SOU 2021:97
Säker och kostnadseffektiv it-drift
Till statsrådet Khashayar Farmanbar
Regeringen beslutade vid regeringssammanträde den 26 september 2019 att uppdra åt en särskild utredare att kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv it-drift samt hur dessa behov tillgodoses. Utredaren ska vidare analysera säkerhetsmässiga och rättsliga förutsättningar för samordnad statlig it-drift och lämna förslag på mer varaktiga former för sådan it-drift, om det bedöms lämpligt ur ett säkerhetsperspektiv, och de författningsförslag som detta kräver. Utredaren ska också analysera de rättsliga förutsättningarna för statliga myndigheter, kommuner och landsting att med bibehållen säkerhet utkontraktera it-drift till privata leverantörer och vid behov lämna författningsförslag (dir. 2019:64). Tilläggsdirektiv beslutades av regeringen den 2 juli 2020 (dir. 2020:73) och den 19 augusti 2021 (dir. 2021:60).
Uppdraget att kartlägga och analysera statliga myndigheters behov av it-drift och den offentliga förvaltningens rättsliga förutsättningar för utkontraktering av it-drift till privata leverantörer redovisades i utredningens delbetänkande Säker och kostnadseffektiv it-drift – rätts-
liga förutsättningar för utkontraktering (SOU 2021:1) som överläm-
nades till statsrådet den 15 januari 2021. Uppdraget att föreslå mer varaktiga former för samordnad statlig it-drift ska redovisas senast den 15 december 2021.
Som särskild utredare förordnades den 20 november 2019 generaldirektören Annelie Roswall Ljunggren.
Utredaren har biståtts av ett sekretariat. I arbetet med slutbetänkandet under 2021 har sekretariatet bestått av följande personer. Som huvudsekreterare anställdes den 17 februari 2020 enhetschefen Tina J Nilsson. Rådmannen Nils Sjöblom var från den 1 april 2020 till den 14 oktober 2021 anställd som utredningssekreterare. Som utredningssekreterare var också verksjuristen Eva Maria Broberg Lennartsson anställd från den 10 augusti 2020 till den 29 november
2021 och verksamhetsutvecklaren Sofia Sjölander från den 1 januari 2021 till den 29 november 2021.
En expertgrupp har biträtt utredningen. I arbetet med slutbetänkandet under 2021 har följande sakkunniga och experter ingått. Som sakkunniga att biträda utredningen förordnades den 3 februari 2020 kanslirådet Maria Fahlén, den 3 februari 2020 till den 21 mars 2021 kanslirådet Nils Fjelkegård, den 14 april 2020 till den 11 april 2021 departementssekreteraren Charlotte Koutras, den 22 mars 2021 till den 29 augusti 2021 departementssekreteraren Jeanna Thorslund, den 12 april 2021 departementssekreteraren Tommy Forsell och den 6 september 2021 departementssekreteraren Anders Lindell. Som experter att biträda utredningen förordnades den 3 februari 2020 departementssekreteraren Helen Kasström, rättssakkunnig Linnea Munkhammar, kanslirådet Fredrik Sandberg, den 3 februari 2020 till den 19 september 2021 departementssekreteraren Daniel Zerea, den 1 april 2020 departementssekreteraren Ingela Alverfors, den 9 juni 2020 till den 2 maj 2021 kanslirådet Karina Aldén, den 3 maj 2021 departementsrådet Jonas Iversen, den 3 maj 2021 departementsrådet Jenny Jensen samt den 20 september 2021 departementssekreteraren Jonathan Grosin.
Under 2021 har följande personer ingått i utredningens referensgrupp: Anders Asplund, Upphandlingsmyndigheten: Magnus Bergström, Integritetsskyddsmyndigheten: Nichlas Blomqvist, Länsstyrelsen Västra Götaland: Annika Bränström, Myndigheten för digital förvaltning: Ann-Marie Eklund Löwinder, Internetstiftelsen: Victoria Ekstedt, Säkerhetspolisen: Anna Granström, Lantmäteriet: Marie Holmberg, Statens servicecenter: Lotta Nordström, Sveriges Kommuner och Regioner: Pär Nygårds, IT&Telekomföretagen (numera TechSverige): Anders Parmér, Fortifikationsverket: Jonas Paulson, Myndigheten för samhällsskydd och beredskap: Ulrica Sandstedt, Ekonomistyrningsverket: Peder Sjölander, Skatteverket: Hans Sundström, Kammarkollegiet: Monica Svingen, Trafikverket: Ann-Louis Söderman, Försäkringskassan samt Christina Wikström, Wikström & Partners. Pär Nygårds ersattes den 1 juni 2021 av My Bergdahl, TechSverige. Anders Parmér ersattes från den 23 juni 2021 av Caroline Reuterskiöld Wall från Fortifikationsverket. Victoria Ekstedt ersattes den 1 oktober av Peter von Zeipel, Säkerhetspolisen.
Utredningen redogör för uppdraget i vi-form, även om det inte funnits fullständig samsyn i alla delar.
Utredningen, som har antagit namnet It-driftsutredningen (I 2019:03), överlämnar härmed sitt slutbetänkande Säker och kostnads-
effektiv it-drift – förslag till varaktiga former för samordnad statlig itdrift (SOU 2021:97).
Stockholm i december 2021
Annelie Roswall Ljunggren
/Tina J Nilsson Eva Maria Broberg Lennartsson Nils Sjöblom Sofia Sjölander
Sammanfattning
Inledning
Myndigheternas it-driftslösningar är inte alltid tillräckligt säkra eller kostnadseffektiva. Det behövs bättre förutsättningar för förvaltningen att få tillgång till säker och kostnadseffektiv it-drift. Det kan ske på olika sätt, bl.a. genom tydligare rättsliga förutsättningar för utkontraktering av it-drift till privata leverantörer men också genom varaktiga former för samordnad statlig it-drift.
Ett centralt syfte med en samordnad statlig it-drift är att bidra till ökad informationssäkerhet i den statliga förvaltningen. Vi presenterar i detta slutbetänkande vårt förslag till varaktiga former för samordnad statlig it-drift som ska ge myndigheter bättre förutsättningar att göra medvetna val av säkra och kostnadseffektiva it-driftslösningar.
Vårt uppdrag och innehållet i slutbetänkandet
Syftet med utredningen är att skapa bättre förutsättningar för den offentliga förvaltningen att få tillgång till säker och kostnadseffektiv it-drift genom antingen samordnad statlig it-drift eller tydligare rättsliga förutsättningar för att kunna anlita privata leverantörer av it-drift. I vårt delbetänkande Säker och kostnadseffektiv it-drift – rättsliga för-
utsättningar för utkontraktering (SOU 2021:1) presenterade vi våra ana-
lyser och förslag avseende rättsliga förutsättningar att utkontraktera it-drift till privata leverantörer.
I detta slutbetänkande fokuserar vi på förutsättningar och förslag på samordnad statlig it-drift. Vi redovisar en utvärdering av Försäkringskassans regeringsuppdrag om samordnad och säker statlig itdrift, analys av andra befintliga exempel på samordning av it-drift samt en analys av säkerhetsmässiga och rättsliga förutsättningar för
samordnad statlig it-drift. Därefter presenterar vi våra förslag på varaktiga former för samordnad statlig it-drift.
Samordnad statlig it-drift och ett samordnat statligt tjänsteutbud
En utgångspunkt för våra förslag är att en samordnad statlig it-drift ska kunna bidra med stöd i myndigheters val av säkra och kostnadseffektiva it-driftslösningar och bidra till att lösa gemensamma behov. Myndigheter kommer även i framtiden att ha behov av olika driftsalternativ där samordnad it-drift utgör ett driftsalternativ vid sidan av utkontraktering till privata leverantörer och drift i egen regi. Den samordnade statliga it-driften ska därför omfatta stöd till myndigheter vid valet av it-driftslösning: egen regi, samordnad statlig regi eller genom utkontraktering till en privat leverantör, och tillhandahållande av it-driftstjänster genom ett samordnat statligt tjänsteutbud.
Behovet av en samordnad statlig it-drift
Av vår kartläggning framgår att behoven av samordnad it-drift skiljer sig åt inom statsförvaltningen – vissa myndigheter efterfrågar ett helhetsåtande medan andra enbart efterfrågar enstaka tjänster. Vår enkät visar att en majoritet av myndigheterna efterfrågar infrastrukturtjänster, vilket innebär att det finns goda förutsättningar för att hitta någon form av minsta gemensamma nämnare som därefter kan varieras i olika typer av tilläggstjänster. Det framgår även av vår kartläggning att myndigheterna efterfrågar en flexibel och valbar lösning.
Många myndigheter saknar i dag viktiga förutsättningar för att kunna bedöma vilka it-driftslösningar som är mest lämpliga. Detta talar för att det finns ett stort behov av stöd bland myndigheterna för att kunna säkerställa en säker och effektiv it-drift inom statsförvaltningen.
Erfarenheter av samordning inom staten
Det finns flera exempel på samverkan och samordning i staten att dra lärdomar av i utformningen av en samordnad statlig it-drift. Exemplet Statens servicecenter bidrar med lärdomar när det gäller etabler-
ing och styrning av en samordnad lösning liksom former för anslutning, utveckling av tjänster, finansiering och uppföljning. Den förvaltningsgemensamma digitala infrastrukturen är ett intressant exempel på samverkan inom digitaliseringsområdet. Befintliga exempel på samordnad it-drift i staten ger kunskap och erfarenheter som är till stor nytta för utformningen av varaktiga former för samordnad statlig it-drift.
Utvärdering av Försäkringskassans uppdrag om samordnad och säker statlig it-drift
Försäkringskassan har sedan 2017 regeringens uppdrag att pröva och utvärdera former för samordnad och säker it-drift för vissa myndigheter. Redan från start fanns det ett stort intresse för den samordnade it-driften. Ett 50-tal myndigheter har varit i kontakt med Försäkringskassan, merparten av dessa är små myndigheter. Fram t.o.m. juni 2021 är sex myndigheter fullt ut anslutna till Försäkringskassans samordnade it-drift. Samtliga avser helhetsåtaganden.
Regeringsuppdraget har organiserats i form av ett projekt inom Försäkringskassans it-avdelning. Försäkringskassan har tagit fram en modell för anslutning och samverkan och myndigheterna sluter en överenskommelse om samverkan. Tjänsteutbudet har fastställts utifrån myndigheternas behov och Försäkringskassans interna förmåga. Uppdraget finansieras i huvudsak genom avgifter, men en viss del fick under de första åren bekostas med bidragsmedel.
Försäkringskassan har utifrån givna förutsättningar; med kort tid för förberedelser och uppbyggnad klarat uppdraget väl. Såväl kundmyndigheterna som Regeringskansliet anger att de är nöjda med hur Försäkringskassan har tagit sig an uppdraget. Vi har landat i ett antal slutsatser och analyserat vilka lärdomar, erfarenheter och investeringar som är relevanta att vidareutveckla inom ramen för våra förslag till mer varaktiga former för samordnad statlig it-drift.
Vi konstaterar att uppdraget är formulerat som en försöksverksamhet men att det i praktiken rör sig om en faktisk överföring av it-drift. Försäkringskassans kärnuppdrag sätter gränser för deras roll i en samordnad statlig it-drift, t.ex. när det gäller hur många myndigheter Försäkringskassan kan ansluta. Det har inte varit tydligt på vilka grunder vissa myndigheter har prioriterats för anslutning. Den modell för prioritering som tagits fram har inte fått genomslag i
praktiken. Det är vidare oklart i vilken utsträckning Försäkringskassan har bidragit till att öka myndigheternas informationssäkerhet.
Försäkringskassan erbjuder de tjänster som används internt inom myndigheten men har inte paketerat dem för externt bruk, vilket påverkar kundmyndigheternas möjlighet att ta ställning till vad Försäkringskassan kan erbjuda. Försäkringskassans modell för anslutning och samverkan fungerar överlag bra men behöver utvecklas, t.ex. hur nya behov omhändertas och rutiner för överlämning från projektet till linjeorganisationen. Överlag anser merparten av de tillfrågade myndigheterna att avgiftsfinansiering fungerar bra men det kan finnas behov av anslagsfinansiering i vissa delar: de initiala faserna vid anslutningen av mindre myndigheter samt kostnader för att utveckla gemensamma behov.
Det är svårt att på en övergripande nivå uttala sig om samordningsvinster, resultat och effekter av uppdraget eftersom det vid tidpunkten för vår utvärdering saknades uttalade mål och Försäkringskassan inte gjort några specifika resultat- och effektmätningar. Vidare är det svårt att bedöma uppdragets påverkan på kärnverksamheten. Den allmänna uppfattningen är dock att det inte fått någon påverkan eftersom uppdraget är litet i förhållande till Försäkringskassans kärnverksamhet.
Andra exempel på samordnad it-drift
Myndigheter samordnar redan i dag sin it-drift. Nästan var tredje myndighet (50 myndigheter) anger att de samordnar sin it-drift med en annan myndighet (36 myndigheter är mottagare och 14 myndigheter är tillhandahållare av it-drift). Exemplen skiljer sig åt men merparten präglas av en gemensam historik, gemensamt uppdrag eller geografisk närhet. De skiljer sig på så vis från Försäkringskassans uppdrag att erbjuda samordnad och säker statlig it-drift. Vi har även fördjupat oss i följande exempel: Länsstyrelsen i Västra Götalands län, Skatteverket och Sunet (Swedish University Computer Network).
Vi konstaterar att det finns såväl kompetens och erfarenhet som ett intresse hos ett flertal myndigheter att ge stöd till andra myndigheter. En viktig framgångsfaktor för en god samverkan är att myndigheterna etablerar ett partnerskap och undviker ett alltför utpräglat kund- och leverantörsförhållande. Myndigheterna upplever att
avgifter fungerar bra som finansieringsmodell. Det finns dock vissa utmaningar vid avgiftsfinansiering av utveckling och investeringar, där allt för stora skillnader i ekonomi kan leda till låsta positioner – där en myndighet har förutsättningar att investera medan den andra parten helt enkelt inte har råd.
Utgångspunkter och principer för varaktiga former för samordnad statlig it-drift
Vi föreslår att regeringen ska inrätta varaktiga former för samordnad statlig it-drift. Den samordnade statliga it-driften ska bidra till att lösa gemensamma behov och problem samt bidra med stöd till myndigheter i arbetet med att välja säkra och kostnadseffektiva lösningar för it-drift – från informationskartläggning och informationsklassificering till val av it-driftsform: egen regi, samordnad statlig regi eller genom utkontraktering till en privat leverantör. Vi föreslår även att regeringen ska skapa mer varaktiga former för ett samordnat statligt tjänsteutbud.
Organisering och styrning av en samordnad statlig it-drift
För att uppnå regeringens intentioner om en varaktig, samordnad, säker och kostnadseffektiv it-drift och tillvarata befintlig förmåga, kapacitet och kompetens ska en samordnad statlig it-drift organiseras utifrån befintliga verksamheter och en samlad styrning genom samordnade uppdrag till flera myndigheter.
Den samordnade statliga it-driften ska regleras genom en förordning om samordnad statlig it-drift. De myndighetsuppdrag som föranleds av den samordnade statliga it-driften ska framgå av förordningen. Berörda myndigheters instruktioner ska kompletteras med hänvisningar till förordningen.
