Elektroniczne Zarządzanie Dokumentacją
w systemie EZD RP

Jest Pan inspektorem ochrony danych w Starostwie Powiatowym w Oleśnie. Czy z Pana perspektywy EZD RP jest narzędziem, które ułatwia realizację obowiązków związanych z bezpieczeństwem danych, czy raczej stawia przed urzędem nowe wyzwania?

Na pewno nie utrudnia. EZD RP jest jak na razie jedynym systemem EZD, z którym miałem styczność, wyposażonym w moduł przeznaczony dla IOD. Umożliwia on prowadzenie rejestrów wymaganych przez RODO.

W średniej wielkości urzędzie ten moduł w zupełności wystarcza do spełnienia podstawowych wymagań w tym zakresie. System zawiera też rejestr danych osobowych, który pozwala łatwo wyszukać osoby, których dane urząd przetwarza w dokumentach lub sprawach. Ułatwia to realizację obowiązków IOD, np. w zakresie informowania, czy i w jakich sprawach urząd przetwarza dane konkretnej osoby.

Niby to podstawowa funkcja, którą powinny oferować tego typu aplikacje, jednak w praktyce rzadko jest dostępna. EZD RP zawiera też funkcję anonimizacji danych, która działa bardzo dobrze. Kwestie związane z RODO zostały w systemie potraktowane naprawdę solidnie. Można więc stwierdzić, że EZD RP ułatwia pracę inspektora ochrony danych.

Jak w praktyce wygląda kontrola dostępu do dokumentów w systemie EZD RP?

EZD RP zapewnia bardzo szeroki, granularny zakres uprawnień, które można nadać użytkownikom. System rejestruje pełną historię dokumentu – wszystkie wykonane na nim działania, a także informacje o tym, kto i kiedy go wyświetlał.

Istnieje możliwość udzielenia dostępu do dokumentu innemu pracownikowi oraz nałożenia ochrony na dokument, co wyłącza jego dostępność dla pozostałych pracowników, nawet jeśli wcześniej mieli uprawnienia do jego wyświetlenia.

Te funkcje w zupełności wystarczają do precyzyjnej kontroli dostępu do dokumentów w urzędzie.

Czy wdrożenie EZD RP zmieniło sposób, w jaki patrzy Pan na ryzyka związane z przetwarzaniem danych osobowych – pojawiły się nowe zagrożenia, czy raczej udaje się je lepiej kontrolować dzięki cyfryzacji?

Wdrożenie tak dużego systemu zawsze wiąże się z obawą o ryzyka związane z ochroną danych. Oczywiście konieczne było przeprowadzenie zarówno analizy ryzyka, jak i DPIA (Data Protection Impact Assessment, czyli ocena skutków dla ochrony danych – przyp. red.) przed produkcyjnym uruchomieniem systemu.

EZD RP na pewno zwiększyło obszar potencjalnego ataku, na który narażony jest urząd, oraz wprowadziło nowe podatności. To skomplikowany system, oparty na najnowszych technologiach, więc jego ochrona nie jest łatwa. Na szczęście dotychczas udaje się to kontrolować – oby tak zostało.

System wdrożyliśmy w modelu on-premise, więc całość ochrony spoczywa na nas. Jest przy tym sporo pracy, ale mamy pełną kontrolę: wiemy, gdzie znajdują się nasze dokumenty, znamy dokładnie architekturę systemu i sieci, która go udostępnia. Wszystkie zdarzenia związane z działaniem systemu i użytkowników są logowane, dzięki czemu możemy szybko reagować na potencjalne zagrożenia.

Podczas wdrożenia EZD RP wprowadziliście szereg rozwiązań zwiększających stabilność i bezpieczeństwo systemu. Jakie znaczenie miały te działania dla zapewnienia ciągłości pracy urzędu i ochrony danych w środowisku cyfrowym?

Wstępem do wdrożenia był program Cyberbezpieczny Samorząd, który pojawił się w idealnym dla nas momencie. Dzięki funduszom z programu zbudowaliśmy bezpieczne środowisko informatyczne, przygotowane z myślą o udostępnianiu aplikacji pracownikom i mieszkańcom. Zabezpieczyliśmy nie tylko urząd, ale też jednostki organizacyjne.

