Í fyrstu grein minni minntist ég á bréf héraðssaksóknara til dómsmálaráðuneytisins, dagsett 19. maí 2025 þar sem embætti héraðssaksóknara svarar sex spurningum sem dómsmálaráðuneytið sendi embættinu 12. maí sama ár og varða eftirlit með viðkvæmum gögnum sem voru í fórum þáverandi embættis sérstaks saksóknara.

Í bréfinu til dómsmálaráðuneytisins er farið ítarlega yfir tölvuumhverfi sérstaks saksóknara, um trúnaðarskyldur starfsmanna embættisins, ásamt verklagi og meðferð gagna sem verða til við símahleranir. Héraðssaksóknari áréttar í bréfinu að hann telji að umrædd gögn sem voru í fórum fyrirtækisins PPP hafi verið afrituð á starfstíma er starfsmenn PPP voru starfsmenn sérstaks saksóknara, frá árinu 2009 og fram á fyrri hluta árs 2012.

Í svörum héraðssaksóknara kemur einnig fram að sömu skráningarkerfi og hugbúnaður hefði verið notaður sem önnur lögregluembætti notast við og aðgangur starfsmanna að tölvukerfum embættisins var varinn með aðgangsauðkenni og leyniorði sem uppfæra þurfti reglulega með sama hætti og hjá öðrum lögregluembættum

Trúnaðar - og þagnarskylda starfsmanna embættis sérstaks saksóknara voru eins og hjá öðrum lögregluembættum. Þar sem embættið og aðgerðir þess nutu fjölmiðlaathygli var við allar ráðningar starfsmanna sérstaklega brýnt fyrir viðkomandi að þagnarskyldan héldist eftir að viðkomandi lyki störfum hjá embættinu eða að það hefði verið lagt niður. Einnig var áréttað við starfsmenn mikilvægi þess að beita fagmennsku og gæta meðalhófs í störfum sínum. Ekki var sett upp forrit til að rekja rafrænarslóðir starfsmanna fyrr en 2011-2012.¹

Aðalvörn embættis sérstaks saksóknara gegn því að trúnaðargögn glötuðust eða kæmust í umferð á einhvern hátt, var traust á að starfsmenn starfi að heilindum og virði trúnaðar og þagnarskyldu. Þegar skipurit embættis héraðsaksóknara² er skoðað, sést að á rekstrar- og stjórnsýslusviði fer fram öll fjármálaumsýsla, umsjón með starfsmannamálum héraðssaksóknara og öðrum innri málum, verkefnum er varða innkaup og aðföng, skjalastjórn og upplýsingamál, auk þess sem sviðið fer með ábyrgð á margvíslegri stoðþjónustu og öðrum stjórnsýslutengdum verkefnum, eins og útgáfu og uppfærslu handbóka, verklagsreglna, verklýsingar og verkferla. Það er því virkt innra eftirlit og innri endurskoðun hjá embættinu³ eins og það er skipulagt nú.

Opinberar stofnanir

Það eru ekki einvörðungu löggæslustofnanir sem geta verið varnalitlar gegn því að viðkvæmar upplýsingar leki út eða glatist eða að mistök eigi sér stað vegna skorts á eftirliti með starfseminni. Velferðarþjónusta sveitarfélaga er til dæmis viðkvæm fyrir mistökum. Bæði vegna eðlis málaflokksins en þar er höndlað með mjög viðkvæm málefni og upplýsingar er lúta að fólki og fjölskyldum sem eru í viðkvæmri stöðu eða jafnvel jaðarsett.

Sveitarfélög hafa oft útvistað velferðarþjónustu til einkaaðila. Það getur verið ýmiskonar þjónusta, t.d. akstursþjónusta, meðferðarheimili fyrir börn og unglinga, sambýli eða íbúðarkjarnar fyrir fólk með margvíslegar sálfélagslegar áskoranir, svo einhverjir málaflokkar séu nefndir. Árið 2023 gaf Gæða- og eftirlitsnefnd velferðarmála út 859 leyfi í flokkunum barnavernd, þjónusta við fatlað fólk, daggæsla og félagsþjónusta. Útvistun á velferðarþjónustu er því mjög tíð. Að útvista slíkri þjónustu dregur ekki úr ábyrgð viðkomandi sveitarfélags á eftirliti með starfseminni enda kemur fram í fyrirmælum að stjórnvöld sem útvista starfsemi eða hluta af henni, skulu hafa virkt innra eftirlit með starfsemi sinni þar sem eftirlit stofnunarinnar kemur ekki í stað eftirlits sem öðrum stjórnvöldum er falið í lögum. Stjórnvöld séu því ekki leyst undan eftirlitskyldum sínum hvort sem um er að ræða þjónustu sem stjórnvaldið rekur eða þjónustu sem rekin á grundvelli samnings við þriðja aðila.⁴

Þriggja línu eftirlitslíkan

Eftirlit sveitarfélaga með velferðarþjónustu sem hefur verið útvistað, eins og t.d. rekstri heimila fyrir fatlað fólk, felst oft í boðuðum eða óboðuðum heimsóknum. Sérfræðingar frá sveitarfélaginu mæta á stofnunina og ræða við skjólstæðinga og starfsmenn, auk þess að taka út hvort að starfsemin brjóti í bága við almenna hollustuhætti, góðan aðbúnað, félagslega virkni vistfólks og þar fram eftir götunum.

Eftirlit þarf ekki að vera flókið eða útheimta vettvangsferðir sérfræðinga. Aðrar varnir gegn misnotkun og mistökum í daglegum rekstri útvistunaraðila eða hjá opinberum stofnunum sem falla undir hugmyndir um innra eftirlit eða innri endurskoðun, eru varnarlíkön eins og þriggja þrepa eftirlitslíkanið sem Evrópusamtök innri endurskoðenda, ECIIA, hafa þróað og sett fram með útgáfu á riti þess efnis „The three lines of defence model“ (2013) Alþjóðasamtök innri endurskoðenda, IIA, gáfu svo út leiðbeiningar (e. Position Paper) um þriggja þrepa eftirlitslíkan. Líkaninu er ætlað að sýna á myndrænan hátt ýmis hlutverk og ábyrgðarsvið innan og utan stjórnkerfisins og samspil þeirra á milli. Á myndinni hér fyrir neðan er þriggja þrepa eftirlitslíkanið sett upp á íslensku til skýringar.

Fyrsta varnarlína lýtur að daglegum rekstri. Það er ábyrgð stjórnenda starfseininga/rekstrareininga að meta, stýra og draga úr þeirri áhættu, sem heyrir undir þeirra starfssvið, samhliða því að viðhalda virku innra eftirliti. Þeir eru því ábyrgir fyrir eftirliti með allri starfsemi, þjónustu og verklagi. Stjórnendur sinna hér, ásamt þegar það á við um starfsmenn, vöktunarhluverki sem er ætlað að sjá fyrir, meta og greina áhættur og ábyrgð þeirra við að innleiða viðunandi vinnulag eða eftirlitsaðgerðir sem gerir þeim betur kleift að ná fram markmiðum stofnunarinnar. Í fyrstu varnarlínu er það hlutverk stjórnenda að bregðast við misbresti í rekstri.⁶

Í annarri varnalínu er eftirlitshlutverkið hjá starfseiningum sem eru oft stoðdeildir að sinna sértækum eftirlitsstörfum eins og t.d. áhættustýringu, regluvörslu og gæða- og öryggismálum. Það er í verkahring starfseininga í annarri varnarlínu að stuðla að innleiðingu …