Tjänsteutbud inom den samordnade statliga it-driften
Tjänsteutbudet inom samordnad statlig it-drift ska bestå dels av tjänster som levereras av privata leverantörer, dels av ett samordnat statligt tjänsteutbud. Det ska i sammanhanget framhållas att även
tjänster som ingår i ett samordnat statligt tjänsteutbud i någon utsträckning kommer att bygga på privata leverantörers tjänster. Tjänster från privata leverantörer ska som utgångspunkt upphandlas samordnat. Behovet av samordnade it-driftstjänster varierar inom statsförvaltningen. Vilka tjänster som ska ingå i det samordnade statliga tjänsteutbudet bör därför inte avgränsas i det här skedet. Det tjänsteutbud som ska ingå i det samordnade statliga tjänsteutbudet ska fastställas genom att matcha myndigheternas efterfrågan mot de tjänster som de myndigheter som ska tillhandahålla it-drift har förmåga att leverera. Behov av nya tjänster bör i första hand tillgodoses genom att tjänsterna upphandlas samordnat från privata leverantörer. Om det inte är lämpligt att tjänster tillhandahålls av en privat leverantör eller om en tjänst inte erbjuds på marknaden så bör en myndighet ges i uppdrag att utveckla tjänsten inom ramen för det samordnade statliga tjänsteutbudet. Förordningens tillämpningsområde bör inte begränsas till att avse endast teknisk lagring eller teknisk bearbetning av uppgifter för annans räkning.
Anslutning till det samordnade statliga tjänsteutbudet
Vi bedömer att det inte är möjligt att inom ramen för utredningen avgöra vilka myndigheter som ska anslutas till det samordnade statliga tjänsteutbudet. Det skulle kräva ingående kunskaper om varje enskild myndighets behov av it-driftstjänster och förutsättningar. Vi föreslår därför att bedömningen av vilka myndigheter som ska anslutas ska ske i dialog mellan de myndigheter som ska tillhandahålla it-drift och de myndigheter som anmäler intresse för att ansluta sig. En obligatorisk anslutning riskerar att frånta myndigheterna möjligheten att själva fatta beslut om sin it-drift. Vi föreslår därför att anslutningen till det samordnade statliga tjänsteutbudet ska vara frivilligt och bygga på överenskommelser mellan de samverkande myndigheterna.
Säkerhet
Det ställs särskilda krav på säkerheten i ett samordnat statligt tjänsteutbud där myndigheter erbjuder it-driftslösningar till andra myndigheter. Genom ett samordnat statligt tjänsteutbud samlas informa-
tionsmängder från flera olika myndigheter hos ett fåtal myndigheter. Det samordnade statliga tjänsteutbudet bör därför bygga på en flexibel och transparent lösning där it-driftstjänster från flera privata leverantörer ingår. Statliga aktörer måste dock ha rådigheten över det samordnade statliga tjänsteutbudet. Redundans bör säkerställas genom bl.a. spegling med flera datacenter. Ur ett säkerhetsperspektiv bör inte en sektorsindelning ligga till grund för anslutning av myndigheter.
De myndigheter som får uppdraget att tillhandahålla tjänster inom ramen för ett samordnat statligt tjänsteutbud ansvarar för att bedöma vilket behov som finns av säkerhetsskydd för den egna verksamheten. För att minimera riskerna med aggregerade informationsmängder ska tjänster inom ett samordnat statligt tjänsteutbud levereras av flera myndigheter.
Försvarsmyndigheterna och Säkerhetspolisen ska undantas från den samordnade statliga it-driften. Några andra myndigheter bedömer utredningen inte bör undantas.
Hantering av säkerhetsskyddsklassificerade uppgifter ställer särskilda krav på säkerhet vilket kan få konsekvenser för funktionalitet och kostnadseffektivitet i en samordnad lösning. Vi bedömer därför att säkerhetsskyddsklassificerade uppgifter inte ska hanteras inom det samordnade statliga tjänsteutbudet.
Finansieringsformer för den samordnade statliga it-driften
Befintliga exempel på samordnad it-drift finansieras i huvudsak genom avgifter. Leveransen av det samordnade statliga tjänsteutbudet kommer att ske mellan två definierade parter som tillsammans slutit en överenskommelse om vilka tjänster som ska tillhandahållas. Vi förslår därför att leveransen av it-driftstjänster inom ett samordnat statligt tjänsteutbud ska avgiftsfinansieras.
Erfarenheter från befintliga exempel visar dock att det finns delar i den samordnade statliga it-driften som inte lämpar sig lika väl för en avgiftsfinansierad modell: kostnader för uppbyggnad av en ny verksamhet, de tidiga faserna av en anslutning till det samordnade statliga tjänsteutbudet samt vid utveckling och andra investeringar. De myndigheter som ges i uppdrag att bidra med stöd inom den samordnade statliga it-driften ska tilldelas anslag för att finansiera de generella förberedelser som krävs. Stödinsatser till myndigheter inom den sam-
ordnade statliga it-driften ska finansieras genom anslag. För de myndigheter som har behov av ekonomiskt stöd ska det finnas möjlighet att rekvirera bidragsmedel för anslutning till ett samordnat statligt tjänsteutbud. Bidragsmedel ska också kunna rekvireras av de myndigheter som åtar sig att utveckla det samordnade statliga tjänsteutbudet.
Förslag till varaktiga former för samordnad statlig it-drift
Mål och syfte för en samordnad statlig it-drift
Målet för en samordnad statlig it-drift ska vara ökad säkerhet och kostnadseffektivitet i statliga myndigheters it-drift. Syftet med den samordnade statliga it-driften ska vara att erbjuda statliga myndigheter stöd och vägledning i valet av säkra och kostnadseffektiva itdriftslösningar samt att tillhandahålla ett samordnat och ändamålsenligt statligt tjänsteutbud. Ekonomistyrningsverket (ESV) ska ges i uppdrag att ta fram nolläge och nyckelindikatorer för uppföljning av bl.a. säkerhet och kostnadseffektivitet i en samordnad statlig it-drift.
Organisering av en samordnad statlig it-drift
En samordnad statlig it-drift ska organiseras genom en samordnande myndighet och flera leverantörsmyndigheter. Detta för att kunna erbjuda myndigheter ett samordnat stöd och en bredd av it-driftstjänster, säkerhetsnivåer och olika tekniska plattformar. Leverantörsmyndigheternas tjänster ska samordnas genom ett samordnat statligt tjänsteutbud. Den samordnade statliga it-driften ska underlätta för myndigheter att erhålla tjänster från privata leverantörer genom upphandlade ramavtal. Stöd- och expertmyndigheter ska ingå i organisationen för den samordnade statliga it-driften för att ge stöd inom sina respektive kompetensområden.
Den samordnande myndigheten ska vara ingången till den samord-
nade statliga it-driften. Myndigheten ska samordna stödet till myndigheter, sammanställa och efter samråd med leverantörsmyndigheterna besluta om ett statligt tjänsteutbud och samverka med Kammarkollegiet om ramavtal. Den samordnande myndigheten ska utveckla och förvalta gemensamma modeller, leda samverkan på förvaltningsgemensam nivå och följa upp och återrapportera den samordnade stat-
liga it-driften till regeringen. Vi föreslår att Myndigheten för digital förvaltning (DIGG) får i uppgift att vara samordnande myndighet.
Leverantörsmyndigheterna ska leverera it-driftstjänster till myn-
digheter inom ramen för det samordnade statliga tjänsteutbudet. De ska vägleda myndigheterna genom anslutningsprocessen och ta ut avgifter från anslutna myndigheter för it-driftsleveransen. Leverantörsmyndigheterna ska medverka i fastställande och utveckling av den samlade tjänstekatalogen tillsammans med den samordnande myndigheten och delta i samverkan på förvaltningsgemensam nivå. Vi föreslår att Försäkringskassan, Lantmäteriet, Skatteverket och Trafikverket får i uppgift att vara leverantörsmyndigheter.
Stöd- och expertmyndigheter ska lämna stöd i frågor om it-drift
inom sina respektive kompetensområden. De ska även delta i samverkan på förvaltningsgemensam nivå. Vi föreslår att Integritetsskyddsmyndigheten, Myndigheten för samhällsskydd och beredskap, Säkerhetspolisen och de länsstyrelser som är tillsynsmyndigheter enligt säkerhetsskyddslagen samt Upphandlingsmyndigheten ska få i uppgift att samverka med den samordnande myndigheten i frågor som rör it-drift.
Kammarkollegiet ska få i uppgift att samverka med den samordnande myndigheten om upphandling av ramavtal för it-drift som är avsedda för andra statliga myndigheter.
Försvarsmakten ska få i uppgift att samråda med den samordnande myndigheten i frågor om Sveriges säkerhet kopplade till den samordnade statliga it-driften.
Den samordnande myndigheten ska leda samverkan på förvalt-
ningsgemensam nivå med leverantörsmyndigheterna, myndigheter
med behov av stöd och med stöd- och expertmyndigheterna. Leverantörsmyndigheterna ska samverka och följa upp leveransen med anslutna myndigheter på operativ, taktisk och strategisk nivå med utgångspunkt i den övergripande modell för samverkan som beslutas av den samordnande myndigheten.
Anslutning av myndigheter
Leverantörmyndigheterna och den samordnande myndigheten ska gemensamt under ledning av den samordnande myndigheten ta fram en modell för anslutning. De lärdomar och investeringar som gjorts
i Försäkringskassans uppdrag om samordnad och säker statlig it-drift och det utvecklingsarbete som gjorts inom det myndighetsövergripande programmet Säkra it-tjänster i statlig samverkan (SITSSAM) bör tillvaratas.
En prioriteringsordning mellan den anslutna myndigheten och leverantörsmyndigheten bör formaliseras genom en samverkansöverenskommelse. Leverantörsmyndigheternas säkerhetsnivå bör dimensioneras efter de högst ställda kraven på säkerhet från en anslutande myndighet. För att säkerställa att myndigheter med olika grad av säkerhetskrav, olika typ av verksamhet och tekniska krav ska kunna ansluta sig till ett samordnat statligt tjänsteutbud bör det samordnade statliga tjänsteutbudet i framtiden kompletteras med ytterligare leverantörsmyndigheter än de vi föreslår.
Förutsättningar utifrån kraven på säkerhetsskydd
Varje myndighet som vill ansluta sig till det samordnade statliga tjänsteutbudet måste ta ställning till om det är möjligt och lämpligt utifrån de krav som säkerhetsskyddslagen ställer på den egna verksamheten. De myndigheter som tillhandahåller tjänster inom det samordnade statliga tjänsteutbudet måste löpande ta ställning till hur tillhandahållandet påverkar myndighetens verksamhet utifrån säkerhetsskyddssynpunkt.
Reglering av villkoren för leverantörsmyndigheternas behandling av personuppgifter
En leverantörsmyndighets personuppgiftsbehandling för en ansluten myndighets räkning, när den anslutna myndigheten är personuppgiftsansvarig och leverantörsmyndigheten personuppgiftsbiträde, ska regleras i den förordning som vi föreslår. De villkor som uppställs i artikel 28.3 i dataskyddsförordningen, som inte är möjliga att reglera i förordningen, ska vara en del av den skriftliga överenskommelsen.
Behovsstyrd och samordnad upphandling av tjänster inom samordnad statlig it-drift
Kammarkollegiet ska ges i uppdrag att samverka med den samordnande myndigheten om upphandling av ramavtal för tjänster inom it-drift avsedda för statliga myndigheter. Upphandlingen ska utgå från de behov som den samordnande myndigheten bedömer finns hos myndigheterna och de krav som den samordnande myndigheten bedömer måste vara uppfyllda för att de upphandlande tjänsterna ska kunna användas av myndigheterna.
Den samordnande myndigheten ska ges i uppdrag att ansvara för behovsinsamling och teknisk och rättslig kravställning inför Kammarkollegiets ramavtalsupphandlingar av tjänster inom it-drift.
Regeringen bör säkerställa att Kammarkollegiet upphandlar ett ramavtal för it-drift för myndigheter med färre än 100 anställda.
Konkurrensrättsliga överväganden
Tillhandahållande av tjänster inom ett samordnat statligt tjänsteutbud kan vara företag i konkurrensrättslig mening.
Erhållande av tjänster inom ett samordnat statligt tjänsteutbud är sannolikt inte företag i konkurrensrättslig mening, under förutsättning att tjänsterna som erhålls inte erbjuds vidare till annan myndighet. Leverantörsmyndigheterna bör utreda vilken verksamhet inom respektive myndighet som utgör företag i konkurrensrättslig mening. Exempelvis kan aktiviteter på inköpssidan innefattas i den ekonomiska verksamheten, om inköpen avser tjänster som erbjuds inom det samordnade statliga it-tjänsteutbudet.
För att förebygga att förfaranden i säljverksamhet som bedrivs av leverantörsmyndigheterna blir otillåtna utifrån regeln om konkurrensbegränsande offentlig säljverksamhet så bör själva uppgiften att tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud författningsregleras. Dessutom bör det införas en bestämmelse i förordningen som vi föreslår att leverantörsmyndigheterna endast får erbjuda tjänster inom ett samordnat statligt tjänsteutbud till andra myndigheter. Även principerna för avgiftsuttag bör framgå av förordningen. Det bör också övervägas om ett krav på särredovisning ska införas.
Om verksamheten att tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud ska finansieras helt eller delvis genom anslag från regeringen eller genom anslag som fördelas via den samordnande myndigheten bör det utredas om finansieringen kan utgöra ett otilllåtet statsstöd. Anslag som lämnas till myndigheter för att de ska kunna förbereda den egna organisationen för en anslutning till den samordnade statliga it-driften utgör sannolikt inte statsstöd, så länge anslagen inte används för att täcka avgifter för den samordnade statliga it-driften.
Våra förslag innebär inte en ensamrätt eller särskilda rättigheter i EU-fördragets mening.
Leverantörsmyndigheterna bör bedöma om tjänster som tillhandahålls inom det samordnade statliga tjänsteutbudet utgör tjänster av allmänt ekonomiskt intresse och vilka konsekvenser det i så fall får.
Införande av varaktiga former för samordnad statlig it-drift
Den samordnade statliga it-driften ska etableras genom ett stegvis införande. I ett första steg ska regeringen ge ett samlat uppdrag till berörda myndigheter att etablera kompetens, förmåga och former för en samordnad statlig it-drift med utgångspunkt i utredningens förslag. Regeringen ska också förlänga Försäkringskassans befintliga uppdrag om samordnad och säker statlig it-drift samt ge ESV i uppdrag att ta fram indikatorer för uppföljning av den samordnade statliga it-driften. I nästa steg ska regeringen inrätta den samordnade statliga it-driften genom att besluta om en förordning för samordnad statlig it-drift och ändringar i berörda myndigheters instruktioner. Statskontoret ska ges i uppdrag att utvärdera den samordnade statliga it-driften.
Det samlade regeringsuppdraget att etablera former och förmåga för en samordnad statlig it-drift ska starta den 1 januari 2023. Slutrapportering av uppdraget ska ske senast den 30 juni 2024. Förordningen om samordnad statlig it-drift och nödvändiga ändringar i berörda myndigheters instruktioner ska träda i kraft den 1 juli 2024.
