Skip to content
  • Om oss
  • Kontakta oss
  • Nyhetsbrev
  • Annonsera
Upphandling24
  • Nyheter
    • Debatt
    • Expertsvar
    • LOU
    • Nya LOU
    • Förvaltningsrätten
    • Direktupphandling
    • Överprövning
    • Ramavtal
    • Juridisk krönika
    • Rättsfallsanalys
  • Karriär
    • Lönestatistik
    • Lediga jobb
    • Platsannonsera
    • Student
    • Utbildningar
  • Konferens
  • Utbildning
  • Nätverk
  • Kompendier
  • Om oss
    • Om oss
    • Kontakta oss
    • Nyhetsbrev
  • Annonsera
    • Annonsera
    • Platsannonsera

Brist på kunskap och kontroll bakom it-skandalen

Computer Sweden har kartlagt hur säkerhetsklassad information på Transportstyrelsen kunnat hamna utanför svensk kontroll. Brist på krav och kunskap om regler kring offentliga upphandlingar är några faktorer som ligger bakom.

| 2017-08-17

Computer Swedens kartläggning inleds med att konstatera att haveriet kring Transportstyrelsens it-outsourcing med alla dess politiska följder varit en av sommarens flitigast diskuterade nyheter. Att myndighetens känsliga data har riskerat hamna i orätta händer har varit navet i det som har kommit att kallas it-skandalen. Detta efter att icke säkerhetsklassade personer i andra länder ska ha haft tillgång till känslig information som uppges ha kunnat hota rikets säkerhet.

Att IBM valt att hantera Transportstyrelsens it från Östeuropa har i brist på andra besked förklarats med att det förmodligen varit mer ekonomiskt fördelaktigt. Exakt hur svenska IBM har tänkt, och huruvida bolaget anser sig ha något ansvar i det som inträffat eller hade kunnat se till att den känsliga informationen behölls i Sverige, är det tyvärr svårt att få några klara svar på. Bolagets policy om att inte kommentera specifika kunder verkar lika cementerad som tidigare.

– Det vi har sagt är att vi följer kundavtalet enligt deras anvisningar. Kunden svarar så gott de kan på detta och jag måste hänvisa till dem i det här läget, säger bolagets informationschef Lennart Malm och rekommenderar läsning på Transportstyrelsens sajt.

En stor del av problemen i Transportstyrelsenhärvan kunde så klart ha undvikits om man hade hanterat de känsliga uppgifterna från Sverige med svensk säkerhetsklassad personal. I upphandlingsunderlaget framkommer klart och tydligt att det krävs säkerhetsklassad personal för att sköta uppdraget. Ett krav som uppenbarligen inte IBM uppfyllt då Transportstyrelsens numera sparkade generaldirektör Maria Ågren tvingats att godkänna avsteg från detta krav.

Enligt källor som Computer Sweden talat med som är väl insatta i upphandlingsarbete menar man att det som inträffat på Transportstyrelsen sannolikt har flera orsaker. För det första har myndigheter ofta bristande kontroll på vad som är skyddsvärd information och vad som kräver speciell hantering. Dessutom saknar ofta myndigheter kunskap om var den skyddsvärda informationen finns i den underliggande it-infrastrukturen. Det innebär att den skyddsvärda informationen och annan information blandas i till exempel en server.

Och det i sin tur leder till att en outsourcing av den servern skulle kräva högsta säkerhetsklassning trots att bara en bråkdel av innehållet har det behovet. Och tittar man på en myndighet som Transportstyrelsen så handlar det om fler än 1 000 servrar.

I Lagen om offentlig upphandling, LOU, står det inte tydligt om man kan kravställa it-drift i Sverige om bara en liten del av informationen har det underliggande säkerhetskravet.

– Det hade varit mycket lättare om man hade kunnat kravställa en it-drift från Sverige av svensk säkerhetsklassad personal, bekräftar en person med insyn i ärendet.

Men det ska, enligt vad Computer Sweden erfar, ha funnits en betydande risk att upphandlingen då, likt många andra offentliga upphandlingar i it-branschen, hamnat i en lång överprövningskarusell. Och viljan att slippa det ska ha varit ett av de tyngst vägande skälen till att man trots allt valde att gå vidare med endast krav om säkerhetsklassad personal.

När det gäller outsourcing av it-drift eller nyttjande av molntjänster för myndigheter finns således ett antal lärdomar att dra.

