Digitalisering

Myndigheternas data stannar kvar i Sverige

Så svarar myndigheterna om sin it-drift. Grafik: Jonas Askergren
Så svarar myndigheterna om sin it-drift. Grafik: Jonas Askergren
Bengt-Göran Kangas.
Bengt-Göran Kangas.

Transportstyrelsen är inte ensam. Ett 40-tal myndigheter har fortfarande hela eller delar av sin it-drift utlokaliserad till privata bolag. Evry sticker ut som det företag med flest kontrakt, visar Ny Tekniks undersökning.

Publicerad Uppdaterad

Det var en företrädare från en kommun som hörde av sig, förmodligen med andan i halsen. Efter all uppståndelse kring Transportstyrelsen var hen angelägen om att avtalet följdes till punkt och pricka.

– ”Självklart”, svarade vi. Vi ordnar fram all den information de behöver för att känna sig trygga igen, säger Bengt-Göran Kangas på it-tjänsteföretaget Evry.

Den sortens reaktioner har dock varit ovanliga, enligt Kangas. Och av allt att döma är även Transportstyrelsen ett avvikande exempel. Ny Teknik har granskat ett 40-tal myndigheter som lagt ut hela eller delar av sin it-drift. Det stora flertalet har anlitat bolag som sköter driften i Sverige eller inom EU.

Av de 38 som svarade angav alla utom en – Arbetsmiljöverket – att de fortfarande köper in driften helt eller delvis. Enligt en enkät gjord på uppdrag av Statens servicecenter ska Arbetsmiljöverket ha utkontrakterad verksamhet. Men till Ny Teknik uppger myndigheten att de sköter driften för egen maskin.

Läs mer:

Som vår sammanställning här intill visar är det några aktörer som återkommer oftare än andra. Evry sticker ut med åtta kontrakt, dubbelt så många som tvåan Atea.

Vad beror det på att ni är populära bland myndigheter?

– Jag tror att vi är kända som en leverantör som levererar stabila och säkra drifttjänster. Tittar man bland våra kunder så finns flera med höga säkerhetskrav som kräver mycket av sina leverantörer när det gäller säkerhet och stabilitet och funktion, säger Bengt-Göran Kangas på Evry.

Finns det en risk att säkerhetskrav gör att myndigheternas digitalisering blir lidande?

– Jag vet inte om jag skulle kalla det en risk. Risken är snarare att skyddsvärd information glöms. För verksamheter som har höga säkerhetskrav finns det ett antal väldigt bra och kostnadseffektiva tjänster som vi inte kan erbjuda, då vi inte kan garantera den höga säkerheten. Och då kan man som organisation inte använda den tjänsten hur bra den än är.

Den data som svenska myndigheter utlokaliserat finns huvudsakligen inom Sveriges gränser, visar Ny Tekniks undersökning. Svaren ”Sverige” respektive ”Stockholm” är överlägset flest, 13 respektive 12 stycken.

Men data finns också lagrat i exempelvis Irland, Nederländerna och USA. Det rör sig främst om mindre stödtjänster som mejl, hemsida samt resebyrå.

Läs mer:

Bengt-Göran Kangas på Evry tycker att svenska myndigheters beställarkompetens vad gäller it-säkerhet överlag är god.

– Jag har jobbat uteslutande med offentlig sektor i 15 år och jag upplever generellt sett att offentlig sektor har en bra it-kompetens. En bra beställarkompetens, säger han.

Erika Hanses, jurist på Upphandlingsmyndigheten, berättar att något fler frågor än normalt kommit in från upphandlande myndigheter sedan it-skandalen briserade.

– Men det är ingen anmärkningsvärd anstormning.

Redan för fem år sedan undersökte Riksrevisionen huruvida ”myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet?”. Svaret blev ett rungande nej. ”Det stora flertalet myndigheter kan inte anses ha gjort rimliga prövningar om den egna myndigheten eller någon annan aktör är bäst lämpad att producera den it organisationen har behov av”.

Läs mer om it-skandalen här!

Riksrevisionen bockade av punkterna: myndigheterna hade ingen koll på sina egna it-kostnader, brister i den interna styrningen av it-verksamheten och otydlig informationsklassificering av känslig information. Och de delade inte Bengt-Göran Kangas syn på myndigheternas förmåga: ”många myndigheter saknar relevant beställarkompetens”.

Riksrevisionens rapport tycks vara en indikation på hur it-skandalen på Transportstyrelsen kunde uppstå: dålig kunskap om outsourcing, snarare än outsourcing i sig.

Sverker Brundin, tidigare journalist på Ny Teknik, är numer analytiker på it-analysföretaget Radar. Han tycker att det viktigaste uppdraget för myndigheter just nu är att ta tag i informationssäkerheten.

– Utkontraktering och molntjänster, som ofta nämns tillsammans, har i våra mätningar visat att de som använder dem blir mer effektiva och innovativa. Men allting kan inte läggas ut och allting får inte läggas ut.

Detta har hänt i it-skandalen

MSB beslutade i mars 2016 om föreskrifter och allmänna råd om myndigheters informationssäkerhet. De innebär bland annat att myndigheter ska: Bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete och att en informationssäkerhetspolicy ska upprättas.

Klassa information med utgångspunkt i konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån konsekvenser som kan uppstå av ett bristande skydd.

Ha rutiner för incidenthantering och -rapportering.

Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd från mars 2015 säger bland annat gällande säkerhetsskyddad upphandling: Innan en myndighet lämnar hemliga uppgifter till ett företag ska en säkerhetsprövning göras och i förekommande fall även registerkontroll av företagets ledning och andra som avses få del av uppgifterna.

Enligt säkerhetsskyddslagen kan också ett säkerhetsskyddsavtal behöva ingås. Myndigheten ska då utan dröjsmål meddela Säpo om detta.

It-skandalen på Transportstyrelsen har nu nått statsminister Stefan Löfvens innersta krets. Häromdagen avgick statssekreterare Emma Lennartsson sedan det kom fram att hon haft kännedom om säkerhetsriskerna som uppstått i samband med utkontrakteringen av it-driften i Transportstyrelsen tidigare än hon först uppgett.

It-skandalen har dessutom kostat två ministrar jobbet: infrastrukturminister Anna Johansson och inrikesminister Anders Ygeman. Alliansens misstroendeförklaring mot försvarsminister Peter Hultqvist kvarstår.

Transportstyrelsens generaldirektör Maria Ågren fick lämna jobbet och godkände en dagsbot på 70 000 kronor för vårdslöshet med hemlig uppgift. Ordföranden Rolf Annerberg lämnade också sin post.

Orsaken är vid detta lag välkänd: Maria Ågren godkände avsteg från gällande lagstiftning när driften av bland annat körkortsregistret lades ut på entreprenad till IBM. Ej säkerhetsklassad personal i bland annat Serbien gavs därmed tillträde till uppgifter om exempelvis svenska militärens fordon och järnvägens driftscentraler.

Statens servicecenter (SSC) frågade hösten 2016 samtliga myndigheter under regeringen om de utlokaliserat it-driften till privata bolag. 166 svarade och av dem var det 44 som utlokaliserat driften helt eller delvis. Ny Teknik skickade därför ut en enkät till de 44 myndigheterna.