Vissa förkortningar
DAFA Datamaskincentralen för administrativ databehandling dir. direktiv DIGG Myndigheten för digital förvaltning Ds Departementsserien eSam eSamverkansprogrammet ESV Ekonomistyrningsverket EU Europeiska unionen FEU fördraget om Europeiska unionen HFD Högsta förvaltningsdomstolen IMY Integritetsskyddsmyndigheten KL konkurrenslagen (2008:579) LOU lagen (2016:1145) om offentlig upphandling LUF lagen (2016:1146) om upphandling inom försörjningssektorerna LUFS lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet MD Marknadsdomstolen MSB Myndigheten för samhällsskydd och beredskap MSBFS Myndigheten för samhällsskydd och beredskaps föreskrifter
NJA Nytt Juridiskt Arkiv OECD Organisationen för ekonomiskt samarbete och utveckling OSL offentlighets- och sekretesslagen (2009:400) PTS Post- och telestyrelsen Prop. regeringens proposition RÅ Regeringsrättens årsbok SITSSAM Säkra it-tjänster i statlig samverkan SOU Statens offentliga utredningar Sunet Swedish University Computer Network TBM Technology Business Management TF tryckfrihetsförordningen tystnadspliktslagen lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter
1. Författningsförslag
1.1. Förslag till förordning om samordnad statlig it-drift
Härigenom föreskrivs följande.
Inledande bestämmelser
1 § Denna förordning är meddelad med stöd av 8 kap. 7 § regeringsformen.
2 § Syftet med den samordnade statliga it-driften är att erbjuda myndigheter stöd och vägledning i valet av säkra och kostnadseffektiva it-driftstjänster samt att tillhandahålla ett samordnat statligt tjänsteutbud.
Definitioner
3 § Med myndighet avses enligt denna förordning myndigheter under regeringen med undantag av Fortifikationsverket, Försvarets materielverk, Försvarets radioanstalt, Försvarshögskolan, Försvarsmakten,
Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, Säkerhetspolisen, Totalförsvarets plikt- och prövningsverk och Totalförsvarets forskningsinstitut.
4 § Med samordnad statlig it-drift avses stöd som ges enligt denna förordning till myndigheter vid valet av it-driftslösning. I den samordnade statlig it-driften ingår det samordnade statliga tjänsteutbudet.
5 § Med samordnat statligt tjänsteutbud avses tjänster inom it-drift som tillhandahålls av en leverantörsmyndighet enligt denna förordning.
6 § Med anslutande myndighet avses en myndighet som har beslutat att ansluta sig till det samordnade statliga tjänsteutbudet.
Den samordnande myndigheten
7 § Myndigheten för digital förvaltning är samordnande myndighet enligt denna förordning.
Den samordnande myndigheten ska – stödja en myndighet i val av it-driftsform, – analysera myndigheters behov av it-driftstjänster, – i samråd med leverantörsmyndigheterna fortlöpande besluta vilka tjänster som ska ingå i det samordnade statliga tjänsteutbudet samt förvalta tjänstespecifikationer för dessa tjänster,
– föra en förteckning över vilka it-driftstjänster som ingår i det samordnade statliga tjänsteutbudet och vilken leverantörsmyndighet som tillhandahåller respektive tjänst,
– leda samverkan med leverantörsmyndigheter och anslutande myndigheter på förvaltningsgemensam nivå,
– utveckla och förvalta modeller för samverkan inom samordnad statlig it-drift,
– utveckla och förvalta modeller för överenskommelser avseende anslutning till det samordnade statliga tjänsteutbudet,
– samverka med Integritetsskyddsmyndigheten, länsstyrelser som är tillsynsmyndigheter enligt säkerhetsskyddslagen (2018:585), Myndigheten för samhällsskydd och beredskap, Säkerhetspolisen och Upphandlingsmyndigheten rörande stöd i frågor kopplade till samordnad statlig it-drift,
– samverka med Kammarkollegiet inför upphandling av ramavtal inom den samordnade statliga it-driften och
– samråda med Försvarsmakten i frågor rörande Sveriges säkerhet.
Leverantörsmyndigheterna
8 § Försäkringskassan, Lantmäteriet, Skatteverket och Trafikverket är leverantörsmyndigheter enligt denna förordning.
Leverantörsmyndigheterna ska tillhandahålla it-driftstjänster till de myndigheter som anslutit sig till det samordnade statliga tjänsteutbudet.
Leverantörsmyndigheterna ska samverka med den samordnande myndigheten i frågor som rör den samordnade statliga it-driften.
9 § Leverantörsmyndigheterna ska medverka till den samordnande myndighetens beslut om vilka tjänster som ska erbjudas inom ett samordnat statligt tjänsteutbud samt lämna tjänstespecifikationer till den samordnande myndigheten avseende de tjänster som erbjuds.
10 § Leverantörsmyndigheterna får endast tillhandahålla it-driftstjänster till andra myndigheter.
Anslutning till det samordnade statliga tjänsteutbudet
11 § En myndighet får ansluta sig till det samordnade statliga tjänsteutbudet.
12 § En myndighet som avser att ansluta sig till det samordnade statliga tjänsteutbudet ska ingå en skriftlig överenskommelse med en eller flera leverantörsmyndigheter.
Överenskommelsen ska innefatta vilka it-driftstjänster som ska levereras, överenskomna servicenivåer och de övriga villkor som är nödvändiga.
Leverantörsmyndigheten ska underrätta den samordnande myndigheten när en överenskommelse ingåtts. Den samordnande myndigheten ska underrätta regeringen om överenskommelsen.
Behandling av personuppgifter
13 § Bestämmelserna i 14–17 §§ kompletterar Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter
och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning), här benämnd EU:s dataskyddsförordning.
14 § Bestämmelserna i 15–17 §§ gäller när en leverantörsmyndighet inom ramen för det samordnade statliga tjänsteutbudet behandlar personuppgifter på uppdrag av en anslutande myndighet i dess egenskap av personuppgiftsansvarig.
15 § Föremålet för personuppgiftsbehandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter och kategorier av registrerade ska anges i den skriftliga överenskommelsen som ingåtts enligt 12 §.
16 § En leverantörsmyndighet får endast behandla personuppgifter på dokumenterade instruktioner från en anslutande myndighet, inbegripet när det gäller överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
17 § En leverantörsmyndighet ska
1. vidta alla åtgärder som krävs enligt artikel 32 i EU:s dataskyddsförordning.
2. med tanke på behandlingens art, hjälpa en anslutande myndighet genom lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att de anslutande myndigheterna kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter i enlighet med kapitel III i EU:s dataskyddsförordning,
3. bistå en anslutande myndighet med att se till att skyldigheterna enligt artiklarna 32–36 i EU:s dataskyddsförordning fullgörs, med beaktande av typen av behandling och den information som personuppgiftsbiträdet har att tillgå,
4. ge en anslutande myndighet tillgång till all information som krävs för att visa att de skyldigheter som fastställs i artikel 28 i EU:s dataskyddsförordning har fullgjorts samt möjliggöra och bidra till granskningar, inbegripet inspektioner, som genomförs av de ansluta myndigheterna eller av en annan revisor som bemyndigats av en ansluten myndighet, och
5. omedelbart informera en anslutande myndighet om den anser att en instruktion strider mot EU:s dataskyddsförordning eller någon annan tillämplig dataskyddsbestämmelse.
Rapportering och uppföljning
18 § Senast den 31 mars varje år ska den samordnande myndigheten för regeringen redovisa en samlad lägesbeskrivning av hur den samordnade statliga it-driften fortskrider.
En leverantörsmyndighet ska på den samordnande myndighetens begäran lämna det underlag som den myndigheten behöver för att fullgöra sin uppgift enligt första stycket.
Avgifter
19 § Leverantörsmyndigheterna ska ta ut avgifter av de myndigheter som anslutit sig till det samordnade statliga tjänsteutbudet. Leverantörsmyndigheterna ska besluta om avgifternas storlek och disponera avgiftsinkomsterna i verksamheten.
Denna förordning träder i kraft den 1 juli 2024.
1.2. Förslag till förordning om ändring i förordningen (2007:824) med instruktion för Kammarkollegiet
Härigenom föreskrivs att 8 a § förordningen (2007:824) med instruktion för Kammarkollegiet ska ha följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 a §
Myndigheten ska ansvara för att upphandla samordnade ramavtal som är avsedda för andra statliga myndigheter. Inom området informationsteknik gäller ansvaret den offentliga förvaltningen. I uppgiften ingår att tillhandahålla stödverksamhet för inköp vid avrop från de samordnade ramavtal som myndigheten har upphandlat.
Myndigheten ska när det gäller upphandling av samordnade ramavtal för it-drift som är avsedda för andra statliga myndigheter samverka med den samordnande myndigheten enligt förordningen ( 2023:000 ) om samordnad statlig it-drift.
Myndigheten ska verka för att bästa möjliga villkor skapas för myndigheternas anskaffning av varor och tjänster. Inom området informationsteknik ska myndigheten särskilt beakta förvaltningsgemensamma standarder samt intresset av innovationer och teknikneutrala lösningar. Förordning (2016:1144).
Denna förordning träder i kraft den 1 juli 2024.
1.3. Förslag till förordning om ändring i förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten
Härigenom föreskrivs i fråga om förordningen (2007:975) med instruktion för Integritetsskyddsmyndigheten att det ska införas ny paragraf 4 a § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
4 a §
Myndigheten ska samverka med den samordnade myndigheten enligt förordningen ( 2023:000 ) om samordnad statlig it-drift avseende stöd till statliga myndigheter i frågor som rör behandling av personuppgifter.
Denna förordning träder i kraft den 1 juli 2024.
1.4. Förslag till förordning om ändring i förordningen (2007:1266) med instruktion för Försvarsmakten
Härigenom föreskrivs i fråga om förordningen (2007:1266) med instruktion för Försvarsmakten att det ska införas ny paragraf 3 d § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
3 d §
Myndigheten ska samverka med den samordnande myndigheten enligt förordningen ( 2023:000 ) om samordnad statlig it-drift i frågor om Sveriges säkerhet kopplade till den samordnade statliga it-driften.
Denna förordning träder i kraft den 1 juli 2024.
1.5. Förslag till förordning om ändring i förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap
Härigenom föreskrivs i fråga om förordningen (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap att det ska införas ny paragraf 11 c § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
11 c §
Myndigheten ska samverka med den samordnade myndigheten enligt förordningen ( 2023:000 ) om samordnad statlig it-drift avseende stöd till statliga myndigheter i frågor som rör informationssäkerhet.
Denna förordning träder i kraft den 1 juli 2024.
1.6. Förslag till förordning om ändring i förordningen (2009:946) med instruktion för Lantmäteriet
Härigenom föreskrivs i fråga om förordningen (2009:946) med instruktion för Lantmäteriet att det ska införas ny paragraf 8 a § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 a §
Myndigheten ska utföra de uppgifter som framgår av förordningen ( 2023:000 ) om samordnad statlig it-drift.
Denna förordning träder i kraft den 1 juli 2024.
1.7. Förslag till förordning om ändring i förordningen (2009:1174) med instruktion för Försäkringskassan
Härigenom föreskrivs i fråga om förordningen (2009:1174) med instruktion för Försäkringskassan att det ska införas ny paragraf 5 b § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
5 b §
Myndigheten ska utföra de uppgifter som framgår av förordningen ( 2023:000 ) om samordnad statlig it-drift.
Denna förordning träder i kraft den 1 juli 2024.
1.8. Förslag till förordning om ändring i förordningen (2010:185) med instruktion för Trafikverket
Härigenom föreskrivs i fråga om förordningen (2010:185) med instruktion för Trafikverket att det ska införas ny paragraf 9 a § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
9 a §
Myndigheten ska utföra de uppgifter som framgår av förordningen ( 2023:000 ) om samordnad statlig it-drift.
Denna förordning träder i kraft den 1 juli 2024.
1.9. Förslag till förordning om ändring i förordningen (2014:1103) med instruktion för Säkerhetspolisen
Härigenom föreskrivs i fråga om förordningen (2014:1103) med instruktion för Säkerhetspolisen att det ska införas ny paragraf 10 a § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
10 a §
Myndigheten ska samverka med den samordnade myndigheten enligt förordningen ( 2023:000 ) om samordnad statlig it-drift avseende stöd till statliga myndigheter i frågor som rör säkerhetsskydd.
Denna förordning träder i kraft den 1 juli 2024.
1.10. Förslag till förordning om ändring i förordningen (2015:527) med instruktion för Upphandlingsmyndigheten
Härigenom föreskrivs i fråga om förordningen (2015:527) med instruktion för Upphandlingsmyndigheten att det ska införas ny paragraf 8 a § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
8 a §
Myndigheten ska samverka med den samordnade myndigheten enligt förordningen ( 2023:000 ) om samordnad statlig it-drift avseende stöd till statliga myndigheter i frågor som rör upphandling.
Denna förordning träder i kraft den 1 juli 2024.
1.11. Förslag till förordning om ändring i förordningen (2017:154) med instruktion för Skatteverket
Härigenom föreskrivs i fråga om förordningen (2017:154) med instruktion för Skatteverket att det ska införas ny paragraf 15 b § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
15 b §
Myndigheten ska utföra de uppgifter som framgår av förordningen ( 2023:000 ) om samordnad statlig it-drift.
Denna förordning träder i kraft den 1 juli 2024.
1.12. Förslag till förordning om ändring i förordningen (2017:868) med länsstyrelseinstruktion
Härigenom föreskrivs i fråga om förordningen (2017:868) med länsstyrelseinstruktion att det ska införas ny paragraf 7 a § av följande lydelse.
Nuvarande lydelse Föreslagen lydelse
7 a §
Länsstyrelserna i Stockholms län, Skåne län, Västra Götalands län och Norrbottens län ska samverka med den samordnade myndigheten enligt förordningen ( 2023:000 ) om samordnad statlig it-drift avseende stöd till statliga myndigheter i frågor som rör säkerhetsskydd.
Denna förordning träder i kraft den 1 juli 2024.
2. Utredningens uppdrag, utgångspunkter och arbete
2.1. Utredningens uppdrag
Regeringen beslutade den 26 september 2019 att ge en särskild utredare i uppdrag att kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv it-drift samt hur dessa behov tillgodoses (bilaga 1). Utredaren ska också enligt direktiven analysera säkerhetsmässiga och rättsliga förutsättningar för samordnad statlig it-drift och lämna förslag på mer varaktiga former för sådan it-drift om det bedöms lämpligt ur ett säkerhetsperspektiv. Författningsförslag ska lämnas om så krävs. Syftet med utredningen är att skapa bättre förutsättningar för den offentliga förvaltningen att få tillgång till säker och kostnadseffektiv it-drift genom antingen samordnad statlig it-drift eller tydligare rättsliga förutsättningar för att kunna anlita privata leverantörer av it-drift.
Vi presenterade i vårt delbetänkande Säker och kostnadseffektiv it-
drift – rättsliga förutsättningar för utkontraktering (SOU 2021:1) analyser
och förslag avseende rättsliga förutsättningar att utkontraktera itdrift till privata leverantörer. I delbetänkandet redovisades också en kartläggning av statliga myndigheters it-drift samt en analys av hur man i andra länder hanterar frågan om säker och kostnadseffektiv itdrift.
I detta slutbetänkande analyserar vi förutsättningarna för samordnad statlig it-drift. Enligt direktiven ska följande delar ingå: – Utvärdering av Försäkringskassans regeringsuppdrag om sam-
ordnad och säker statlig it-drift. – Analys av andra befintliga exempel på samordnad statlig it-drift.