System obejmuje urządzenia UTM w każdej jednostce, ochronę antywirusową oraz rozwiązania klasy EDR, NDR, XDR i WAF. Całość działa w sieci SD-WAN, jest centralnie zarządzana i nadzorowana przez systemy SIEM i SOAR z wykorzystaniem uczenia maszynowego oraz ludzi czuwających nad całością.

Zdecydowaliśmy się również na modyfikację instalacji EZD RP, tak aby pracował na najnowszych wersjach systemów Linux i innych komponentów, oraz rozszerzyliśmy środowisko konteneryzacji. Postawiliśmy kilka instancji systemu: produkcyjną, testową, szkoleniową oraz taką, którą informatycy mogą „psuć” i szybko odtwarzać, aby lepiej poznać działanie systemu. Całość jest objęta kilkustopniowym backupem.

Starostwo pełni rolę „centrum dowodzenia” dla wielu jednostek i zadań powiatu. Czy wdrożenie EZD RP pomogło uporządkować przepływ dokumentów między tymi strukturami, czy raczej ujawniło nowe wyzwania w koordynacji pracy?

Przede wszystkim pozwoliło ustandaryzować i podnieść jakość pracy, doprowadzić do zgodności z instrukcją kancelaryjną i archiwalną, prawidłowo spełnić obowiązki przy przetwarzaniu dokumentów elektronicznych oraz uporządkować sprawy związane z JRWA.

Jesteśmy też pierwszą linią wsparcia dla naszych użytkowników w sprawach technicznych jak i merytorycznych. Stworzyliśmy świetnie działający zespół wsparcia i utrzymania systemu, który nie boi się wyzwań i chętnie dzieli się zdobytą wiedzą. Standaryzacja w zakresie obsługi administracyjnej była dobrym posunięciem.

Wymiana dokumentów między jednostkami odbywa się już tylko elektronicznie – z wykorzystaniem platformy e-Doręczeń. Oczywiście doszły nam dodatkowe obowiązki związane z utrzymaniem systemu, szkoleniami nowych pracowników oraz cyfryzacją kolejnych procesów. Można powiedzieć, że urząd wraz z jednostkami dostosowuje się do ram narzuconych przez EZD RP, ale są to dobrze przemyślane rozwiązania i sprawdzają się w pracy codziennej.

Proces wdrożenia EZD RP rozpoczął się od szkoleń i testów. Jak wyglądały pierwsze reakcje pracowników – entuzjazm, obawy, a może mieszanka obu?

Pierwszą reakcją dla większości pracowników był strach, natomiast w zespole wdrożeniowym mieszał się on z entuzjazmem. W oswojeniu zmiany pomocne okazały się dwa elementy.

Przede wszystkim były to szkolenia realizowane przez NASK. Zdecydowaliśmy się na szkolenia zewnętrzne, tak aby pracownicy znaleźli się w innym środowisku i mogli skupić się na przekazywanej wiedzy. Szkolenia okazały się strzałem w dziesiątkę, głównie dzięki świetnym trenerom, którzy zarazili nas optymistycznym podejściem do korzystania z systemu. Mieli ogromną wiedzę, byli praktykami administracji, co upewniło naszych pracowników, że nie jest to narzędzie, z którym trzeba walczyć, lecz rozwiązanie realnie ułatwiające codzienne obowiązki. Od tego momentu nastąpiła zmiana podejścia do wdrożenia, od wstępnej niechęci do ciekawości.

I co się potem wydarzyło?

Nadszedł czas testów EZD RP połączonych z nauką korzystania z systemu w praktyce. Każdy pracownik realizował indywidualne scenariusze testowe: od wpływu pisma różnymi drogami do kancelarii, poprzez dekretację, założenie sprawy, przygotowanie odpowiedzi, uzyskanie akceptacji dokumentów aż do wysyłki pism każdym możliwym kanałem. Na koniec pracownik sam oceniał, czy pisma powinny trafić do składu chronologicznego i je dostarczał.

