“Så undviker du ett it-haveri”

Först var det Transportstyrelsen. Och sedan kom Facebook och Cambridge Analytica. It-skandalerna har duggat tätt det senaste året. På SOI:s årskonferens bjöds därför advokatfirman Kahn Pedersen in för att guida till en mer ansvarsfull digitalisering. "Tittar man på projekt som har gått fel så är det ofta tidsfaktorn som har ställt till det", säger advokaten Kristian Pedersen.

Advokaterna Kristian Pedersen, Erik Olsson, Daniel Lundqvist och Martin Brinnen från advokatfirman Kahn Pedersen. Foto: Andreas Söderlund

Få ämnen ger så mycket skrämselhicka på myndigheter just nu som it-säkerhet och den nya Dataskyddsförordningen, GDPR. Men när advokaterna på Kahn Pedersen höll sitt seminarium på årskonferensen handlade det inte enbart om hur myndigheter ska efterfölja lagen. Under rubriken ”Ansvarsfull digitalisering för myndigheter” talade de om hur myndigheter kan genomföra sin digitalisering också utan att trampa på ömma tår utifrån hur allmänheten tycker att informationen bör behandlas.

– Vad gäller Facebook handlade det kanske så tydligt om något lagbrott. Där styr mera det allmänna medvetandet om hur man använder information. Om det sker det på ett sätt som allmänheten finner godtagbart, säger Kristian Pedersen.

Advokaterna påminner om att vi nu lever i en tid då de här frågorna kanske diskuteras mer än någonsin tidigare. Det är inte bara på grund av risken för höga sanktionsavgifter som frågorna måste lyftas upp mer och mer. Det är heller ingen självklarhet vad exakt lagen kräver när det gäller digitalisering.

Offentlighets- och sekretesslagen, OSL, har mindre än tio år på nacken. Men den är redan föråldrad, konstaterar advokaterna. I lagtexten tas det för givet att all information förvaras och hanteras på myndigheten. Men hur man ska göra när man outsourcar delar av sin it-hantering är än så länge oklart.

– Det är rättsligt osäkert. Man hamnar i en situation som myndighet där man står i ett vägval. Antingen tar man det säkra före det osäkra och anställer själv och bygger sina egna system. Men det blir dyrt och allt mer orealistiskt. Det motsvarar heller inte längre medborgarnas förväntningar på modern förvaltning, säger advokaten Erik Olsson.

Han fortsätter:
– Det andra är att man försöker tolka och hitta lösningar för att så långt som möjligt klara en så lämplig sekretessbild som möjligt.

Exakt hur man ska göra är det i nuläget ingen som kan svara på. Exempelvis har det funnits tankar på att myndigheten kunde skriva ett sekretessavtal med det externa bolaget. Men det har redan JO reagerat på. Trots sekretessavtalet blir inte de anställda på det externa bolaget straffrättsligt förpliktade så som det är för de anställda på myndigheten.

Det positiva är att en ny lagtext är på gång där även anställda på ett externt bolag kan bli straffrättsligt förpliktade. I sådana fall borde knuten delvis kunna knytas upp.

Men hur undviker man då skandalen i samband med en upphandling där det ingår sekretessbelagda uppgifter? Kristian Pedersens bästa tips är att ta god tid på sig. Det vanliga misstaget som begås är att man hamnar i tidsnöd och då slarvar med sekretessprövningen.

– Det tar mellan två till sex veckor för Säpo att göra en säkerhetsprövning av personal som ska utföra arbetet. Lägger man det på toppen av en kanske redan pressad tidsplan så blir det en ytterligare börda som man måste ta höjd för redan i planeringen av projektet, säger Kristian Pedersen.

Dessutom, konstaterar han, går det att spara mycket tid på en bättre planering av upphandlingen. Samtliga leverantörer som berörs behöver kanske inte få tillgång till all information. Om beslut går att fatta utan att samtliga leverantörerna tar del av sekretessbelagda uppgifter sparar du inledningsvis mycket tid.

När väl avtalen är skrivna dyker däremot ofta nästa problem upp. Lagtexterna ändras förhållandevis snabbt på det här området. Advokaterna konstaterar att upphandlare generellt behöver bli bättre på avtalsskrivande – och att försöka förutse vad som kan hända under avtalstiden. De nämner Dataskyddsförordningen som ett exempel på något som hade varit lättare att hantera om fler hade tagit de kommande förändringarna i beaktande redan i ett tidigare skede.

– Man borde ha förstått att saker kommer ändras här. Då kunde man i avtalen ha varit tydlig med att det här kan inträffa och om det inträffar så händer det här. Man kunde ha förutsett det och reglerat det och skapat en process för hur man ska hantera det, säger advokaten Daniel Lundqvist.

Samtidigt, konstaterar han, går det inte att förutse allting. Som upphandlare behöver man vara förberedd på att ändringar kommer kunna ske. Och det i sin tur kräver att upphandlare mer än tidigare jobbar med förhandlingar och kommunikation medan lagarna fortsätter förändras.

Andreas Söderlund

På Upphandling24:s konferens, Upphandla it, tar vi dessa frågor vidare. Några av ämnena är: informationssäkerhet i upphandling, GDPR för upphandlare och så påverkas it-upphandlarna av regeringens krav på ökad digitaliseringstakt. Som bonus erbjuds ett frukostseminarium i hur man skapar kontrakt som fungerar under digitaliseringsresan.

Annons

Bli kvalificerad IT-upphandlare. Upphandling24 arrangerar en populär utbildning under två dagar för dig som idag jobbar med upphandling, men vill bli kvalificerad IT-upphandlare. Läs mer här.