– Analys av säkerhetsmässiga och rättsliga förutsättningar för sam-
ordnad statlig it-drift. – Förslag på varaktiga former för samordnad statlig it-drift. – Samhällsekonomisk analys och konsekvensutredning av förslagen.
Kartläggningen av statliga myndigheters it-drift, omvärldsanalysen och de rättsliga analyserna som redovisades i delbetänkandet ingår som underlag för våra analyser och förslag om samordnad statlig itdrift.
Genom tilläggsdirektiv den 2 juli 2020 (bilaga 2) förlängdes utredningstiden, där uppdraget att föreslå mer varaktiga former för samordnad statlig it-drift ska redovisas den 15 oktober 2021. Den 19 augusti 2021 fattade regeringen beslut om tilläggsdirektiv (bilaga 3) med nytt datum för redovisning den 15 december 2021.
2.2. Utgångspunkter för vårt arbete
Flera faktorer påverkar myndigheters förutsättningar att välja säkra och kostnadseffektiva it-driftslösningar
En viktig utgångspunkt för vårt arbete har varit vilka problem som finns inom it-driftsområdet och hur en samordnad statlig it-drift skulle kunna bidra till att lösa problemen.
Problembilden, som kan utläsas av våra direktiv men också av vår kartläggning av statliga myndigheters it-drift, kan i korthet sammanfattas enligt följande: – Myndigheternas befintliga it-driftslösningar är inte alltid tillräck-
ligt säkra eller kostnadseffektiva. – Myndigheterna upplever att det är oklart vilka it-driftslösningar
som är lämpliga och vilka alternativ som finns att tillgå. – Brister i myndigheternas informationssäkerhetsarbete påverkar
förutsättningarna för myndigheterna att välja rätt lösningar för sin it-drift. – Kompetensbrist inom it, säkerhet och juridik är en riskfaktor för
säker it-drift, beställarkompetens lyfts fram som ett särskilt problem.
– Höga krav på säkerhet och inlåsningseffekter utgör hinder för kost-
nadseffektiv it-drift – kravställning och kompetens lyfts särskilt fram.
Slutsatsen är att det behövs bättre förutsättningar för förvaltningen att få tillgång till säker och kostnadseffektiv it-drift. Det kan ske på olika sätt, bl.a. genom tydligare rättsliga förutsättningar, vägledning och stöd men också genom varaktiga former för en samordnad statlig it-drift.
Varje myndighet ansvarar för att säkerställa en säker och kostnadseffektiv it-drift men kan behöva stöd i att göra medvetna val
En grundläggande utgångspunkt för organiseringen av den svenska statsförvaltningen är att statliga myndigheter är fristående och ansvarar för sin egen verksamhet. Det innebär bl.a. ett ansvar för att de lagar och regler som gäller för verksamheten följs. Av myndighetsförordningen framgår att det ytterst är myndighetens ledning som ansvarar inför regeringen för verksamheten och bl.a. ska se till att den bedrivs enligt gällande rätt och de förpliktelser som följer av Sveriges medlemskap i Europeiska unionen (3 §).
Det ansvar som en myndighet har för sin egen verksamhet kan inte överlåtas. Det är alltid myndigheten som i slutändan behöver göra sina egna bedömningar av hur den egna verksamheten kan bedrivas på ett sätt som följer de lagar och regler som gäller för verksamheten. Detsamma gäller i frågor om it-drift. Varje myndighet ansvarar för att säkerställa säkra och kostnadseffektiva lösningar för sin it-drift. En viktig förutsättning för att kunna göra detta är att bedriva ett systematiskt informationssäkerhetsarbete. Våra analyser visar att myndigheterna kan behöva stöd i detta arbete liksom i att ta ställning till andra strategiska frågeställningar och vägval när det gäller it-drift.
Samordnad it-drift är ett av flera driftsalternativ
I vår kartläggning av statliga myndigheters it-drift konstaterar vi att många myndigheter har en blandning av egen drift, utkontraktering till privata leverantörer eller samordning med annan statlig myndighet för att möta sina behov. Våra fallstudier visar att flera faktorer påverkar myndigheternas val av driftsform. Det handlar om myndighetens uppfattning om vilka krav som ställs på uppgiftshanteringen, om man har kompetens att själv hantera driften av en viss funktion, marknadens utbud och villkor och om det finns kostnadsmässiga fördelar med ett driftsalternativ framför ett annat.
Myndigheter kommer även i framtiden att ha behov av olika driftsalternativ. Detta för att kunna säkerställa säkra och kostnadseffektiva lösningar för olika delar av verksamheten. Att samordna it-driften med en annan myndighet utgör ett driftsalternativ vid sidan av utkontraktering till privata leverantörer och egen drift. De it-driftsval myndigheterna gör ska utgå från myndighetens verksamhet, vilka uppgifter som hanteras i verksamheten och vilka krav detta ställer på säkerhet och kostnadseffektivitet.
En samordnad statlig it-drift bör ge stöd i valet av it-driftslösningar och bidra till att lösa gemensamma behov
Våra kartläggningar och analyser visar att många myndigheter har behov av stöd i valet av säkra och kostnadseffektiva it-driftslösningar. Det handlar framför allt om stöd i det systematiska informationssäkerhetsarbetet, avvägningar utifrån gällande lagkrav men också kravställning och beställarkompetens. I synnerhet små myndigheter uttrycker att de har sådana behov, men även större myndigheter har behov av stöd.
En utgångspunkt för våra förslag är därför att en samordnad statlig it-drift bör kunna ge stöd i myndigheters val av säkra och kostnadseffektiva it-driftslösningar och bidra till att lösa gemensamma behov.
2.3. Centrala begrepp
I vårt delbetänkande definierade vi ett antal centrala begrepp i uppdraget, däribland säker och kostnadseffektiv. Definitionerna av säker och kostnadseffektiv är aktuella även i detta betänkande liksom begreppen samordnad statlig it-drift och ett samordnat statligt tjänste-
utbud.
2.3.1. Säker
Begreppet säker i relation till it-drift kan avse olika nivåer i samhället – från säkerhet för enskilda personer, verksamheter eller sektorer, till säkerhet för Sverige. Beroende på verksamhet och vilka uppgifter som hanteras i verksamheten ställs olika krav på säkerhet. Varje aktör ansvarar för att klargöra vilka krav på säkerhet deras verksamhet och uppgifter omfattas av. Samtidigt måste definitionen av säker omfatta även ett bredare samhällsperspektiv, dvs. hela den offentliga förvaltningen. Utifrån detta resonemang behöver begreppet säker definieras både på aktörs- och samhällsnivå. På samhällsnivå bör begreppet relateras till olika hotbilder i samhället.
Med säker på aktörsnivå avses att en offentlig aktörs it-drift lever upp till för verksamheten tillämpliga rättsliga och säkerhetsmässiga krav, exempelvis krav på säkerhetsskydd och informationssäkerhet samt sekretess och skydd för den personliga integriteten. I begreppet ingår även förmåga att kontinuerligt bedriva ett systematiskt och riskbaserat informationssäkerhetsarbete som omhändertar förändrade krav och risker. Detta innebär att säkerhet för en aktör ska bedömas utifrån de olika förutsättningar i samhället under vilka aktören ska verka enligt sitt uppdrag. Säkerhet kan därför inte endast bedömas utifrån informationsklass eller tillgänglighet i normalläget utan även vid samhällskriser eller höjd beredskap.
Med säker på samhällsnivå avses att it-driften i den offentliga förvaltningen som helhet är organiserad på ett sådant sätt att den kan stå emot olika störningar och hotnivåer i samhället. I detta sammanhang är begreppet robusthet nära kopplat till säker, dvs. en förmåga att stå emot störningar till följd av såväl yttre som inre påverkan. Det handlar här inte bara om tillgänglighetsaspekten utan även om exempelvis störningar orsakade av att information blir obehörigt förändrad och inte kan användas på avsett sätt. En robust och säker it-
driftslösning på samhällsnivå tar hänsyn till olika typer av risker, exempelvis vad gäller koncentration av data eller störningar i andra infrastrukturer såsom elektroniska kommunikationer som tillgången till it-driftslösningen är beroende av. En robust och säker it-driftslösning tar också hänsyn till olika former av naturhändelser, skadegörelse och inbrott samt beroende på skyddsvärdet även antagonistiska angrepp och förhållanden som råder under höjd beredskap och krig. Detta blir särskilt relevant när det gäller lösningar för en samordnad statlig it-drift. Om säkerheten hos enskilda aktörer är låg kan en samordnad lösning bidra till att höja säkerheten både för den enskilda aktören och för en större del av samhället som helhet. Det har även betydelse ur ett totalförsvarsperspektiv.
2.3.2. Kostnadseffektiv
Kostnadseffektivitet avser förhållandet mellan de resurser som används och hur väl ett mål eller förväntat resultat uppnås. Offentliga aktörer ska inte använda mer resurser än vad som är nödvändigt för att uppnå de krav som ställs på verksamheten. När det gäller it-drift kan kostnadseffektiviteten påverkas av flera faktorer, som t.ex. dimensioneringen av it-drift, val av it-driftslösning (egen regi, utkontraktering eller samordnad it-drift), utbudet av tjänster och leverantörer, tjänsternas utformning (exempelvis skalbarhet) och avtalsrelaterade frågor. Leverantörsberoenden och andra inlåsningseffekter kan påverka kostnadseffektiviteten negativt. Långsiktiga avtal med en leverantör som har stora kunskaper om verksamheten kan å andra sidan vara en kostnadseffektiv lösning.
Utifrån utredningens uppdrag om säker och kostnadseffektiv itdrift måste kostnadseffektiviteten också ställas i relation till säkerhetsaspekterna.
Behovet av säkerhet varierar mellan aktörer, inom och mellan verksamheter samt beroende på vilka uppgifter som hanteras. Varje aktör måste utifrån de krav som ställs på verksamheten göra en riskanalys och utifrån den avgöra vilken säkerhet som krävs och hitta kostnadseffektiva lösningar för it-driften. Å ena sidan kan en alltför hög säkerhetsnivå i förhållande till de krav som ställs ge för höga kostnader. Å andra sidan kan en för låg säkerhet, utöver rent säkerhetsmässiga konsekvenser, ge ökade kostnader i form av minskat förtroende för
verksamheten och de tjänster som erbjuds. För att hitta rätt balans mellan säkerhet och kostnad kan begreppet ändamålsenlig användas. En ändamålsenlig lösning för it-drift innebär att den uppfyller de krav på funktion och säkerhet som ställs i olika delar av verksamheten till lägsta möjliga kostnad. Kostnadseffektivitet bör i likhet med säkerhet analyseras både på aktörsnivå och på samhällsnivå. En it-driftslösning som är kostnadseffektiv för en enskild aktör behöver inte vara det för en annan. På samhällsnivå kan en samordnad it-driftslösning vara kostnadseffektiv och ändamålsenlig om den anpassas till gemensamma behov och krav på säkerhet.
2.3.3. Samordnad statlig it-drift
Enligt utredningsdirektiven innebär samordnad statlig it-drift ”att en myndighet får i uppdrag att helt eller delvis hantera it-drift åt en annan myndighet.” I direktiven poängteras att en myndighet alltid är ytterst ansvarig för att den information som lämnas ut får ett effektivt och ändamålsenligt skydd och i övrigt hanteras i enlighet med gällande rätt.
Som vi redan nämnt är en utgångspunkt för våra förslag att en samordnad statlig it-drift både ska kunna ge stöd i myndigheters val av säkra och kostnadseffektiva it-driftslösningar och bidra till att lösa gemensamma behov. Den samordnade statliga it-driften ska därmed omfatta både det stöd som ges till myndigheter vid valet av it-driftslösningar och tillhandahållande av ett samordnat statligt tjänsteutbud.
Ett samordnat statligt tjänsteutbud
Tillhandahållande av ett samordnat statligt tjänsteutbud är en del av den samordnade statliga it-driften.
I delbetänkandet definierade vi it-drift som en aktivitet snarare än en tjänst, dvs. aktiviteten att underhålla och hantera hårdvara och mjukvara. Aktiviteten kan i sin tur paketeras som en tjänst och tillhandahållas inom en verksamhet i samband med utkontraktering eller genom samordning inom staten. Som utgångspunkt i vårt arbete med slutbetänkandet har vi tagit fram en karta över paketerade tjänster som skulle kunna ingå i ett samordnat statligt tjänsteutbud. Tjänstekartan har bl.a. använts för att fånga vilka tjänster myndigheterna är
intresserade av att utkontraktera till en samordnad statlig it-drift och i vår rättsliga analys av vilka tjänster som ryms inom begreppet ”enbart teknisk bearbetning och teknisk lagring för annans räkning”. Vi beskriver tjänstekartan i sin helhet i kapitel 5.
I den offentliga debatten likställs ofta samordnad statlig it-drift med en statlig molntjänst. Som vi beskrivit i delbetänkandet definieras en molntjänst som en tjänst som möjliggör tillgång till en skalbar och elastisk pool av delbara dataresurser. Tjänsten kan i sin tur ges i olika leveransformer där tillgång till datormolnets resurser är begränsad på olika nivåer, från helt publik till helt privat. Däremellan kan ett partnermoln erbjudas där tjänsten levereras till flera organisationer och användare men där antalet är begränsat och specificerat. Tjänsten kan ägas och administreras av en eller flera ingående organisationer eller av en extern part. En statlig molntjänst skulle utifrån denna definition ses som en skalbar, elastisk pool som delas mellan organisationer inom statsförvaltningen. Molntjänsten skulle kunna ägas och administreras av en eller flera av dessa myndigheter eller av en extern part, t.ex. ett privat företag. I slutbetänkandet ser vi att statliga molntjänster ingår som en del av den totala leveransen av ett samordnat statligt tjänsteutbud. I det samordnade statliga tjänsteutbudet skulle med andra ord tjänster som inte likställs med molntjänster kunna ingå.
2.4. Vårt arbete
Arbetet med slutbetänkandet har omfattat flera frågor och avvägningar som ställt krav på dialog och samverkan med olika aktörer.
I detta avsnitt redovisar vi våra avgränsningar, metoder och arbetssätt samt möten, dialog och samverkan i olika delar av utredningsarbetet.
2.4.1. Avgränsning
Vår utredning om samordnad statlig it-drift omfattar enligt våra direktiv endast statliga myndigheter. Vi har hållit fast vid denna avgränsning även om vi förstått att det kan finnas ett intresse även från kommuner och regioner av en samordnad statlig it-drift.
Enligt våra direktiv ska vi ta hänsyn till eventuella risker utifrån geografisk placering och fysiskt skydd av datorhallar. Vi har valt att avgränsa bort denna del i betänkandet eftersom vi bedömer att informationen är känslig. I vårt arbete har vi också fått information om ett pågående samverkansinitiativ om säkra it-utrymmen – Program 2032 – som vi beskriver kort i avsnitt 7.4.2. Vi har valt att inte gå närmare in på detta initiativ av samma skäl som ovan och eftersom vi vet för lite om behovsbilden. Dessutom avser Program 2032 långsiktiga investeringar som kräver fördjupade analyser.
2.4.2. Metod och arbetssätt
Här redovisar vi i korthet metoder och arbetssätt för de analyser som ingår i slutbetänkandet.
