Skip to content
  • Om oss
  • Kontakta oss
  • Nyhetsbrev
  • Annonsera
Upphandling24
  • Nyheter
    • Debatt
    • LOU
    • Förvaltningsrätten
    • Direktupphandling
    • Överprövning
    • Ramavtal
  • Karriär
    • Lönestatistik
    • Lediga jobb
    • Platsannonsera
    • Student
    • Utbildningar
  • Konferens
  • Utbildning
  • Nätverk
    • Upphandlare
    • Avtalsuppföljning
    • Entreprenadupphandlare
    • IT-upphandlare
  • Om oss
    • Om oss
    • Kontakta oss
    • Nyhetsbrev
  • Annonsera
    • Platsannonsera
    • Annonsera

Brist på kunskap och kontroll bakom it-skandalen

Computer Sweden har kartlagt hur säkerhetsklassad information på Transportstyrelsen kunnat hamna utanför svensk kontroll. Brist på krav och kunskap om regler kring offentliga upphandlingar är några faktorer som ligger bakom.

| 2017-08-17

Computer Swedens kartläggning inleds med att konstatera att haveriet kring Transportstyrelsens it-outsourcing med alla dess politiska följder varit en av sommarens flitigast diskuterade nyheter. Att myndighetens känsliga data har riskerat hamna i orätta händer har varit navet i det som har kommit att kallas it-skandalen. Detta efter att icke säkerhetsklassade personer i andra länder ska ha haft tillgång till känslig information som uppges ha kunnat hota rikets säkerhet.

Att IBM valt att hantera Transportstyrelsens it från Östeuropa har i brist på andra besked förklarats med att det förmodligen varit mer ekonomiskt fördelaktigt. Exakt hur svenska IBM har tänkt, och huruvida bolaget anser sig ha något ansvar i det som inträffat eller hade kunnat se till att den känsliga informationen behölls i Sverige, är det tyvärr svårt att få några klara svar på. Bolagets policy om att inte kommentera specifika kunder verkar lika cementerad som tidigare.

– Det vi har sagt är att vi följer kundavtalet enligt deras anvisningar. Kunden svarar så gott de kan på detta och jag måste hänvisa till dem i det här läget, säger bolagets informationschef Lennart Malm och rekommenderar läsning på Transportstyrelsens sajt.

En stor del av problemen i Transportstyrelsenhärvan kunde så klart ha undvikits om man hade hanterat de känsliga uppgifterna från Sverige med svensk säkerhetsklassad personal. I upphandlingsunderlaget framkommer klart och tydligt att det krävs säkerhetsklassad personal för att sköta uppdraget. Ett krav som uppenbarligen inte IBM uppfyllt då Transportstyrelsens numera sparkade generaldirektör Maria Ågren tvingats att godkänna avsteg från detta krav.

Enligt källor som Computer Sweden talat med som är väl insatta i upphandlingsarbete menar man att det som inträffat på Transportstyrelsen sannolikt har flera orsaker. För det första har myndigheter ofta bristande kontroll på vad som är skyddsvärd information och vad som kräver speciell hantering. Dessutom saknar ofta myndigheter kunskap om var den skyddsvärda informationen finns i den underliggande it-infrastrukturen. Det innebär att den skyddsvärda informationen och annan information blandas i till exempel en server.

Och det i sin tur leder till att en outsourcing av den servern skulle kräva högsta säkerhetsklassning trots att bara en bråkdel av innehållet har det behovet. Och tittar man på en myndighet som Transportstyrelsen så handlar det om fler än 1 000 servrar.

I Lagen om offentlig upphandling, LOU, står det inte tydligt om man kan kravställa it-drift i Sverige om bara en liten del av informationen har det underliggande säkerhetskravet.

– Det hade varit mycket lättare om man hade kunnat kravställa en it-drift från Sverige av svensk säkerhetsklassad personal, bekräftar en person med insyn i ärendet.

Men det ska, enligt vad Computer Sweden erfar, ha funnits en betydande risk att upphandlingen då, likt många andra offentliga upphandlingar i it-branschen, hamnat i en lång överprövningskarusell. Och viljan att slippa det ska ha varit ett av de tyngst vägande skälen till att man trots allt valde att gå vidare med endast krav om säkerhetsklassad personal.

När det gäller outsourcing av it-drift eller nyttjande av molntjänster för myndigheter finns således ett antal lärdomar att dra.

Den första är att alla organisationer, såväl myndigheter som privata företag bör informations- och säkerhetsklassa sina applikationer. Därefter måste respektive klassning hanteras på en egen underliggande infrastruktur, och när det väl är gjort kan den mindre skyddsvärda infrastrukturen hanteras på ett sätt och den skyddsvärda på ett annat. Om den aktuella organisationen däremot inte har gjort informationsklassning av applikationer och infrastruktur så gör man nog klokast att avstå från outsourcing av it-drift eller molntjänster.

