Skip to content
  • Om oss
  • Kontakta oss
  • Nyhetsbrev
  • Annonsera
Upphandling24
  • Nyheter
    • Debatt
  • Karriär
    • Lönestatistik
    • Lediga jobb
    • Månadens profil
    • Platsannonsera
    • Student
    • Utbildningar
  • Konferens
  • Utbildning
    • AI för upphandlare
    • Avtalsuppföljning med AI
    • Entreprenadupphandling och AMA AF
    • Dialogförfaranden
    • Kvalificerad entreprenadupphandlare
    • Kvalificerad IT-upphandlare
    • Leda upphandlingar effektivt
    • LOU på två dagar
    • Robusta IT-avtal
    • Säkerhetsskyddad upphandling
  • Nätverk
    • Upphandlare
    • Avtalsuppföljning
    • Entreprenadupphandlare
    • IT-upphandlare
  • Om oss
    • Om oss
    • Kontakta oss
    • Nyhetsbrev
  • Annonsera
    • Annonsera
    • Platsannonsera

Brist på kunskap och kontroll bakom it-skandalen

Computer Sweden har kartlagt hur säkerhetsklassad information på Transportstyrelsen kunnat hamna utanför svensk kontroll. Brist på krav och kunskap om regler kring offentliga upphandlingar är några faktorer som ligger bakom.

| 2017-08-17

Computer Swedens kartläggning inleds med att konstatera att haveriet kring Transportstyrelsens it-outsourcing med alla dess politiska följder varit en av sommarens flitigast diskuterade nyheter. Att myndighetens känsliga data har riskerat hamna i orätta händer har varit navet i det som har kommit att kallas it-skandalen. Detta efter att icke säkerhetsklassade personer i andra länder ska ha haft tillgång till känslig information som uppges ha kunnat hota rikets säkerhet.

Att IBM valt att hantera Transportstyrelsens it från Östeuropa har i brist på andra besked förklarats med att det förmodligen varit mer ekonomiskt fördelaktigt. Exakt hur svenska IBM har tänkt, och huruvida bolaget anser sig ha något ansvar i det som inträffat eller hade kunnat se till att den känsliga informationen behölls i Sverige, är det tyvärr svårt att få några klara svar på. Bolagets policy om att inte kommentera specifika kunder verkar lika cementerad som tidigare.

– Det vi har sagt är att vi följer kundavtalet enligt deras anvisningar. Kunden svarar så gott de kan på detta och jag måste hänvisa till dem i det här läget, säger bolagets informationschef Lennart Malm och rekommenderar läsning på Transportstyrelsens sajt.

En stor del av problemen i Transportstyrelsenhärvan kunde så klart ha undvikits om man hade hanterat de känsliga uppgifterna från Sverige med svensk säkerhetsklassad personal. I upphandlingsunderlaget framkommer klart och tydligt att det krävs säkerhetsklassad personal för att sköta uppdraget. Ett krav som uppenbarligen inte IBM uppfyllt då Transportstyrelsens numera sparkade generaldirektör Maria Ågren tvingats att godkänna avsteg från detta krav.

Enligt källor som Computer Sweden talat med som är väl insatta i upphandlingsarbete menar man att det som inträffat på Transportstyrelsen sannolikt har flera orsaker. För det första har myndigheter ofta bristande kontroll på vad som är skyddsvärd information och vad som kräver speciell hantering. Dessutom saknar ofta myndigheter kunskap om var den skyddsvärda informationen finns i den underliggande it-infrastrukturen. Det innebär att den skyddsvärda informationen och annan information blandas i till exempel en server.

Och det i sin tur leder till att en outsourcing av den servern skulle kräva högsta säkerhetsklassning trots att bara en bråkdel av innehållet har det behovet. Och tittar man på en myndighet som Transportstyrelsen så handlar det om fler än 1 000 servrar.

I Lagen om offentlig upphandling, LOU, står det inte tydligt om man kan kravställa it-drift i Sverige om bara en liten del av informationen har det underliggande säkerhetskravet.

– Det hade varit mycket lättare om man hade kunnat kravställa en it-drift från Sverige av svensk säkerhetsklassad personal, bekräftar en person med insyn i ärendet.