Kartläggning och analys av behovet av samordnad statlig it-drift har genomförts genom en fördjupad analys av den enkät som skickades ut till 200 statliga myndigheter våren 2020, en kompletterande enkät som våren 2021 gick ut till de 124 myndigheter som angett att de är eller eventuellt är intresserade av samordnad statlig it-drift samt en digital workshop med 15 myndigheter. Vi har fördjupat oss i hur intresset för en samordnad statlig it-drift ser ut inom statsförvaltningen och vilka tjänster myndigheterna är intresserade av. Vi har även fördjupat oss ytterligare i vilka förutsättningar myndigheterna har för att göra rätt val och vilket stöd de behöver.
Utvärderingen av Försäkringskassan har genomförts genom inter-
vjuer med företrädare för olika delar av Försäkringskassan, representanter från nio kundmyndigheter, Regeringskansliet samt de samverkansmyndigheter som omnämns i direktiven för Försäkringskassans regeringsuppdrag. Vi har även tagit del av flertalet dokument som beskriver hur uppdraget har organiserats, generella styrdokument samt den återrapportering som gjorts till regeringen. En närmare metodbeskrivning finns i kapitel 6.
Vi har även kartlagt och analyserat andra exempel på samordnad
it-drift. Utgångspunkten för vår kartläggning och analys har varit den
enkät som skickades ut under våren 2020 samt intervjuer med representanter från olika delar av de myndigheter som vi fördjupat oss inom; Länsstyrelsen i Västra Götalands län, Skatteverket och Sunet (Swedish University Computer Network) inom Vetenskapsrådet.
Vi har även tagit del av dokument som beskriver myndigheternas samordnade it-drift.
I vårt arbete med slutbetänkandet har vi även fördjupat oss i två
exempel på samordning inom staten; Statens servicecenter och den
förvaltningsgemensamma digitala infrastrukturen. Vi har genomfört intervjuer med företrädare för olika delar av Statens servicecenter samt tagit del av dokumentation som beskriver deras verksamhet. Vi har också genomfört dokumentstudier för att beskriva den förvaltningsgemensamma digitala infrastrukturen samt haft en dialog med Myndigheten för digital förvaltning (DIGG).
I den rättsliga analysen om förutsättningar för samordnad statlig it-
drift har vi använt oss av sedvanlig juridisk metod. Det innebär att vi
sökt svaren på de frågor som vi ställts inför genom att analysera lagtext, lagmotiv, rättspraxis och litteratur. Vi har även genomfört en workshop med ett antal deltagare med kompetens inom it och juridik. Syftet med workshopen har varit att analysera hur begreppet ”enbart teknisk bearbetning och teknisk lagring för annans räkning” förhåller sig till tjänster inom it-drift.
2.4.3. Möten, dialog och samverkan
Vi har haft kontakt med ett stort antal aktörer i vårt arbete med slutbetänkandet.
Expertgruppen, där företrädare för Regeringskansliet ingår, har haft fyra möten under 2021 samt ett slutjusteringsmöte. Referensgruppen med företrädare för 14 statliga myndigheter, Sveriges kommuner och regioner (SKR), TechSverige (tidigare It- och Telekomföretagen), samt Internetstiftelsen har haft fyra möten. På mötena har sekretariatet presenterat upplägg för arbetet, redovisat resultat i de olika analyserna samt lyft principiella frågor och förslag för diskussion. Sekretariatet har utöver det stämt av mer specifika frågor med enskilda experter och sakkunniga samt med företrädare i referensgruppen. Avstämningar har hållits med Infrastrukturdepartementet.
Vi har även tagit hjälp av den juridiska arbetsgruppen, där jurister från flera statliga myndigheter ingått, samt representanter från SKR och Inera. Arbetsgruppen har kvalitetssäkrat underlag och skrivningar samt bidragit med synpunkter i principiella frågor.
Två möten har också hållits med en grupp myndighetsföreträdare för att stämma av olika säkerhetsaspekter på samordnad statlig itdrift.
I vårt arbete med tjänsteutbud och andra it-tekniska frågor har vi haft stöd av Peter Ågren, infrastrukturarkitekt vid Pensionsmyndigheten.
De myndigheter som beskrivs i våra exempel – DIGG, Försäkringskassan, Länsstyrelsen Västra Götaland, Skatteverket, Statens servicecenter och Sunet (Vetenskapsrådet) – har faktagranskat de texter där deras verksamhet beskrivs.
Våra förslag om organisering av en samordnad statlig it-drift har prövats, utvecklats och förankrats i dialog med de åtta myndigheter som vi bedömt varit aktuella som samordnande myndighet respektive leverantörsmyndigheter inom ramen för en samordnad statlig itdrift. I ett första steg svarade myndigheterna på skriftliga frågor om organisationsalternativen: hur de såg på alternativen, myndighetens roll och förutsättningar utifrån alternativen liksom vilka förutsättningar myndigheten behövde för att kunna ta den aktuella rollen. Därefter genomförde vi dialogmöten med respektive myndighet med utgångspunkt i myndighetens skriftliga svar. Vid mötena deltog från myndigheterna bl.a. generaldirektörer och it-chefer samt företrädare för ledningsstaber eller andra delar av verksamheterna. Vi har också stämt av våra förslag med Försvarsmakten, Säkerhetspolisen och Myndigheten för samhällsskydd och beredskap (MSB) samt Kammarkollegiet. Med utgångspunkt i myndigheternas synpunkter och medskick har vi därefter anpassat och utvecklat vårt förslag till organisering i de delar där vi bedömt det lämpligt.
Vi har också haft flera möten med det myndighetsövergripande programmet Säkra it-tjänster i statlig samverkan (SITSSAM) och ett möte med systerprogrammet Program 2032 för att informera om utredningen och inhämta kunskap om de båda samverkansinitiativen. Därutöver har vi deltagit vid Försäkringskassans kundråd och informerat om utredningen och vårt arbete.
Vi har också haft dialog med Cybersäkerhetsutredningen. Underlag till konsekvensutredningen och marknadsanalysen har tagits fram av Arthur D. Little AB på vårt uppdrag.
2.5. Slutbetänkandets disposition
I kapitel 3 redogör vi för de säkerhetsmässiga förutsättningar och krav som en samordnad statlig it-drift behöver förhålla sig och ta hänsyn till.
Kapitel 4 beskriver förutsättningar för samverkan och samordning i staten och redovisar några jämförande exempel: Statens servicecenter och den förvaltningsgemensamma digitala infrastrukturen.
I kapitel 5 redovisar vi vår analys av myndigheternas behov av samordnad statlig it-drift.
I kapitel 6–7 presenterar vi vår utvärdering av Försäkringskassans regeringsuppdrag om samordnad och säker statlig it-drift och redogör för andra exempel på samordnad it-drift: Skatteverket, länsstyrelserna och Sunet (Vetenskapsrådet).
Kapitel 8–9 omfattar en redogörelse för de rättsliga förutsättningarna för samordnad statlig it-drift: marknadsrättsliga förutsättningar respektive rättsliga förutsättningar för informationshantering inom samordnad statlig it-drift.
Kapitel 10 innehåller våra överväganden och förslag när det gäller utgångspunkter och principer för varaktiga former för samordnad och säker statlig it-drift; organisering och styrning, inriktning för tjänsteutbud och principer för anslutning, säkerhet och finansiering.
I kapitel 11 presenterar vi våra förslag till varaktiga former för samordnad statlig it-drift: hur en samordnad statlig it-drift ska organiseras, vilka aktörer som ska ingå, vilket ansvar och uppdrag de olika aktörerna ska ha samt hur samverkan inom den samordnade statliga it-driften ska organiseras. Vi redogör också för våra konkurrensrättsliga överväganden och vilka myndigheter som vi föreslår ska ges uppdrag inom den samordnade statliga it-driften. Vi presenterar också förslag till införande.
I kapitel 12 redogör vi för vår konsekvensutredning och för finansieringen av våra förslag.
I kapitel 13 behandlas ikraftträdande för förordningen om samordnad statlig it-drift.
3. Digitalisering och en förändrad hotbild
Digitalisering skapar nya möjligheter för utveckling och tillväxt men innebär också nya sårbarheter i samhället.
I detta kapitel går vi igenom vilka hotbilder, säkerhetsmässiga förutsättningar och krav som en samordnad statlig it-drift behöver förhålla sig och ta hänsyn till. Vi går också igenom förslagen om ett stärkt totalförsvar liksom pågående arbete när det gäller frågor om säkerhetsskydd, informationssäkerhet och cybersäkerhet. Vi går inte igenom några av de säkerhetskrav som gäller enligt dataskyddsförordningen, men det bör framhållas att ett fullgott dataskydd förutsätter en tillräcklig nivå av informationssäkerhet. Våra analyser utifrån genomgången och vad som specifikt gäller för it-driftsområdet redovisar vi i kapitel 10 och 11.
3.1. En bredare och mer komplex hotbild
Flera rapporter de senaste åren pekar på ett försämrat säkerhetspolitiskt läge och en förändrad hotbild mot Sverige. I rapporterna beskrivs att globalisering och digitalisering bidrar till förutsättningar för välstånd och tillväxt samtidigt som det ökar sårbarheter och risker.
I Försvarsberedningens rapport ”Motståndskraft – Inriktningen av totalförsvaret och utformningen av det civila försvaret 2021–2025”, (Ds 2017:66) framhålls att ökade datavolymer och bearbetningsförmågor i elektroniska kommunikationsnät, it-system och styrsystem ökar riskerna för antagonistisk påverkan genom cyberattacker och andra it-incidenter. På samma sätt konstaterar regeringen i prop. 2020/21:30, Totalförsvaret 2021–2025 att digitaliseringen är en viktig grund för Sveriges säkerhet och ekonomiska välstånd. Digitaliseringen påverkar både militär och civil verksamhet inom och utom totalförsvaret.
Den tekniska utvecklingen, utbredningen av digitala lösningar och ökade datavolymer skapar stora möjligheter men samtidigt risker och sårbarheter för myndigheter och för samhället i stort. De data som genereras medför i sig både sårbarheter och möjligheter. Många av de system som är kritiska för att upprätthålla samhällets funktionalitet är redan i fredstid sårbara för störningar. Digitalisering, centralisering och tekniska beroenden medför sårbarheter som kan utnyttjas av en antagonist.
Säkerhetspolisen skriver i sina årsböcker för både 2019 och 2020 att hotet mot Sverige har breddats och blivit mer komplext. Det traditionella underrättelsehotet består, samtidigt som säkerhetshotande verksamhet intensifieras. Globalisering och digitalisering skapar nya möjligheter men också nya och förändrade sårbarheter i samhället. Brister i säkerheten utnyttjas av främmande makt för att inhämta information men också för att påverka beslutsfattare och andra. Cyberhotet riskerar att få allvarliga konsekvenser för samhällets funktionalitet. Den genomgripande digitaliseringen, att fler enheter kopplas upp mot internet samt fortsatt stora brister i it-säkerheten innebär att riskerna för störningar i samhällsviktiga verksamheter ökar. Främmande makt har en hög cyberförmåga och metoden kommer att bli viktigare både vad gäller informationsinhämtning och förstörande angrepp. Ett omfattande cyberangrepp från främmande makt kan få mycket allvarliga konsekvenser för samhällets förmåga att fungera och därmed för Sveriges säkerhet.
3.2. Digitalisering, it-drift och säkerhet
År 2017 presenterade regeringen en strategi för ett hållbart digitaliserat Sverige.1 Det övergripande målet för strategin är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. För att nå det övergripande målet finns fem delmål om digital kompetens, digital trygghet, digital innovation, digital ledning och digital infrastruktur. Inom delmålet digital trygghet finns flera uppdrag och åtgärder för att säkerställa höga krav på säkerhet i digitala lösningar, exempelvis Försäkringskassans uppdrag om samordnad och säker statlig it-drift, ett nationellt cybercentrum och uppdrag till Myndig-
1 Regeringen (2017) För ett hållbart digitaliserat Sverige – en digitaliseringsstrategi, www.regeringen.se/informationsmaterial/2017/05/for-ett-hallbart-digitaliserat-sverige-endigitaliseringsstrategi.
heten för samhällsskydd och beredskap (MSB) om att bidra till ökad kunskap och samverkan på informationssäkerhetsområdet. Regeringen fastslår att det är viktigt med säkra digitala system som värnar den personliga integriteten och att identifierade sårbarheter hanteras när människor och samhället i allt högre grad blir beroende av att teknik är uppkopplad och kommunicerbar via internet.
Utkontraktering av it-drift och andra it-relaterade tjänster skapar både nya möjligheter och risker i samhället. Nya leveransformer kan vara ett sätt att öka kvaliteten och sänka kostnaderna i en verksamhet. Men de kan också leda till en ökad koncentration av it-drift som innebär att flera aktörer kan komma att drabbas samtidigt av en incident och att konsekvenserna för samhället kan bli allvarliga. Leveranskedjeangrepp har också blivit en allt vanligare företeelse där skadlig programvara installeras via betrodda leverantörskanaler.
Under den senaste 10-årsperioden har det inträffat ett antal it-driftsrelaterade händelser och incidenter som fått säkerhetsmässiga konsekvenser för enskilda myndigheter. Under 2011 drabbades ett stort antal samhällsaktörer inom flera olika sektorer av en driftstörning hos den privata leverantör som hanterade deras it-drift. Driftstörningen innebar i flera fall långvariga verksamhetsstörningar. Konsekvenserna hade nationell spridning, var tvärsektoriella och drabbade i flera fall samhällsviktiga verksamheter.2 Ett annat exempel är Transportstyrelsen som 2015 utkontrakterade sin it-drift till en privat leverantör. Enligt avtalet skulle leverantören ansvara för maskinvara, nätverk och program samt drift av myndighetens register. Under övergången av itdriften till den privata leverantören beslutades om en rad avsteg från svensk lagstiftning vilket i sin tur medförde att säkerhetskänslig och sekretessbelagd information hanterades på ett sätt som strider mot svensk lag.3
Digitalisering och nya leveransformer bidrar alltså både med möjligheter och förutsättningar för myndigheter att hitta kostnadseffektiva it-driftslösningar, men det ställer samtidigt krav på myndigheterna att hantera sin it-drift på ett säkert sätt. Detsamma gäller för en samordnad statlig it-drift.
I de följande avsnitten går vi igenom ett stärkt totalförsvar samt reglering och pågående arbete på säkerhetsområdet.
2 MSB (2012) Reflektioner kring samhällets skydd och beredskap vid allvarliga it-incidenter. En
studie av konsekvenserna i samhället efter driftstörningen hos Tieto i november 2011.
3Granskning av Transportstyrelsens upphandling av it-drift, Ds 2018:6.
3.3. Ett stärkt totalförsvar
I prop. 2020/21:30Totalförsvaret 2021–2025 drar regeringen slutsatsen att det förändrade säkerhetspolitiska läget innebär att totalförsvarets förmåga fortsatt behöver stärkas. Regeringen framhåller att det civila och militära försvaret är ömsesidigt förstärkande. För att värna balansen i totalförsvaret är det viktigt att också det civila försvaret prioriteras och fortsätter att utvecklas. Det är särskilt viktigt att vidareutveckla och fördjupa arbetet med att stärka motståndskraften i de viktigaste samhällsfunktionerna samt att säkerställa en nödvändig försörjning. Det civila försvaret ska i sin tur bygga på strukturer och processer som används inom krisberedskapen. Vidare betonas att ett väl fungerande säkerhetsskyddsarbete är grunden för uppbyggnaden av hela totalförsvaret.