Zaangażowaliśmy w to wszystkich pracowników. Mieliśmy obawy co do wyniku pierwszych testów, ale wypadły dużo lepiej niż nasze najbardziej optymistyczne założenia. Okazało się, że pracownicy radzą sobie samodzielnie, a tam, gdzie napotkali trudności potrafią szybko znaleźć pomoc wśród pozostałej części kadry. Ostatnie testy wychodziły już bezbłędnie. Zespół wdrożeniowy też się podczas tych testów dużo nauczył – zadziałaliśmy wspólnie jak jeden organizm.

Jakie wyzwania techniczne pojawiły się podczas instalacji EZD RP w infrastrukturze Starostwa? Czy coś szczególnie zaskoczyło zespół wdrożeniowy?

Zaskoczyło nas, że pierwsza instancja systemu po instalacji od razu działała. Była to wstępna próba przed podjęciem decyzji o jego wykorzystaniu w urzędzie. Instalacja odbywała się na wczesnych wersjach systemu, dlatego tym bardziej zaskoczyło nas, że przebiegła bez większych problemów. To właśnie ten krok przesądził o decyzji o wdrożeniu EZD RP.

System początkowo wydawał się wyzwaniem: złożona architektura, wirtualizacje, trzy bazy danych, konteneryzacje i konieczność zabezpieczenia całości. Obawialiśmy się o wydajność oraz nasze zasoby sprzętowe. Nie byliśmy też pewni, czy nasze umiejętności i wiedza są wystarczające, dlatego uzupełnialiśmy je na bieżąco. Okazało się jednak, że nawet przy minimalnej konfiguracji sprzętowej wszystko działa poprawnie.

Wyzwaniem było stworzenie środowiska produkcyjnego obsługującego wszystkie nasze jednostki – odpornego na awarie, wydajnego i z zapasem mocy na przyszły rozwój. Udało się – praca była wymagająca, ale bardzo interesująca.

Czy kaskadowy model wdrożenia sprawdził się w praktyce? Jakie były największe plusy takiego podejścia, a co okazało się trudniejsze niż zakładano?

Zawsze staraliśmy się działać samodzielnie i to wyzwanie nas nie przeraziło. Wdrożenie kaskadowe zakładało, że system wdrażamy w trzech jednostkach pilotażowych i w Starostwie z pomocą NASK, a w pozostałych jedenastu jednostkach – własnymi siłami. Model, w którym system jest centralnie zainstalowany w Starostwie i udostępniany jednostkom, bardzo nam odpowiadał.

Tak jak podkreślano na szkoleniach – w co na początku wątpiliśmy – wdrożenie okazało się w dużej mierze wyzwaniem merytorycznym, a nie technicznym. Najistotniejszy był różny stopień potrzeb naszych jednostek oraz różny poziom wiedzy i umiejętności pracowników. System wdrażaliśmy m.in. w szkołach, poradniach, Powiatowym Zarządzie Dróg, Powiatowym Centrum Pomocy Rodzinie, Domu Dziecka, Domu Pomocy Społecznej. Zróżnicowanie pod kątem merytorycznym było duże.

Podczas prac znaleźliśmy w nich kilka osób, które doskonale się odnalazły w roli lokalnych koordynatorów. Dzięki nim i wysiłkowi zespołu wszystko się udało.

Czy wdrożenie EZD RP wpłynęło na relacje i współpracę między Starostwem a jednostkami podległymi?

Jak wcześniej było wspomniane, staliśmy się trochę „centrum dowodzenia” dla naszych jednostek. Mamy większą pewność, że czynności kancelaryjne i administracyjne przebiegają prawidłowo. Jednostki są gotowe na wyzwania związane z cyfryzacją dokumentowania przebiegu spraw.

Częściej się kontaktujemy, poznaliśmy też działanie jednostek od wewnątrz. Dzielimy się wiedzą i doświadczeniami. Można stwierdzić, że wdrożenie EZD RP pogłębiło współpracę nie tylko na poziomie kierownictwa, ale także na poziomie pracowników.

Co ciekawe, powiat oleski bierze udział w pilotażu czterodniowego tygodnia pracy. Czy wdrożenie tego modelu miało wpływ na sposób korzystania z EZD RP? Czy system wspiera tę zmianę organizacyjną?