Den första är att alla organisationer, såväl myndigheter som privata företag bör informations- och säkerhetsklassa sina applikationer. Därefter måste respektive klassning hanteras på en egen underliggande infrastruktur, och när det väl är gjort kan den mindre skyddsvärda infrastrukturen hanteras på ett sätt och den skyddsvärda på ett annat. Om den aktuella organisationen däremot inte har gjort informationsklassning av applikationer och infrastruktur så gör man nog klokast att avstå från outsourcing av it-drift eller molntjänster.

En annan viktig del är att se över om LOU medger att en myndighet kan kravställa it-drift i Sverige, trots att det är EU som vanligtvis gäller. Frågar man jurister som specialiserat sig på offentlig upphandling verkar kravet på det geografiska läget fungera, men det är svårare att ställa krav på personalens nationalitet.

– Ett rimligt krav för att skydda säkerhetsklassade uppgifter hade varit att servrarna ska stanna i landet. Kravet att personalen ska vara svensk kan inte ställas, däremot att all personal som hanterar den känsliga informationen ska vara säkerhetsklassade, säger Eva-Maj Mühlenbock, delägare i Lindahl.

Sara-Li Olovsson, advokat på Delphi, är inne på samma linje när hon svarar på frågan om det går att säkerställa drift i Sverige i en upphandling även om de säkerhetsklassade uppgifterna bara utgör en liten del av den totala infrastrukturen.

– Det generella svaret är att det rent upphandlingsrättsligt är möjligt att ställa krav på drift i Sverige i en upphandling, förutsatt att kravet är i enlighet med den grundläggande upphandlingsprincipen om proportionalitet, det vill säga att kravet går att motivera på objektiva grunder och inte är utformat i syfte att snedvrida konkurrensen eller otillbörligt missgynna eller gynna en viss leverantör, säger hon och utvecklar:

– Ett exempel då det är tillåtet med ett sådant krav är att det följer direkt av annan speciallagstiftning som ställer krav på att hantering av data ska utföras på ett visst geografiskt ställe. Detta gäller oavsett om bara en liten del av det totala upphandlingsföremålet utgör högt säkerhetsklassade uppgifter, och förutsatt att det inte är praktiskt möjligt eller lämpligt att dela upp upphandlingen i flera separata delar, där en del är förenad med krav på hantering av data i Sverige och övriga delar inte har samma krav på hantering av data.

Men det finns som sagt också tydliga begränsningar i vilka krav som får ställas.

– Det är däremot typiskt sett i strid med upphandlingsreglerna att ställa krav på att en leverantör måste vara svensk för att kunna tilldelas kontrakt i en upphandling. Men ett krav på att viss drift måste ske i Sverige är alltså inte generellt förbjudet, säger Sara-Li Olovsson till Computer Sweden.

Annons

Bli kvalificerad IT-upphandlare. Upphandling24 arrangerar en populär utbildning under två dagar för dig som idag jobbar med upphandling, men vill bli kvalificerad IT-upphandlare. Läs mer här.

Läs mer: IT datait-skandalensäkerhetsklassTransportstyrelsen

Kommentatorerna ansvarar för sina egna kommentarer

Lämna ett svar Avbryt svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *

Fler nyheter

Kräver tillbaka EU-stöd

Ingen LOU eller LUF – inget stöd. Umeå och Sundsvall är två kommuner som får känna av Tillväxtverkets hårda linje.

Brittisk strid når Sverige

Uppdaterat

En hätsk arbetsmarknadskonflikt i Manchester får en ny spelplan i form av upphandlad kollektivtrafik i Sverige. Brittiska Unite tar ett ovanligt grepp för att försöka blockera Go Aheads entré på den svenska marknaden.

Hållbarhet kan ge lägre kostnader

Hållbara livsmedel behöver inte vara dyrt. Ett strategiskt hållbarhetsarbete kan snarare ge lägre kostnader för många inköp. Det är slutsatsen i en rapport från Upphandlingsmyndigheten.

Samling kring e-handel

I ett nytt digitalt utvecklingsprogram för e-handel deltar tio myndigheter under ledning av Statens servicecenter. Med programmet är förhoppningen att e-handel ska ses som en tydligare utvecklingsresurs inom respektive myndighet.