Totalförsvar, civilt försvar och krisberedskap hänger därmed nära samman. Förmågan att hantera kriser i samhället i fredstid ger en grundläggande förmåga att hantera situationer under höjd beredskap och ytterst krig. På samma sätt bidrar ett starkt totalförsvar till att förstärka den fredstida krisberedskapen. Genom en sammanhållen planering, ledning och beredskap för totalförsvaret samt nödvändiga resurser för att kunna hantera krig, förbättras även möjligheterna att förebygga och hantera fredstida kriser.
3.3.1. Totalförsvar, civilt försvar och krisberedskap
Av 1 § lagen (1992:1403) om totalförsvar och höjd beredskap framgår att totalförsvar är verksamhet som behövs för att förbereda Sverige för krig. Totalförsvar består av militär verksamhet (militärt försvar) och civil verksamhet (civilt försvar). För att stärka landets försvarsförmåga kan beredskapen höjas. Höjd beredskap är antingen skärpt beredskap eller högsta beredskap. Under högsta beredskap är totalförsvar all samhällsverksamhet som då ska bedrivas. Totalförsvarsresurser ska utformas så att de även kan användas för att stärka samhällets förmåga att förebygga och hantera svåra påfrestningar på samhället.
Myndigheters ansvar vid höjd beredskap regleras i förordningen (2015:1053) om totalförsvar och höjd beredskap och i förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap (krisberedskapsförordningen).
3.3.2. Dagens struktur för krisberedskap och civilt försvar
Av krisberedskapsförordningen framgår bl.a. följande. Planeringen för höjd beredskap ska bedrivas inom ett antal samverkansområden av ett antal utpekade myndigheter som har ett särskilt ansvar inför och vid höjd beredskap. Dessa myndigheter har ett särskilt ansvar för den fredstida krisberedskapen.
Samma myndigheter har också ett ansvar att vidta de ytterligare förberedelser som krävs inom respektive ansvarsområde vid höjd beredskap, ett så kallat bevakningsansvar. MSB ska i samverkan med de myndigheter som ingår i samverkansområdena utveckla formerna för arbetet i respektive samverkansområde.
I förordningen finns fem samverkansområden utpekade (teknisk infrastruktur, transporter, farliga ämnen, ekonomisk säkerhet och skydd, undsättning och vård) där olika myndigheter ingår. MSB och länsstyrelserna har därutöver ett geografiskt områdesansvar.
Utöver det 25-tal myndigheter som är utpekade i förordningen har MSB med stöd av krisberedskapsförordningen beslutat att ytterligare sex myndigheter ska ingå i arbetet med samverkansområdena. Till detta kommer ett antal adjungerade aktörer i vissa samverkansområden.
Utredningen om civilt försvar skriver i sitt betänkande (SOU 2021:25) att det inte har gjorts några omfattande strukturella förändringar för samverkansområdena sedan de bildades 2002. De bygger på ett delat ansvar mellan de myndigheter som ingår i respektive område. MSB har i sina uppföljningar bl.a. konstaterat att arbetet behöver utvecklas för att ytterligare stärka ansvariga aktörers förmåga att förebygga och hantera olyckor, kriser och krig. Exempelvis behöver strukturen för samverkansområdena göras mer flexibel, områdena utvecklas liksom samverkan mellan olika samverkansområden. Uppföljningarna visar också att flera myndigheter tycker att strukturen för arbetet är otydlig och att ingen av myndigheterna har ett ansvar att driva arbetet framåt på ett systematiskt sätt. Myndigheterna efterlyser ett tydligare mandat för det arbete som ska genomföras tillsammans med andra myndigheter för att frågorna ska kunna drivas framåt och resultera i konkreta resultat.
3.3.3. Förslag för ett stärkt civilt försvar
Utredningen om civilt försvar lämnar med utgångspunkt i sitt uppdrag och med anledning av de slutsatser som dras om det befintliga systemet för krisberedskap och civilt försvar ett antal förslag med syfte att stärka strukturen för civilt försvar. Vi redogör kort för dessa nedan. Utredningen har remissbehandlats och bereds för närvarande inom Regeringskansliet.
Befintliga samverkansområden föreslås ersättas med tio beredskapssektorer
Utredningen om civilt försvar föreslår att samverkansområdena avvecklas och ersätts av en struktur med beredskapssektorer som tar sin utgångspunkt i samhällsviktiga verksamheter och funktioner. En beredskapssektor ska uppfylla ett antal kriterier, bl.a. ska den omfatta samhällsviktig verksamhet där det finns ett starkt behov av samordning i planering och för beredskapsåtgärder. Arbetet i respektive beredskapssektor ska bidra till att stärka samhällets säkerhet, totalförsvaret och krisberedskapen.
Tio beredskapssektorer föreslås inrättas inom områdena ekonomisk säkerhet, elektroniska kommunikationer och post, energiförsörjning, finansiella tjänster, försörjning av grunddata, hälsa, vård och omsorg, livsmedelsförsörjning och dricksvatten, ordning och säkerhet, räddningstjänst och skydd av civilbefolkningen samt området transporter.
När det gäller försörjning av grunddata skriver utredningen i sitt betänkande att en avgörande förändring mellan den totalförsvarsplanering som genomfördes under det kalla kriget och den nu återupptagna planeringen för totalförsvaret gäller beroendet av digital information. Därför föreslås en särskild sektor för försörjning av grunddata.
Cybersäkerhet föreslås bli ett av fyra särskilda beredskapsområden
Utöver beredskapsområdena har utredningen om civilt försvar identifierat ytterligare fyra områden av särskild betydelse att upprätthålla i kris, höjd beredskap och då ytterst krig. De kallas för särskilda
beredskapsområden och är inriktade på cybersäkerhet, psykologiskt försvar, skola och förskola samt migration. Myndigheter inom de särskilda beredskapsområdena ska vara beredskapsmyndigheter och föreslås få sina uppdrag genom instruktion, regeringsbeslut eller annan reglering. Beredskapsområdena föreslås ingå i den sammanhängande planering som MSB och Försvarsmakten ska hålla samman.
När det gäller cybersäkerhet skriver utredningen att man delar Försvarsberedningens bedömning att ett systematiskt arbete med informations- och cybersäkerhet spelar en avgörande roll för att en trovärdig totalförsvarsförmåga ska kunna uppnås hos staten, kommuner, regioner och näringsliv. En förutsättning för ett starkt cyberförsvar är att samtliga aktörer inom totalförsvaret har en god informations- och cybersäkerhet. Det behöver därför finnas en nationell funktion med uppgift att stödja myndigheter och samhället i övrigt i arbetet med att förebygga och hantera angrepp inom informations- och kommunikationsområdet samt upprätthålla en aktuell lägesbild över samhällets digitala miljö. Utredningen hänvisar till uppdraget att inrätta ett nationellt cybersäkerhetscenter samt till utredningen om en säker och kostnadseffektiv it-drift för den offentliga förvaltningen.
Sektorsansvariga myndigheter och beredskapsmyndigheter
En ny förordning, beredskapsförordningen, föreslås ersätta krisberedskapsförordningen. Den nya förordningen ska enligt förslaget innehålla bestämmelser om ansvar för krisberedskap och civilt försvar när det gäller statliga myndigheter under regeringen.
Av den föreslagna beredskapsförordningen framgår bl.a. följande. Samtliga statliga myndigheter under regeringen ska även i fortsättningen ha ett grundläggande ansvar för uppgifter inom krisberedskapen och totalförsvaret. Staten ska genom beredskapssektorerna ha huvudansvaret för att driva på och samordna arbetet så att det bedrivs systematiskt och med en gemensam inriktning. Utöver statliga myndigheter är kommuner och regioner samt privata aktörer viktiga för att utveckla och upprätthålla den samlade beredskapen. Varje beredskapssektor ska ha en utpekad sektorsansvarig myndighet samt myndigheter med beredskapsansvar inom sektorn.
De sektorsansvariga myndigheternas uppgifter föreslås regleras i beredskapsförordningen och i respektive myndighets instruktion.
Övriga myndigheter med ansvar inom en eller flera viktiga samhällsfunktioner och vars verksamhet har särskild betydelse för krisberedskapen och totalförsvaret ska enligt den föreslagna förordningen vara beredskapsmyndigheter. Uppdraget föreslås regleras i respektive myndighets instruktion för att tydliggöra att det ingår i myndighetens kärnverksamhet och omfattas av myndighetens interna styrning och kontroll enligt myndighetsförordningen (2007:515). Av myndighetsinstruktionerna ska det också framgå att beredskapsmyndigheterna blir bundna av de sektorsansvariga myndigheternas föreskrifter under höjd beredskap.
MSB föreslås få ansvaret att utifrån ett totalförsvarsperspektiv ha en helhetssyn och ge stöd till beredskapssektorerna i deras arbete samt hantera frågor som ingen beredskapssektor har ansvar att ta om hand och där det eventuellt kan finnas behov av att inrätta en ny sektor. Beredskapssektorerna ska samarbeta och samverka över sektorsgränserna. Samverkan ska dock inte vara författningsreglerad. Frågorna och behoven ska vara styrande för hur samverkan och samarbete ska utformas. MSB ska i egenskap av förvaltare av beredskapssystemet vid behov tillhandahålla stöd till sektorsövergripande samverkan.
Resultaten av det gemensamma arbetet i beredskapssektorerna ska bidra till ökad försvarseffekt i händelse av ett väpnat angrepp och en god förmåga att hantera kriser i fred.
3.3.4. Civilt försvar och en samordnad statlig it-drift
Ett stärkt totalförsvar innebär att fler aktörer än tidigare kommer att få uppgifter i det civila försvaret. Det är därför viktigt att statliga myndigheters deltagande i en samordnad statlig it-drift inte påverkar skyddet av aktörers förmåga att planera inför samt utföra sina uppgifter under höjd beredskap och då ytterst krig. Exempelvis är uppgifter som för bara några år sedan var helt öppna numera föremål för skydd och det fysiska säkerhetsskyddet har höjts inom många verksamheter. Det är troligt att det kommer att behöva göras omprövningar inom fler områden av vilka uppgifter som bör skyddas med hänsyn till totalförsvaret. En annan fråga som behöver beaktas med tanke på den ökade digitaliseringen är att det behöver finnas en robusthet och
redundans i samordnad statlig it-drift samt att samhällsviktiga grunddata behöver säkras även under svåra förhållanden eller krig.
3.4. Säkerhetsskydd
I detta avsnitt berör vi vilka rättsliga krav som gäller för myndigheternas säkerhetsskyddsarbete i en samordnad statlig it-drift samt ger en översiktlig redogörelse för aktuella lagstiftningsinitiativ inom området.
3.4.1. Krav på myndigheternas säkerhetsskyddsarbete
Vi har i delbetänkandet redogjort för de rättsliga förutsättningarna för utkontraktering till privata tjänsteleverantörer utifrån säkerhetsskyddsregleringen. Samordnad it-drift innebär också en form av utkontraktering av it-drift, men mellan myndigheter. De regler som en myndighet har att tillämpa vid utkontraktering av it-drift till en privat tjänsteleverantör gäller på samma vis vid utkontraktering av it-drift till en annan myndighet. När det gäller de överväganden som en myndighet behöver göra vid en anslutning till samordnad it-drift hänvisar vi därför till redogörelsen i avsnitt 6.2 i delbetänkandet.
En annan sida av saken är att verksamheten att tillhandahålla samordnad it-drift kan vara sådan säkerhetskänslig verksamhet för vilken säkerhetsskyddsregleringen ska tillämpas. Den bedömningen ska göras av verksamhetsutövaren. Frågan har dock viss betydelse för vilka rättsliga förutsättningar som finns för ett samordnat statligt tjänsteutbud.
3.4.2. Ett starkare skydd för Sveriges säkerhet (prop. 2020/21:194)
Regeringen har föreslagit ändringar i säkerhetsskyddslagen som bl.a. innebär att säkerhetsskyddsavtal ska ingås i fler situationer än vad som tidigare gällt och att verksamhetsutövare ska göra en särskild säkerhetsskyddsbedömning och pröva lämpligheten av utkontrakteringar och liknande förfaranden som kräver säkerhetsskyddsavtal, samt i vissa fall samråda med tillsynsmyndigheten. Ändringarna bygger på de förslag som lämnades av Utredningen om vissa säkerhetsskydds-
frågor i Kompletteringar till den nya säkerhetsskyddslagen (SOU 2018:82) och som vi redogjort för i delbetänkandet i avsnitt 6.2.13. Ändringarna börjar gälla den 1 december 2021.
Den utvidgade skyldigheten att ingå säkerhetsskyddsavtal innebär att en verksamhetsutövare som avser att genomföra en upphandling, ingå ett avtal eller inleda en samverkan eller ett samarbete med en annan aktör, ska ingå ett säkerhetsskyddsavtal med aktören, om aktören genom förfarandet kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen konfidentiell eller högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Regeringen föreslår att den utökade skyldigheten att sluta säkerhetsskyddsavtal ska gälla vid statliga myndigheters mellanhavanden endast när det är fråga om anskaffning av en vara, tjänst eller byggentreprenad. ”Ren samverkan” och ”rena samarbeten” ska vara undantagna från tillämpningsområdet. Vad som avses med ”ren samverkan” och ”rena samarbeten” utvecklas inte närmare i motiven, men sådan samverkan och samarbete ställs i kontrast mot ”situationer där statliga myndigheter är beställare och leverantör i förhållande till varandra, dvs. när en myndighet anskaffar en vara, tjänst eller byggentreprenad av en annan myndighet och leverantör i förhållande till varandra”. I sådana situationer handlar det enligt regeringen inte främst om att myndigheterna arbetar mot ett gemensamt statligt mål, utan snarare agerar som aktörer på en marknad. Behovet av säkerhetsskydd är enligt regeringens uppfattning då större än vid rena samarbeten och samverkan, vilket motiverar att anskaffningar ska omfattas av den utökande skyldigheten att ingå säkerhetsskyddsavtal.
Regeringens förslag innebär också en utvidgning av kravet på särskild säkerhetsskyddsbedömning till att omfatta alla situationer där det finns ett krav på att sluta säkerhetsskyddsavtal, utom när sådana avtal ska slutas med underleverantörer. Regeringen föreslår även krav på att genomföra en lämplighetsprövning i dessa situationer.
Om en lämplighetsprövning leder till bedömningen att det planerade förfarandet inte är olämpligt från säkerhetsskyddssynpunkt så föreslår regeringen att verksamhetsutövaren ska vara skyldig att samråda med tillsynsmyndigheten. Detta gäller enbart om ett planerat förfarande innebär att en annan aktör kan få tillgång till säkerhetsskyddsklassificerade uppgifter i säkerhetsskyddsklassen hemlig eller
högre, eller annan säkerhetskänslig verksamhet av motsvarande betydelse för Sveriges säkerhet.
Regeringen har beslutat om en ny säkerhetsskyddsförordning (SFS 2021:955) som träder i kraft den 1 december 2021. Genom förordningen förändras tillsynen av säkerhetsskyddet genom att nya tillsynsmyndigheter tillkommer och befintliga tillsynsmyndigheter får förändrade tillsynsområden. Förändringarna innebär att tillsynen av säkerhetsskydd inom myndigheter under regeringen med undantag av försvarsmyndigheterna och Säkerhetspolisen kommer att utövas av Säkerhetspolisen och länsstyrelserna i Stockholms län, Västra Götalands län, Skåne län och Norrbottens län.