Dzięki wdrożeniu EZD RP osiągnęliśmy nie tylko elektronizację obiegu dokumentów i prowadzenia spraw, ale także elektroniczną wymianę informacji za pomocą e-Doręczeń. Dużym czynnikiem kompensującym wzrost obowiązków związanych z obsługą nowego narzędzia, jakim jest EZD RP, było wykorzystanie Publicznej Usługi Hybrydowej.

Zamiast dotychczasowego drukowania koperty, wypisywania zwrotki, pakowania i dostarczania do kancelarii w wyznaczonych godzinach, teraz pracownik jest w stanie – w przypadku sprawy elektronicznej – całość wysyłki załatwić z poziomu ekranu komputera. Wszystkie dowody doręczenia pojawiają się od razu w systemie. Mocno usprawniło to ten element obiegu dokumentów.

Chcemy zwiększyć wykorzystanie tego sposobu doręczania, cyfryzując coraz więcej kategorii spraw i procesów. EZD, po okresie adaptacji przez pracowników, ułatwia i przyspiesza załatwianie spraw. Ten element chcemy mocno wykorzystać w pilotażu skróconego czasu pracy.

System zastąpił wcześniejsze rozwiązanie komercyjne. Jakie różnice najbardziej odczuli pracownicy – w ergonomii pracy, bezpieczeństwie czy w szybkości obsługi dokumentów?

Wcześniej przez sześć lat używaliśmy rozwiązania komercyjnego, ale nie był to system EZD, tylko EOD. W jednostkach pełnił on w zasadzie jedynie funkcję rejestru korespondencji i narzędzia wymiany dokumentów ze Starostwem. Teraz jednostki w pełni korzystają z możliwości systemu klasy EZD.

Potrzebowaliśmy tej zmiany. Chcieliśmy iść z cyfryzacją do przodu, czego poprzedni system nie umożliwiał. Brakowało w nim obsługi składów chronologicznych, generowania paczek eADM oraz prowadzenia spraw w pełni elektronicznie, zgodnie z wymaganiami prawnymi. Być może system komercyjny rozwijałby się dalej i mu kibicujemy, ale nie mogliśmy czekać dłużej.

Nie bez znaczenia są też koszty licencji. EZD RP udostępniony jest za darmo, a zwiększenie funkcjonalności poprzedniego systemu w naszych jednostkach wiązałoby się z dużym kosztem.

Podczas niedawnego Samorządowego Forum Kapitału i Finansów uczestniczył Pan – m.in. z przedstawicielami NASK – w dyskusjach o EZD. Po wydarzeniu postulował Pan utworzenie wspólnego centrum usług dla cyfryzacji, odpowiedzialnego m.in. za bezpieczeństwo informacji, utrzymanie EZD i automatyzację procesów. Czy takie rozwiązanie realnie odciążyłoby mniejsze jednostki i przyspieszyło cyfryzację?

Rozważamy takie rozwiązanie. Już teraz niektóre działania wykonujemy centralnie, są nimi ochrona danych osobowych, cyberbezpieczeństwo, elektroniczne zarządza nie dokumentacją.

W trakcie wdrożenia okazało się, że jednostki są tak obciążone zadaniami i dysponują tak ograniczonym personelem, że narzucanie im kolejnych wymagań bez realnego wsparcia jest praktycznie niemożliwe.

Przed nami NIS2, postępująca cyfryzacja i automatyzacja oraz nasilenie cyberzagrożeń. Jednostki często zlecają działania związane z informatyzacją na zewnątrz, co generuje dodatkowe koszty i bywa niespójne z naszymi wymaganiami.

Rodzi się też pomysł utworzenia Centrum Usług Wspólnych dla edukacji. Z naszego punktu widzenia brakuje tylko scalenia organizacyjno-formalnego naszych dotychczasowych działań oraz rozszerzenia usług o obsługę informatyczną jednostek. Wydaje się to rozwiązaniem na czasie. Zobaczymy, co z tego wyniknie.

---

Więcej artykułów na temat EZD RP w sekcji: Artykuły i wywiady. Zapraszamy do lektury!