Vill involvera politikerna

Kalmar kommun går mot ett starkare politiskt inflytande över större upphandlingar. Det kan bli effekten av en förstudie som kritiserar att omsorgsnämnden rundats i viktiga ärenden

Redo för breda allmänheten

Direktupphandling för Lessebo blir sista pusselbiten när Region Kronoberg bygger upp ett heltäckande nät av externa vaccinatörer för fas fyra.

Lediga jobb

Strategisk upphandlare till Socialstyrelsen

  • Senior Upphandlare till Svefa i Göteborg
  • Upphandlingsjurister till Statens inköpscentral
  • Göteborgs Stad söker upphandlingsjurist med förvaltningsjuridisk inriktning
  • SKL Kommentus Inköpscentral söker Upphandlare
  • Upphandlare till SISAB
  • Region Jämtland Härjedalen söker Upphandlare för fastighetsrelaterade upphandlingar
  • Chalmers söker Upphandlare
  • Halmstad kommun söker Avtalscontroller
  • Halmstad kommun söker Upphandlare
  • Upphandlare inom IT till Helsingborgshem
  • Sida söker Inköpshandläggare
  • Folkhälsomyndigheten söker Upphandlare
  • Telge söker Senior entreprenadinköpare

Senaste nyheterna

Kräver tillbaka EU-stöd Kräver tillbaka EU-stöd
Brittisk strid når Sverige Brittisk strid når Sverige
Hållbarhet kan ge lägre kostnader Hållbarhet kan ge lägre kostnader
Samling kring e-handel Samling kring e-handel
Vill involvera politikerna Vill involvera politikerna
Redo för breda allmänheten Redo för breda allmänheten
Mer Medley i LinköpingMer Medley i Linköping
Hemma i Falkenberg Hemma i Falkenberg

Senaste kommentarerna

  • Vägleder om cirkulär ekonomiDet mesta som köps har oavsett seriösa ambitioner vid inköp tillverkats av giriga företag som lagt tillverkning av delar eller...
  • Avfallsbolag kan få böta 11 miljonerJag håller med om att det allmänna förtroendet för det offentliga påverkas negativt av dåligt skötta affärer och övriga mindre...
  • Avfallsbolag kan få böta 11 miljonerJag håller med om att det allmänna förtroendet för det offentliga påverkas negativt av dåligt skötta affärer och övriga mindre...
  • Avfallsbolag kan få böta 11 miljonerOavsett vad som gått fel så är det naturligtvis viktigt att det får konskevenser för de ansvariga personligen. Det "gamla"...
  • Avfallsbolag kan få böta 11 miljonerEtt troligt alternativ i aktuellt fall är att, det är resursbrist i bolagets upphandlingsavdelning som är orsaken till dessa otillåtna...

Shortcodes Ultimate

Aktuella utbildningar

  • Kvalificerad IT-upphandlare | 21-22 april
  • Praktisk avtalsrätt inom LOU och LUF | 11 maj
  • Få fart på er avtals­förvaltning | 12 oktober
  • Leda upphandlingar effektivt | 14 oktober
  • Kvalificerad entreprenad­upphandlare | 20-21 oktober
  • Säkerhetsskyddad upphandling | 9 november
  • Anbuds­utvärdering – med utvärderings­modeller och -kriterier | Hösten 2021

Guide – upphandla moduler

Upphandling24 har tillsammans med bolag i branschen tagit fram en guide för att upphandla moduler. Läs hela den 13-sidiga pdf:en och få tips och råd från upphandlare, leverantörer och jurister. Guiden är kostnadsfri.

Annons

Läs guiden om moduler

Ta del av kostnadsfri guide med råd, erfarenheter och branschkunskap kring att upphandla moduler och paviljonger som Upphandling24 har tagit fram tillsammans med leverantörer, upphandlare och jurister.

Nyhetsbrev

Prenumerera på vårt nyhetsbrev!

En gång i veckan får du ett mejl med de viktigaste nyheterna i upphandlingsvärlden. Du får också information om våra kommande evenemang.

Prenumerera, nyhetsbrev
Typ av verksamhet *
Specialområde
Jag godkänner att mina uppgifter lagras (integritespolicy) *

Om Upphandling24

Upphandling24 ges ut av PMP Public Media Partner AB. Ansvarig utgivare: Helle Kierkegaard

 

Kontaktuppgifter

Postadress: Upphandling24, Mariebergsgatan 15, 112 19 Stockholm
Besöksadress: Tegnérgatan 39,  Stockholm

Länkar

Personuppgiftspolicy »
Prenumerera på nyhetsbrev »
Annonsera »