Förändringarna i säkerhetsskyddslagen och genom den nya förordningen kommer sammanfattningsvis ha påverkan på bl.a. vilka skyldigheter som åligger myndigheter som deltar i en samordnad statlig it-drift.
3.4.3. Cybersäkerhetsutredningens förslag på ändringar i säkerhetsskyddslagen
Cybersäkerhetsutredningen har i betänkandet Sveriges säkerhet – behov
av starkare skydd för nätverks- och informationssystem (SOU 2021:63)
lämnat förslag på ändringar i säkerhetsskyddslagen. Förslagen innebär bl.a. dels att ett nytt kapitel om skyldigheter inför driftsättning av informationssystem införs i säkerhetsskyddslagen, dels att åsidosättande av skyldigheterna ska kunna leda till sanktionsavgifter.
Skyldigheterna som föreslås inför driftsättning eller förändring av informationssystem överensstämmer med den i prop. 2020/21:194 föreslagna systematiken med särskild säkerhetsskyddsbedömning, lämplighetsprövning och samråd men att dessa skyldigheter knyts till driftsättning i stället för till ett förfarande som innebär att en annan aktör kommer att få tillgång till säkerhetsskyddsklassificerade uppgifter eller säkerhetskänslig verksamhet.
3.5. Informations- och cybersäkerhet
I vår kartläggning av statliga myndigheters it-drift som vi redogör för i vårt delbetänkande framkom att hälften av de myndigheter som svarade på vår enkät hade delar av sitt systematiska informations-
säkerhetsarbete på plats, medan den återstående hälften behövde stärka sitt arbete med informationssäkerhet. Större myndigheter har i regel kommit längre i sitt informationssäkerhetsarbete än mindre myndigheter. Såväl små som stora myndigheter såg bristande informationsklassificering som ett av de största hindren för säker it-drift. Små myndigheter lyfter kompetensbrist som en viktig orsak till bristerna i informationssäkerhetsarbetet. I delbetänkandet går vi också igenom regleringen på informationssäkerhetsområdet.
I detta avsnitt återger vi kort kraven på myndigheternas informationssäkerhetsarbete och ger exempel på vad regeringen och ansvariga myndigheter gjort på informations- och cybersäkerhetsområdet de senaste åren.
3.5.1. Krav på myndigheternas informationssäkerhetsarbete
Av krisberedskapsförordningen framgår att varje myndighet ansvarar för att egna informationshanteringssystem uppfyller sådana grundläggande och särskilda säkerhetskrav att myndighetens verksamhet kan utföras på ett tillfredsställande sätt. MSB kan meddela föreskrifter om krav på säkerhet för myndigheternas informationshanteringssystem och rapportering av it-incidenter.
MSB kom 2020 med nya föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6) som bl.a. innehåller krav på hur myndigheternas informationssäkerhetsarbete ska utformas och bedrivas och hur uppföljning av informationssäkerhetsarbetet ska ske. Myndigheten meddelade 2020 också nya föreskrifter om säkerhetsåtgärder i informationssystem för statliga myndigheter (MSBFS 2020:7) och rapportering av it-incidenter för statliga myndigheter (MSBFS 2020:8). De nya föreskrifterna innebär bl.a. att det ställs tydligare krav på myndighetsledningen att inrikta och säkerställa resurser samt följa upp myndighetens informationssäkerhetsarbete. Bakgrunden till de nya föreskrifterna var att MSB fått i uppdrag att genomföra en översyn av föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet som en del i regeringens prioritering i den nationella strategin för informations- och cybersäkerhet.
3.5.2. Nationell strategi för samhällets informations- och cybersäkerhet
I regeringens nationella strategi för samhällets informations- och cybersäkerhet, som lämnades till riksdagen i juni 2017, skriver regeringen att det finns ett stort behov av att utveckla samhällets informations- och cybersäkerhet.4 Med informations- och cybersäkerhet avser regeringen säkerhetsåtgärder för bevarande av konfidentialitet, riktighet och tillgänglighet hos information. Regeringen skriver att digitaliseringen och den förändrade användningen av ny teknik och nya innovationer innebär att hot blir svårare att upptäcka, att riskerna blir mer svårbedömda och att beroenden blir svårare att överskåda. Huvudsyftet med strategin är att bidra till att skapa långsiktiga förutsättningar för samhällets aktörer att arbeta effektivt med informations- och cybersäkerhet samt att höja medvetenheten och kunskapen i hela samhället, dvs. statliga myndigheter, kommuner och regioner, företag, organisationer och privatpersoner.
Regeringen pekar i strategin ut flera prioriterade områden för att stärka samhällets informations- och cybersäkerhet. Ett område handlar om systematiskt informationssäkerhetsarbete.
Även om den enskilda organisationen ytterst ansvarar för att hantera sin information är det enligt regeringens bedömning viktigt att förbättra förutsättningarna för att bedriva ett systematiskt informationssäkerhetsarbete på ett mer samordnat sätt. I dagens förvaltning finns en högre grad av beroenden i informationshanteringen vilket gör att aktörer som har en sämre informationssäkerhet kan äventyra säkerheten för övriga. Detta har enligt regeringens bedömning betydelse för möjligheterna till en digitalt samverkande förvaltning, men även för den återupptagna planeringen för civilt försvar som är beroende av goda förutsättningar att dela känslig information inom statsförvaltningen.
Regeringens målsättning är att statliga myndigheter ska ha kännedom om hot och risker, ta ansvar för sin informationssäkerhet och bedriva ett systematiskt informationssäkerhetsarbete. Målet är också att det ska finnas en nationell modell till stöd för ett systematiskt informationssäkerhetsarbete. På så vis kan man i högre grad samordna riskbedömningar, kartlägga skyddsvärda tillgångar och bestämma skyddsnivåer med tillhörande säkerhetsåtgärder.
4Nationell strategi för samhällets informations- och cybersäkerhet, skr 2016/17:213.
3.5.3. Uppdrag att stärka informationssäkerhetsarbetet och uppföljningen på området
MSB fick i september 2019 två regeringsuppdrag som syftade till att, i enlighet med strategin för samhällets informations- och cybersäkerhet, stärka det systematiska informationssäkerhetsarbetet och uppföljningen på området.
Det ena uppdraget avsåg riktade utbildningsinsatser till statliga myndigheter, kommuner och regioner för att höja nivån på informationssäkerhetsarbetet i offentlig sektor.5 MSB skulle vid behov särskilt utveckla stöd till mindre myndigheter. Uppdraget skulle genomföras i samverkan med Myndigheten för digital förvaltning (DIGG). I återrapporteringen till regeringen konstaterar MSB att mognadsgraden i informationssäkerhet är för låg i offentlig sektor även om många aktörer bedriver ett arbete på området. Fler personer inom offentlig sektor behöver utbildas i informationssäkerhet. En behovsanalys för mindre myndigheter visar att myndigheterna behöver få bättre fart och större verksamhetsnytta av sitt informationssäkerhetsarbete. De mindre myndigheterna uttrycker också ett behov av särskilt stöd och erfarenhetsutbyte med andra myndigheter. MSB bedömer att de utbildningar som tagits fram inom ramen för uppdraget möter identifierade behov och regeringens uppdrag att höja nivån på informationssäkerhetsarbetet på alla nivåer i offentlig sektor på ett effektivt sätt. För att nå målet i den nationella strategin för informations- och cybersäkerhet krävs dock att utbudet av utbildningar möts upp med att organisationerna tillför mer resurser till centrala roller i det systematiska informationssäkerhetsarbetet. MSB kommer fortsatt följa organisationernas behov av stöd och utbildning och löpande utveckla utbudet av utbildningar för att möta behoven.
Det andra uppdraget till MSB handlar om att ta fram en modell för uppföljning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen.6 Målsättningen är att statliga myndigheter, kommuner och regioner ska erbjudas stöd i sitt uppföljnings- och förbättringsarbete och att regeringen ska få en samlad nivåbedömning av det systematiska informationssäkerhetsarbetet i den offentliga förvaltningen. Modellen delar in det systematiska informations-
5 MSB (2021), Redovisning av regeringens uppdrag att genomföra riktade utbildningsinsatser till
statliga myndigheter, kommuner och regioner, dnr 2019-11715.
6 MSB (2021), En struktur för uppföljning av det systematiska informationssäkerhetsarbetet i den
offentliga förvaltningen, dnr 2019-11710.
säkerhetsarbetet i fyra nivåer som ett stegvis utvecklingsarbete. Genom att besvara uppföljningsmodellens frågeformulär får en organisation automatisk återkoppling om sin nivå, styrkor och utvecklingsområden. När svaren inrapporterats till MSB får organisationen en kompletterande återkoppling (benchmarking). Utifrån det samlade underlaget kan MSB dra slutsatser om behovet av stöd och satsningar på nationell nivå. Uppföljningsmodellen lanseras 2021 och kommer genomföras regelbundet i tvåårscykler. MSB bedömer att den ska kunna bidra till ett förbättrat och mer enhetligt informationssäkerhetsarbete. Det förutsätter dock enligt MSB ett brett deltagande från den offentliga förvaltningen, en positiv och bejakande uppföljningskultur och att resurser tillförs till de områden där det finns behov av förbättring.
3.5.4. Nationellt cybersäkerhetscenter
Regeringen gav i december 2020 i uppdrag till Försvarets radioanstalt, Försvarsmakten, MSB och Säkerhetspolisen att fördjupa samverkan inom cybersäkerhetsområdet genom ett nationellt cybersäkerhetscenter. Teknikutveckling och digitalisering ger enligt uppdraget nya möjligheter samtidigt som hoten och sårbarheterna blir fler. Säkerheten behöver därför stärkas. Det nationella cybersäkerhetscentret ska göra Sverige säkrare genom att höja den samlade förmågan att möta cyberhoten och öka förmågan att effektivt stödja offentliga och privata aktörer.
Inom ramen för cybersäkerhetscentret ska myndigheterna koordinera arbetet för att förebygga, upptäcka och hantera cyberangrepp och andra it-incidenter, förmedla råd och stöd avseende hot, sårbarheter och risker samt utgöra en nationell plattform för samverkan och informationsutbyte med privata och offentliga aktörer inom cybersäkerhetsområdet. Samverkan ska enligt uppdraget inledas 2020 och utvecklas stegvis 2021–2023 inom flera olika områden. Det handlar exempelvis om tillhandahållande av anpassade och aggregerade lägesbilder och analyser avseende hot, sårbarheter och risker; riktade och samordnade varningar avseende hot och cyberangrepp; samordning av stödet till förebyggande skyddsåtgärder, exempelvis tekniska säkerhetsanalyser, samt kartläggning av verksamheters beredskap vid it-incidenter.
Samarbetets innehåll och former ska fastställas genom skriftliga överenskommelser mellan myndigheterna. Den fördjupade samverkan inom cybersäkerhetscentret ska inte ta över det ansvar som ligger på de ingående myndigheterna och andra aktörer.
Målsättningen är att det nationella cybersäkerhetscentret ska vara fullt operativt under 2023. Ett hundratal personer beräknas arbeta i centrets verksamhet vid utgången av 2023.
4. Samverkan, samordning och styrning i staten
Det finns många olika exempel på samverkan och samordning i staten. I detta kapitel går vi igenom förutsättningar för samverkan och samordning i staten och redovisar några jämförande exempel – Statens servicecenter och den förvaltningsgemensamma digitala infrastrukturen. Vår uppfattning är att it-drift är en viktig byggsten för den svenska förvaltningens digitalisering och att det därför är viktigt att dra lärdom av de erfarenheter som finns för att utforma våra förslag på ett så ändamålsenligt sätt som möjligt. Särskilt gäller detta hur en samordnad statlig it-drift bör organiseras och hur formerna för styrning lämpligast utformas.
4.1. Krav på samverkan och samordning i staten
Den statliga förvaltningen regleras genom förvaltningslagen och myndighetsförordningen. Det finns också ett förvaltningspolitiskt mål som riksdagen beslutade 2010. Det förvaltningspolitiska målet är
En innovativ och samverkande statsförvaltning som är rättssäker och effektiv, har väl utvecklad kvalitet, service och tillgänglighet, och som därigenom bidrar till Sveriges utveckling och ett effektivt EU-arbete.
Statskontoret genomförde 2020 en analys av det förvaltningspolitiska målets status i förvaltningen med särskilt fokus på begreppen innovation och samverkan.1 Slutsatsen är att det förvaltningspolitiska målet har en bred acceptans i förvaltningen och att det sammanfattar kända och centrala värden som också finns reglerade i lagar och förordningar. Samverkan och innovation bedöms dock inte lika själv-
1 Statskontoret, En innovativ och samverkande förvaltning 10 år med det förvaltningspolitiska
målet, 2020.
klara att hantera som exempelvis rättssäkerhet och effektivitet. Statskontoret drar slutsatsen att det förvaltningspolitiska målet har ett begränsat genomslag i myndigheternas arbete. I stället är det lagar och förordningar som styr.
Av förvaltningslagen (2017:900) framgår att en myndighet ska samverka med andra myndigheter inom sitt verksamhetsområde. Myndigheter ska vidare enligt myndighetsförordningen (2007:515) verka för att genom samarbete med myndigheter och andra ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.
Kraven på myndigheterna handlar alltså i första hand om samverkan och samarbete. Däremot nämns inte begreppet samordning i regleringen av förvaltningen. Statskontoret konstaterar dock i sin löpande uppföljning av förvaltningspolitiken att det finns en allt större efterfrågan på gemensamma lösningar inom den statliga förvaltningen. Som exempel på gemensamma lösningar nämns förvaltningens digitalisering, informationssäkerhet och kompetensförsörjning. Regeringen har under senare år också tagit vissa initiativ i en sådan riktning. Statens servicecenter är ett exempel på samordning och inrättandet av Myndigheten för digital förvaltning (DIGG) kan ses som exempel på ökad samordning och samordnad styrning.
4.2. Exemplet Statens servicecenter
Statens servicecenter, som etablerades för snart tio år sedan, har ett uppdrag och en verksamhet som har vissa likheter med de lösningar som kan vara aktuella för en samordnad statlig it-drift, exempelvis styrmodeller, tillhandahållande av ett tjänsteutbud och finansiering via avgifter. Vi har genom intervjuer med företrädare för Statens servicecenter samlat information om hur myndigheten etablerades, hur förutsättningarna för verksamheten sett ut liksom hur verksamheten har utvecklats och ser ut i dag. Syftet har varit att samla erfarenheter och underlag för våra förslag om varaktiga former för samordnad statlig it-drift.
4.2.1. Utredningar pekar på potentialen med gemensamma servicecenter
I början av 2000-talet kom flera utredningar2 som pekade på möjligheten att hitta besparingar för administrativa kostnader i staten. Gemensamma servicecenter lyftes fram som ett sätt att effektivisera och man tittade särskilt på Finland som vid den tiden kommit längst genom att ha etablerat ett servicecenter för ekonomi- och HR-tjänster med obligatorisk anslutning. Flera myndigheter i Sverige visade intresse för servicecenterlösningar och några större myndigheter, bl.a. Skatteverket och Försäkringskassan, inrättade centraliserade verksamhetsstöd för löne- och ekonomiadministration i sina organisationer.
