 2 kap. 3 § TF

19 27 § förvaltningslagen (2017:900)

20 2 kap. 4 § TF

21 5 kap. 1-2 §§ offentlighets- och sekretesslagen (2009:400).

22 JO:s beslut 2008-06-11 dnr 3948/2006.

23 Jfr HFD 2017 ref. 15, RÅ 1989 ref. 29 och RÅ 1996 ref. 25 (rekryteringskonsult) , JO 1990/91 s. 391, KR

Gbg 7285-08 och KR Jönköping 330-05) (inskickade handlingar). RÅ 1984 2:49 (kontrolldagbok)

24 RÅ 1987 ref. 1

25 Kammarrätten i Sundsvall dom den 5 december 2018 i mål nr 2351-18. Se även Kammarrätten i Stockholm den 20 juni 2016 i mål nr 1446-16 där av Revisorskollegiet i Stockholms stad anlitade konsulterna ansågs stå till revisorernas förfogande och att de arbetade under revisorernas ledning för anlitat uppdrag samt att arbetet skedde i nära samarbete med en projektledare på revisionskontoret.

26 2 kap. 9 § TF

27 2 kap. 10 § 1 st TF

28 2 kap. 10 § 2-3 st TF

29 Med expedierats avses att handlingen avsänds till någon utomstående exempelvis en annan myndighet eller en enskild. Handlingar som skickas internt är normalt sett inte att betrakta som expedierade.

30 2 kap. 12 § 2 st TF

31 19 Se prop. 1975/76: 160 s. 170, RÅ 1994 ref. 97 och RÅ1963:16 Jfr JO 1973 s.325 och JO 1974 s. 412.

32 Angående tjänsteanteckning se 27 § förvaltningslagen (2017:900).

33 KR Stockholm 2016-06-20 mål nr 1446-16.34 Med tanke på att lagstiftningen tar sikte på myndigheter är det arkiveras i arkivlagens mening som avses.

35 2 kap. 12 § 1 st TF.

36 2 kap. 15 § TF.

37 2 kap 1, 15 och 16 §§ TF.

38 5 kap. 5 § offentlighets- och sekretesslagen (2009:400).

39 12 kap. 9 § kommunallagen (2017:725) samt prop. 1990/91:117 s. 220, prop. 1998/99:66 s. 100 och prop. 2016/17:171 s. 245 f. och s. 435. En sådan självständig rätt föreslogs av Utredningen om en kommunallag för framtiden i deras slutbetänkande SOU 2015:24 s. 634 f. Regeringen ansåg emellertid att det inte fanns skäl att införa den reglering som utredningen föreslog. Regeringens ståndpunkt fastställdes dessutom av Konstitutionsutskottet i dess betänkande över den nya kommunallagen 2016/17:KU30.

40 Prop. 1998/99:66 s. 68 f. och s. 100

41 10 kap. 28 § offentlighets- och sekretesslagen (2009:400).

42 10 kap. 17 § offentlighets- och sekretesslagen (2009:400).

43 11 kap. 1 § offentlighets- och sekretesslagen (2009:400).