Utan strategiska redskap sker valet av långsiktig IT-partner lika mycket i blindo som för männen och kvinnorna som förlovar sig innan de har setts i reality-tv-serien “Love is Blind”.
Två förändringar ändrar just nu förutsättningar vid offentliga IT-upphandlingar. För det första höjs insatserna när IT-upphandlingar tecknas med allt längre avtal. Idag är många kontrakt upp till tio år långa. Konsekvenserna vid fel beslut blir därmed flerfaldigt större.
För det andra ökar cyberangreppen mot samhällsviktig verksamhet. Under 2023 skedde totalt 334 IT-incidenter mot 136 statliga organisationer och myndigheter enligt MSB. Det var ungefär lika många som åren innan.
Den stora skillnaden var att andelen cyberangrepp var betydligt fler. Bjurholm, Kalix och Kumla är några svenska kommuner som varit utsatta.
När personalen i Bjurholm slog på datorerna en morgon i maj 2024 fungerade varken interna datasystem, internet, webb, e-tjänster eller e-post. Kommunens administration och journalhantering var några delar som drabbades.
“Utan kunskap och rätt krav riskerar valet av långsiktig IT-partner ske lika blint som valet av partner i reality-tv-serien Love is Blind”
Hösten 2024 var det Kumlas tur att utsättas, vilket ledde till att personlig information spreds till obehöriga. I en osäker värld med långa avtal måste kvalitet uppvärderas och kopplas till säkerhet. Till sakens natur hör att det är relativt lätt att utvärdera en prislapp, men betydligt svårare att utvärdera kvalitet.
Utvärdering baserad på kvalitet kräver att upphandlaren vet vad som är viktigt. Det är särskilt svårt när det handlar om komplexa tjänster, såsom IT.
Upphandlare på myndigheter hanterar många branscher och kommer alltid kämpa i motvind för att ha tillräcklig kunskap. Det går att jämföra med en badrumsrenovering. För köparen som inte kan så mycket om badrum är det lätt att välja leverantör med lägst pris, men därmed ökar risken för fuktskador som i slutänden kan kosta mångdubbelt den ursprungliga kostnaden.
Vid IT-upphandlingen kan följden istället vara journaluppgifter på vift, inställda operationer
eller vatten och avlopp som slutar fungera. I en turbulent värld med långa IT-avtal är kunskapsinhämtning före upphandlingen en förutsättning om upphandlarna ska ha en chans att ställa rätt krav.
Här är strukturerade intervjuer med leverantörer ett redskap som ger insikter i avgörande faktorer för säker IT-drift. Varför det här inte är kutym vid alla offentliga IT-upphandlingar idag är svårt att förstå. Utan kunskap och rätt krav riskerar valet av långsiktig IT-partner ske lika blint som valet av partner i Love is Blind. I båda fallen kan det sluta i en lyckad match – eller en total flopp. Det må vara hänt i ett datingprogram, men bör knappast ske när det riskerar innebära fara för svenska invånare.
Claes Karlsson, försäljningschef IT-Total, med 25 års erfarenhet som rådgivare för leverantörer och offentlig sektor
Mats Kyllenius, försäljnings- och budansvarig IT-Total
Rubriker som denna väcker något i mig. Alla verksamhetsansvariga som är eller ska vara experter inom sitt område är ju en förutsättning för att ens ställa rätt krav i en upphandling. Naturligtvis är det superviktigt att upphandlaren är en duktig process ledare som på ett effektivt sätt leder genom en KPD eller vad som nu är lämpligast. Men ibland kan jag undra om vi inte snubblar lite när vi tror att en upphandlare ska vara expert på allt ifrån GDPR, info säk, hållbarhet, innovation och affärsjuridik samtidigt. Det är när verksamheten (är proffs på sin verksamhet) och upphandling (proffs på att göra en bra affär) möts på ”mitten” med blicken framåt och uppåt vi skapar de bästa förutsättningarna. Vi kan inte förvänta oss att en upphandlare ska ha samma kompetens som en IT säkerhetsstrateg.
Katarina har naturligtvis helt rätt i sin analys i ovanstående kommentar. Vi behöver komma bort från den märkliga bilden att upphandlaren ska kunna allting och därmed vara ansvarig för allting. Det är IT-säk och informationssäk som ansvarar för erfarenhet och kompetens avseende att ställa krav inom sina respektive områden. Jag tror snarare att det är här vi har utmaningen – att få med organisationen och få den att förstå att en bra genomförd upphandling belönar verksamheten i form av en bra tjänst/system/leverantör. På samma sätt som en upphandling med brister potentiellt för med sig en massa negativa konsekvenser. Det är ju inte upphandlaren sen som ska förvalta avtalet – det ska verksamheten göra.
Genom att mötas i de olika kompetenserna uppstår den goda affären.
Det är oseriöst att kräva att upphandlare ska jobba även med cybersäkerhet när utbildade experter inom just det området gör många miss. Intervjuer bör ersättas med specifika loggar som kan granska av experter. Muntlig information ger väl ingen säkerhet.
Överlag gillar företrädare för näringslivet i debattartiklar att lägga mycket ansvar på “upphandlaren”. Det är iofs kul med ansvar men som anförs ovan blir det lite löjligt.