En annan viktig del är att se över om LOU medger att en myndighet kan kravställa it-drift i Sverige, trots att det är EU som vanligtvis gäller. Frågar man jurister som specialiserat sig på offentlig upphandling verkar kravet på det geografiska läget fungera, men det är svårare att ställa krav på personalens nationalitet.

– Ett rimligt krav för att skydda säkerhetsklassade uppgifter hade varit att servrarna ska stanna i landet. Kravet att personalen ska vara svensk kan inte ställas, däremot att all personal som hanterar den känsliga informationen ska vara säkerhetsklassade, säger Eva-Maj Mühlenbock, delägare i Lindahl.

Sara-Li Olovsson, advokat på Delphi, är inne på samma linje när hon svarar på frågan om det går att säkerställa drift i Sverige i en upphandling även om de säkerhetsklassade uppgifterna bara utgör en liten del av den totala infrastrukturen.

– Det generella svaret är att det rent upphandlingsrättsligt är möjligt att ställa krav på drift i Sverige i en upphandling, förutsatt att kravet är i enlighet med den grundläggande upphandlingsprincipen om proportionalitet, det vill säga att kravet går att motivera på objektiva grunder och inte är utformat i syfte att snedvrida konkurrensen eller otillbörligt missgynna eller gynna en viss leverantör, säger hon och utvecklar:

– Ett exempel då det är tillåtet med ett sådant krav är att det följer direkt av annan speciallagstiftning som ställer krav på att hantering av data ska utföras på ett visst geografiskt ställe. Detta gäller oavsett om bara en liten del av det totala upphandlingsföremålet utgör högt säkerhetsklassade uppgifter, och förutsatt att det inte är praktiskt möjligt eller lämpligt att dela upp upphandlingen i flera separata delar, där en del är förenad med krav på hantering av data i Sverige och övriga delar inte har samma krav på hantering av data.

Men det finns som sagt också tydliga begränsningar i vilka krav som får ställas.

– Det är däremot typiskt sett i strid med upphandlingsreglerna att ställa krav på att en leverantör måste vara svensk för att kunna tilldelas kontrakt i en upphandling. Men ett krav på att viss drift måste ske i Sverige är alltså inte generellt förbjudet, säger Sara-Li Olovsson till Computer Sweden.

Annons

Bli kvalificerad IT-upphandlare. Upphandling24 arrangerar en populär utbildning under två dagar för dig som idag jobbar med upphandling, men vill bli kvalificerad IT-upphandlare. Läs mer här.

Läs mer: IT datait-skandalensäkerhetsklassTransportstyrelsen

Erik Säfvenberg

es@uh24.se

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler nyheter

Askersund

NCC-affär växte med hall

Askersunds kommuns affärer med NCC om nya skolbyggnader omfattade till slut även bygget av en idrottshall. Konkurrensverket vill nu att kommunen straffas med 3,2 miljoner kronor för en otillåten direktupphandling.

Tog strid och vann

Värmdö kommun gav sig inte mot det stora taxibolaget efter att ha direktupphandlat skolskjutsar. Resultatet: en halv miljon ”in” istället för ett skadestånd på upp mot 6,5 miljoner kronor.

Christina tar hem Anbudspriset

Christina Larsson, strategisk upphandlare på Energimyndigheten, är årets vinnare av Anbudspriset. Hon belönas för en upphandling av kommunikation där dialog och förståelse för branschen stack ut. ”Härligt och kul att vinna”, säger den nöjda pristagaren.

Vill bli bjudna till buffén

Fler deltar – nästan hälften tycker att det blivit krångligare. En undersökning från Företagarna ger en splittrad bild av små och medelstora företags syn på offentlig upphandling.

Ronnie Svensson

Befäster och bygger starkt

Karriär

Fortifikationsverkets inköpsfunktion har ett 20-tal tjänster med en verksamhet i behov av ökade resurser i takt med att totalförsvaret växer. ”Vi rekryterar för fullt och kommer att bli fler i alla våra grupper”, säger nye inköpschefen Ronnie Svensson.

Clauda Gardberg Morner Foto: Frida Ström.

Söker svar om vägreform

RIksrevisionen inleder en granskning av de statliga bolagen Svevia och Infranord med huvudfokus om bildandet av dessa bidragit till en fungerande konkurrens på väg- och järnvägsmarknaden.