Men det ska, enligt vad Computer Sweden erfar, ha funnits en betydande risk att upphandlingen då, likt många andra offentliga upphandlingar i it-branschen, hamnat i en lång överprövningskarusell. Och viljan att slippa det ska ha varit ett av de tyngst vägande skälen till att man trots allt valde att gå vidare med endast krav om säkerhetsklassad personal.

När det gäller outsourcing av it-drift eller nyttjande av molntjänster för myndigheter finns således ett antal lärdomar att dra.

Den första är att alla organisationer, såväl myndigheter som privata företag bör informations- och säkerhetsklassa sina applikationer. Därefter måste respektive klassning hanteras på en egen underliggande infrastruktur, och när det väl är gjort kan den mindre skyddsvärda infrastrukturen hanteras på ett sätt och den skyddsvärda på ett annat. Om den aktuella organisationen däremot inte har gjort informationsklassning av applikationer och infrastruktur så gör man nog klokast att avstå från outsourcing av it-drift eller molntjänster.

En annan viktig del är att se över om LOU medger att en myndighet kan kravställa it-drift i Sverige, trots att det är EU som vanligtvis gäller. Frågar man jurister som specialiserat sig på offentlig upphandling verkar kravet på det geografiska läget fungera, men det är svårare att ställa krav på personalens nationalitet.

– Ett rimligt krav för att skydda säkerhetsklassade uppgifter hade varit att servrarna ska stanna i landet. Kravet att personalen ska vara svensk kan inte ställas, däremot att all personal som hanterar den känsliga informationen ska vara säkerhetsklassade, säger Eva-Maj Mühlenbock, delägare i Lindahl.

Sara-Li Olovsson, advokat på Delphi, är inne på samma linje när hon svarar på frågan om det går att säkerställa drift i Sverige i en upphandling även om de säkerhetsklassade uppgifterna bara utgör en liten del av den totala infrastrukturen.

– Det generella svaret är att det rent upphandlingsrättsligt är möjligt att ställa krav på drift i Sverige i en upphandling, förutsatt att kravet är i enlighet med den grundläggande upphandlingsprincipen om proportionalitet, det vill säga att kravet går att motivera på objektiva grunder och inte är utformat i syfte att snedvrida konkurrensen eller otillbörligt missgynna eller gynna en viss leverantör, säger hon och utvecklar:

– Ett exempel då det är tillåtet med ett sådant krav är att det följer direkt av annan speciallagstiftning som ställer krav på att hantering av data ska utföras på ett visst geografiskt ställe. Detta gäller oavsett om bara en liten del av det totala upphandlingsföremålet utgör högt säkerhetsklassade uppgifter, och förutsatt att det inte är praktiskt möjligt eller lämpligt att dela upp upphandlingen i flera separata delar, där en del är förenad med krav på hantering av data i Sverige och övriga delar inte har samma krav på hantering av data.

Men det finns som sagt också tydliga begränsningar i vilka krav som får ställas.

– Det är däremot typiskt sett i strid med upphandlingsreglerna att ställa krav på att en leverantör måste vara svensk för att kunna tilldelas kontrakt i en upphandling. Men ett krav på att viss drift måste ske i Sverige är alltså inte generellt förbjudet, säger Sara-Li Olovsson till Computer Sweden.

Annons

Vill du fördjupa dig i kravarbete, utvärdering och förhandling i IT-upphandlingar, i syfte att göra bättre IT-affärer? Gå kursen som Upphandling24 arrangerar “Fortsättningskurs IT-upphandling” Läs mer här!