Lediga jobb

  • Vill du bidra till att stärka läkemedelsförsörjningen av vacciner i Sverige?
  • Jurist till inköpsenheten på Polismyndigheten, Stockholm
  • Inköpare med inriktning Entreprenad, Tekniska konsulter och Drift & underhåll, Stockholm/Linköping
  • Strategisk Inköpare till Luftfartsverket, LFV
  • Inköpare med inriktning Entreprenad, Tekniska konsulter och Drift & underhåll, Stockholm/Linköping

Senaste nyheterna

NCC-affär växte med hallNCC-affär växte med hall
Tog strid och vannTog strid och vann
Christina tar hem AnbudsprisetChristina tar hem Anbudspriset
Vill bli bjudna till buffénVill bli bjudna till buffén
Befäster och bygger starktBefäster och bygger starkt
Söker svar om vägreformSöker svar om vägreform
Stenig mark ger egen regiStenig mark ger egen regi
Skenande kostnader igenSkenande kostnader igen
ANNONS FRÅN BOKABUSS

Ny tjänst gör det enklare att upphandla bussresor

Bokabuss.nu gör det enkelt för dig som jobbar inom offentlig sektor att upphandla bussresor för både mindre och större sällskap. Med vår tjänst är det enkelt att hitta en prisvärd buss i lagom storlek för bussresor till olika destinationer, säger Ludwig Lindström, Country Manager Sverige.

Senaste kommentarerna

  • ”LOU driver upp byggpriserna”Att fulhandla utan LOU leder i normalfallet till korruption och sämre konkurrens. Att allmännyttan skulle göra bättre affärer utan LOU...
  • Drar paralleller med RyssbojkottProblemet med Henriks agerande hösten 2022 var att: -Av hundratals leverantörer som har Göteborg som kund och ibland flyger, så...
  • Nya krav för konkurrensenKan ni inte länka till de nya kraven på uppgiftslämning från 1 januari 2024 i artikeln? Det är inte omöjligt...
  • Nya krav för konkurrensenMycket bra initiativ av regeringen. Dock så gäller det förmodligen bara de upphandlingar som efterannonseras, vilket ger en marginell effekt....
  • ”LOU driver upp byggpriserna”Det var väl ingen som hyllade samverkansentreprenader utan nämnde att det finns goda exempel av sådana projekt, precis som det...
ANNONS FRÅN HBV

HBV upphandlar försäkrings­förmedlar­tjänster

HBV utvecklar sitt erbjudande till medlemmarna genom att upphandla försäkringsförmedlartjänster. För Allmännyttans inköpsfunktion innebär detta ytterligare fyra spännande områden där HBV kan bidra med sin kunskap och expertis. Beräknad avtalsstart är 1 mars 2024.

Aktuella utbildningar

  • Anbuds­utvärdering | 18 oktober (3 platser kvar)
  • Agil upphandling | 19 oktober
  • Kvalificerad entreprenad­upphandlare | 25-26 oktober
  • Säkerhetsskyddad upphandling | 9 november
  • Praktisk avtalsrätt inom LOU och LUF | 14 november
  • Få fart på er avtals­förvaltning | 15 november
  • Förhandling som redskap inom offentlig upphandling | 16 november
  • Kvalificerad IT-upphandlare | 22-23 november (1 plats kvar)
  • Leda upphandlingar effektivt | 30 november
  • Hållbar upphandling | 5 december
  • LOU på två dagar | 6-7 december
  • Entreprenadupphandling och AMA AF | 11 december
  • Ramavtal – fördjupnings­kurs | 18 januari 2024

Få vårt nyhetsbrev

Håll dig informerad om de senaste nyheterna inom offentlig upphandling! Prenumerera på Upphandling24:s kostnadsfria nyhetsbrev.

Prenumerera, nyhetsbrev
Typ av verksamhet *
Specialområde
Jag godkänner att mina uppgifter lagras (integritespolicy) *

RSS Analyser från Inköpsrådet

  • Tre saker att tänka på vid spendanalys
  • Viktiga tips för hållbar uppföljning
  • Risk för skada om upphandling görs om
  • Vem ska besluta om avgift mot KKV?
  • Menar vi allvar med dialog?
  • Sexmånadersfristen klargörs
  • Pålitliga fakta bygger förtroende
  • Flera mål i retur efter rättegångsfel
  • Enbart sanningsförsäkran räcker inte
  • Bättre hållbara affärer nu!
ANNONS FRÅN UPPHANDLING24

Lär dig skriva bättre avtal

Avtalet är kärnan i affären och avtalsrätten i sig regleras inte i LOU. Därför är det viktigt att du som upphandlare sätter dig in i hur du formulerar korrekta avtal och vad du bör tänka på för att säkerställa en bra affär.

Om Upphandling24

Upphandling24 ges ut av PMP Public Media Partner AB. Ansvarig utgivare: Helle Kierkegaard

Kontaktuppgifter

Adress: Upphandling24, Tegnérgatan 39, 111 61 Stockholm

Länkar

Personuppgiftspolicy »
Prenumerera på nyhetsbrev »
Annonsera »