Läs mer: IT datait-skandalensäkerhetsklassTransportstyrelsen

Erik Säfvenberg

es@uh24.se

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Senaste inläggen

  • Väntan till i höst på nya direktiv
  • Tar plats som hedersmedlem
  • Upphandlingsmiss för 26 miljoner
  • Lotten föll – vinnaren hoppade av
  • Tre poddar för hängmattan

Lediga jobb

Norrköpings kommun söker inköps- och upphandlingsassistent

Verksjurister inom upphandling till Svenska kraftnät

Senior upphandlare inom entreprenad – Telge Inköp

Senaste nyheterna

Väntan till i höst på nya direktiv
Tar plats som hedersmedlem
Norrköpings kommun söker inköps- och upphandlingsassistent
Upphandlingsmiss för 26 miljoner
Avtalsuppföljning med AI | 19 november
Verksjurister inom upphandling till Svenska kraftnät
Lotten föll – vinnaren hoppade av
Tre poddar för hängmattan
Nätverken sommarbanner
Utbildningar sommarbanner
Tunt facit för brottsbekämpning
EUSveriges önskelista till EU
Reder ut statistiken
För stor fil företagets fel
“Lång ledighet inte alltid bäst”
Otillräcklig avtalsuppföljning urholkar vitets roll 
Polisanmäls efter kajupphandling
Elbussar ritade om upphandling
StrömmerDelad info ska stoppa oseriösa
Begär svar om intern upphandling
ANNONS FRÅN UPPHANDLING24

Vägen till vinnande anbud

Den 6 oktober 2026 möts leverantörer, experter och upphandlare på Anbudsdagen, en konferens för dig som vill vässa dina anbud. Upphandling24 har fått en pratstund med Sara Andersson Marmnäs, moderator och programansvarig för en fullspäckad inspirationsdag.

Mest visade inlägg

  • Tre poddar för hängmattan
  • Upphandlingsmiss för 26 miljoner
  • Lotten föll – vinnaren hoppade av
  • Tunt facit för brottsbekämpning
  • “Lång ledighet inte alltid bäst”
  • Sveriges önskelista till EU
  • Polisanmäls efter kajupphandling
  • Väntan till i höst på nya direktiv
  • Reder ut statistiken
  • Otillräcklig avtalsuppföljning urholkar vitets roll 

Läsarnas åsikter

Stefan : Lotten föll – vinnaren hoppade av
Vän av ordning trycker på min kärnpoäng. Anbuden var inte lika, eftersom det ena uppenbarligen inte var seriöst menat när…
Vän av ordning : Lotten föll – vinnaren hoppade av
Varför diskutera lottningen i detta fall istället för ett företag som lämnar anbud och som sen hoppar av pga "Företaget…
T.E : Polisanmäls efter kajupphandling
Ska bli oerhört intressant att se hur detta utvecklas. Ansvarig projektledare har skrivit en rapport som bifogades till ett ärende…
Stefan : Lotten föll – vinnaren hoppade av
Mja, att "upphandling fungerar" på det sättet är visserligen fakta, men i vilken typ av affärer är lottning en vettig…
Gammal i gamet : Sveriges önskelista till EU
Varje gång vi får ett nytt direktiv som implementeras under parollen "det ska bli enklare" så blir de mer komplext.…
M : Sveriges önskelista till EU
Alltid välkommet med förenklade regelverk och mindre administration. Lite ironiskt blir det trots allt att regeringen efter eget misslyckande passar…
Jenny : Lotten föll – vinnaren hoppade av
Lottning är en både rimlig och rättvis väg ut om anbuden inte går att särskilja på annat sätt. Jag hoppas…
Inköpare : UHM missade att rapportera
Håller med ovanstående fullt ut. Vi alla på den inköpsenhet jag jobbar på kämpar med att komma igenom tendsigns annonseringsmodul.…
Ellen Westberg : Ett saknat upphandlingskrav som kostar mer än pengar
Oerhört viktigt! Tack Misha!
Lena wannefors : Ett saknat upphandlingskrav som kostar mer än pengar
Superviktigt !!! Låt oss göra ett medborgarärende av detta ! Ett upprop som lämnas över till ?, Riksdag, Regering !!!!…

Höstens kurser

  • Kvalificerad entreprenad­upphandlare | 20-21 okt
  • AI för upphandlare | 5 nov
  • Kvalificerad IT-upphandlare | 10-11 nov
  • Säkerhetsskyddad upphandling | 12 nov
  • Robusta IT-avtal | 17 nov
  • Entreprenadupphandling och AMA AF | 18 nov
  • Leda upphandlingar effektivt | 25 nov
  • Dialogförfaranden | 26 nov
  • LOU på två dagar | 2-3 dec