År 2010 tillsatte regeringen den s.k. Servicecenterutredningen3som skulle förbereda bildandet av ett myndighetsgemensamt servicecenter med uppdrag att erbjuda tjänster inom i första hand ekonomi- och personaladministration till statliga myndigheter. Utredningen genomfördes i två steg: först genomfördes en utredning kring förutsättningarna och därefter gick man in i genomförandet av förslagen. Utredningen lämnade 2011 sitt betänkande Ett myndighetsgemen-
samt servicecenter (SOU 2011:38) och presenterade där bl.a. förslag
på tjänsteutbud, organisering, anslutning av kundmyndigheter, prismodell, lönsamhetskalkyl och handlingsplan för införande. Servicecenterutredningen bedömde att en successiv anslutning av 25 större myndigheter (motsvarande 25 procent av antalet statligt anställda) skulle vara tillräcklig för att servicecentret skulle uppnå ekonomisk balans inom cirka fem år och kunna återbetala en räntekontokredit inom ytterligare cirka fem år. Anslutningen av myndigheter skulle i första hand ske på frivillig basis. Myndigheter som inte ville ansluta sig skulle kunna visa att verksamheten kunde bedrivas minst lika effektivt i egen regi eller på annat sätt.
2 Se exempelvis Ekonomistyrningsverket 2007 Gemensamma lösningar för effektivare administra-
tion, ESV rapport 2007:33, E-delegationens betänkande Strategi för myndigheternas arbete med e-förvaltning (SOU 2009:86) och rapporten Public Administration after ”New Public Management”,
OECD (2010) Value for Money in Government, OECD Publishing, Paris. 3 Dir. 2010:117 Ett myndighetsgemensamt servicecenter för en effektivare statlig administration.
4.2.2. Statens servicecenter inrättas
Den 1 juli 2012 bildades Statens servicecenter och har enligt sin instruktion till uppgift att efter överenskommelse med myndigheter under regeringen tillhandahålla administrativa stödtjänster till myndigheterna. Myndigheten ska ta ut avgifter för sin verksamhet, besluta om avgifternas storlek efter samråd med Ekonomistyrningsverket (ESV) enligt avgiftsförordningen och disponera avgiftsinkomsterna i verksamheten. En ändamålsenlig balans mellan kostnadseffektivitet, kvalitet och service ska säkerställas i verksamheten. Myndigheten ska kontinuerligt samverka med de myndigheter som nyttjar myndighetens tjänster i syfte att utveckla tjänsternas utformning och innehåll med avseende på kvalitet och effektivitet.
Verksamheten byggde vid starten på Försäkringskassans verksamhetsstöd i Östersund som inkluderade lönetjänster till Pensionsmyndigheten och Skatteverkets servicecenter i Gävle som inkluderade Kronofogdemyndigheten och Lantmäteriets lönetjänster. Statens servicecenter tog också över ett servicecenter för små myndigheter som var placerat hos Kammarkollegiet. Personal vid dessa kontor gick över till den nybildade myndigheten. Löne- och ekonomitjänsterna hanterades från starten vid kontor i Östersund och Gävle och i Stockholm bedrevs löne- och ekonomitjänster mot små myndigheter samt konsultverksamhet inom ekonomiområdet.
I myndighetens regleringsbrev för 2013 satte regeringen, i linje med Servicecenterutredningens förslag, mål för anslutningstakten. Statens servicecenter skulle verka för att 25 procent av staten mätt i antalet anställda var anslutna till myndighetens tjänster vid utgången av 2015. Myndigheten skulle uppnå ekonomisk balans 2019. I regleringsbrevet för 2014 ändrades målet om att ekonomin skulle vara i balans till 2022. Från och med regleringsbrevet 2015 till dags dato har målet varit en ekonomi i balans till 2030.
4.2.3. Verksamheten under de första åren
I våra intervjuer med företrädare för Statens servicecenter framkommer att förutsättningarna för myndighetens etablering och kraven på verksamhetens leverans på flera sätt har varit utmanande.
Ekonomiskt underskott präglar verksamheten
De första åren präglades av ett ekonomiskt underskott. Under 2014 hemställde myndigheten om en utökad räntekontokredit, vilket man också fick. Det fanns flera skäl till detta. Ett skäl var att kostnader från Servicecenterutredningen fick övertas av den nybildade myndigheten. Man ärvde också ett underskott från den verksamhet som myndigheten tog över från Kammarkollegiet. Ett mer grundläggande skäl var att verksamheten skulle verka på marknadens villkor och byggde på avgiftsfinansiering med full kostnadstäckning redan från start. Uppstartskostnader och investeringar skulle finansieras genom lån. Myndigheten tilldelades inte några anslagsmedel. Anslutningen av myndigheter var därmed nyckeln för att få intäkter i verksamheten. Många myndigheter var dock till en början tveksamma till en anslutning och de myndigheter som anslöt sig tog i praktiken längre tid att ansluta än planerat. De ekonomiska kalkyler som Servicecenterutredningen tagit fram visade sig vara alltför optimistiska både sett till antal anslutna myndigheter och anslutningstakt. För att få en ekonomi i balans genomfördes ett åtstramningspaket i verksamheten.
Fokus på anslutning av myndigheter påverkar möjligheterna till standardisering
Det ekonomiska läget ställde krav på snabb anslutning av myndigheter. Att ansluta stora volymer under relativt kort tid gjorde det svårt för Statens servicecenter att ställa krav på kundmyndigheterna att anpassa sig till mer standardiserade lösningar. I stället fick man ta över kundmyndigheternas lösningar mer eller mindre rakt av och arbeta med anpassning och standardisering efter anslutning. Enligt företrädare för Statens servicecenter har detta bidragit till att det har tagit längre tid att få till kostnadseffektiva lösningar och automatisering i verksamheten.
Problem med avtalet för lönetjänster ger höjda avgifter för anslutna myndigheter
Utöver de ekonomiska utmaningarna uppstod också tidigt problem kring det nya ramavtal för lönesystem som tecknades av ESV och som Statens servicecenter valde att avropa systemstöd från. Totalt handlade det om löner för 160 000 statligt anställda. Ramavtalet hade gått till en ny leverantör och det hade i upphandlingen inte ställts krav på den tidigare leverantören att finnas tillgänglig vid överföringen till den nya leverantören. Den tidigare leverantören sade upp avtalet och Statens servicecenter tvingades 2014 att förhandla fram ett s.k. nödavtal med den tidigare leverantören som då höjde priset på tjänsterna. Det höjda priset fick tas ut i höjda avgifter, vilket ledde till starka reaktioner bland kundmyndigheterna.
Nya förutsättningar för anslutning till myndighetens lönetjänster
Under 2014 nådde Statens servicecenter regeringens anslutningsmål för lönetjänsterna, dvs. att 25 procent av de statligt anställda skulle vara anslutna till myndighetens tjänster. Underskottet hade minskat från 77,9 miljoner kronor 2012 till 26,4 miljoner kronor 2014. Myndigheten hade då cirka 270 anställda. Av våra intervjuer med företrädare för Statens servicecenter framgår att man vid den här tidpunkten började se förutsättningar för stordriftsfördelar i verksamheten.
År 2015 omprövade regeringen modellen för anslutning till Statens servicecenters lönetjänster. I förordningen (2015:665) om statliga myndigheters användning av Statens servicecenters tjänster anges i bilaga 1 de myndigheter som senast den 1 januari 2017 ska ha anslutit sig till Statens servicecenters lönerelaterade tjänster. Listan omfattade ett drygt 100-tal myndigheter och avsåg både myndigheter som då var anslutna och sådana som planerade att ansluta sig. Bilagan i förordningen har därefter kompletterats med ett antal myndigheter som ska vara anslutna till lönetjänsterna senast den 1 januari 2018. Förordningen kompletterades under 2021 med motsvarande reglering för anslutning till Statens servicecenters tjänster för elektronisk beställnings- och fakturahantering. I regleringsbrevet för Statens servicecenter för 2015 framgår att målet för anslutning också har höjts. Myndigheten ska verka för att 50 procent av staten mätt i antalet
anställda är anslutna till myndighetens tjänster vid utgången av år 2017. Myndigheten ska uppnå ekonomisk balans till år 2030.
Genom förordningen ville regeringen skicka signaler till de myndigheter som ännu inte anslutit sig till Statens servicecenters lönetjänster att göra det. I praktiken ger modellen en slags ”semi-styrning” eftersom det fortfarande är frivilligt för myndigheter att ansluta sig om inte regeringen säger något annat. En myndighet skrivs in i förordningen först när myndigheten är ansluten. Enligt företrädare för Statens servicecenter har förordningen gett tydligare förutsättningar för myndighetens verksamhet och planering framåt. Samtidigt innebär den en slags ”inlåsning” av kundmyndigheter genom att de skrivs in i förordningen – vill en kundmyndighet avsluta samverkan med Statens servicecenter krävs ett regeringsbeslut.
4.2.4. Statens servicecenters verksamhet inom Myndighetstjänster i dag
Statens servicecenter har i dag ett utvidgat uppdrag jämfört med vid starten 2012. Utöver kärnverksamheten att tillhandahålla tjänster inom ekonomi- och personaladministration fick myndigheten 2018 ansvaret för de i dag 118 servicekontor som ger lokal statlig service till medborgare och företag i hela landet. Verksamheten har i dag cirka 1 400 anställda, varav cirka 800 arbetar vid servicekontoren.
Verksamheten Myndighetstjänster
Tjänsteutbudet inom Myndighetstjänster har varit ganska stabilt över tid. Myndigheten erbjuder i dag tjänster inom ekonomi och redovisning, lön och personal samt konsulttjänster. Utöver bastjänster erbjuder Statens servicecenter kundmyndigheter möjligheten att beställa tilläggs- och specialtjänster. Specialtjänster kännetecknas av att de är av tillfällig karaktär medan tilläggstjänster varar över tid.
Vid utgången av 2020 hade Statens servicecenter 159 anslutna kundmyndigheter med sammantaget 115 000 anställda. Det motsvarar cirka 47 procent av det totala antalet anställda i staten. I myndighetens regleringsbrev för 2021 har regeringen uttryckt mål för anslutningstakten. Statens servicecenter ska verka för att antalet myndigheter som
är anslutna till myndighetens lönetjänster respektive e-handelstjänster ökar till 60 respektive 40 procent av antalet anställda i staten till 2023.
Ekonomitjänster
Statens servicecenter erbjuder tjänster inom e-handel (beställning och faktura) respektive redovisning och bokslut. I dag är 123 myndigheter anslutna till e-handelstjänster och 69 myndigheter till redovisningstjänster. Anslutningen till ekonomitjänster har fram till 2021 varit frivillig. År 2021 kompletterades förordning om statliga myndigheters användning av Statens servicecenters tjänster till att också omfatta tjänster för elektronisk beställnings- och fakturahantering. I bilaga 2 i förordningen anges myndigheter som senast den 1 januari 2024 respektive den 1 juli 2024 ska vara anslutna till dessa tjänster.
Lönetjänster
Statens servicecenter erbjuder löneadministration och egenrapportering samt ett antal tilläggs- och specialtjänster. I dag är 130 myndigheter anslutna till lönetjänsterna.
Primula är det standardsystem som erbjuds för lönetjänsterna. Från och med 2021 kommer man också kunna erbjuda en tjänst för de kundmyndigheter som är baserad på en annan systemleverans – Heroma. Systemleveransen utgår från förändrade funktionella krav, till exempel avseende säkerhet. De myndigheter som ligger för anslutning till Heroma är framför allt de större myndigheterna inom statsförvaltningen.
Konsulttjänster
Statens servicecenter erbjuder också konsulttjänster inom HR och ekonomi.
Ökat fokus på standardisering och utveckling men finansieringen påverkar
Under de första åren låg Statens servicecenters huvudsakliga fokus på att ansluta myndigheter för att säkerställa intäkter i verksamheten och mindre på standardisering och utveckling av tjänsterna. Samtidigt såg man tidigt ett behov av att effektivisera tjänsterna och bygga bort flaskhalsar.
Statens servicecenter arbetar i dag med att ta fram standardiserade tjänster för att på så vis kunna automatisera tjänster och effektivisera verksamheten. Det är ett omfattande arbete som också skapar förutsättningar för effektivisering av kundmyndigheternas interna administrativa processer. Ny teknik kommer behöva komplettera den funktionalitet som finns i de systemstöd som används inom lön och ekonomi för att nå full effekt avseende automatisering.
I våra intervjuer med företrädare för Statens servicecenter framkommer att det faktum att verksamheten är helt avgiftsfinansierad har påverkat möjligheten att satsa på utveckling. Kostnader för utveckling måste tas ut i avgifter till kundmyndigheterna, vilket i sin tur påverkar intresset och förutsättningarna för myndigheterna att ansluta sig. Enligt företrädare för Statens servicecenter är en lärdom att kostnader för utveckling bör tas med redan i uppstarten av en avgiftsfinansierad verksamhet och det kan även finnas anledning att anslagsfinansiera utvecklingskostnader. Statens servicecenter lyfter också utmaningen med utveckling av helt nya tjänster. För att kunna finansiera en ny lösning med avgifter behöver man ta höjd för innovation och utveckling. Annars blir man bunden till anslutningstakten och volymen blir styrande.
Regeringen gav hösten 2014 Statens servicecenter i uppdrag att i samverkan med Riksarkivet utveckla en förvaltningsgemensam tjänst för e-arkiv. Regeringen utsåg sju pilotmyndigheter för att bistå i arbetet samt använda tjänsten när den fanns tillgänglig. Statens servicecenter beskrev i sin slutrapport till regeringen 20194 att intresset för en gemensam tjänst var mycket stort bland myndigheterna. Det fanns dock få kommersiella aktörer som kunde leverera tjänster som uppfyllde kraven på informationssäkerhet och de tjänster som uppfyllde kraven var alltför dyra. Tjänsten skulle finansieras med avgif-
4 Statens servicecenter (2019), En förvaltningsgemensam tjänst för e-arkiv, slutrapport juni 2019, R:013.
ter från kundmyndigheter, men initialt skulle Statens servicecenter behöva en utökad låneram för att finansiera den nya tjänsten. En ny förvaltningsorganisation med kunskap inom applikationsförvaltning skulle behöva etableras inom myndigheten. Statens servicecenter har efterfrågat ett utökat uppdrag samt finansiering. I avvaktan på regeringens ställningstagande har arbetet med e-arkiv inte fullföljts.
Anslutningsprocess och samverkan
Statens servicecenter har till stora delar utgått från och utvecklat de förslag på organisering, processer och samverkan som Servicecenterutredningen tog fram. Det finns en etablerad anslutningsprocess och en samverkansmodell.
Anslutningsprocessen
Anslutningsprocessen till Statens servicecenter består av fem faser.
I utvärderingsfasen kartläggs kundens volymer inom de tjänster som är aktuella för kundmyndigheten. Tidplan och arbetsformer för kundanslutningen fastställs. En övergripande analys av kort- och långsiktiga it-lösningar tas fram, liksom en generell riskanalys. Utvärderingsfasen avslutas genom att en avsiktsförklaring om anslutning undertecknas. I definieringsfasen görs en mer detaljerad processgenomgång för olika tjänster och en GAP-analys tas fram. It-frågorna hanteras mer ingående och en anslutningsplan kring servicenivåer fastställs. Definieringsfasen avslutas med att en överenskommelse om anslutning undertecknas. Nästa fas är implementeringsfasen där anpassningar av olika processer hos kunden görs. Medarbetare får utbildning i nya system och arbetssätt. Planer för driftsättning och kommunikation tas fram. Fasen avslutas när kunden uppfyllt alla kriterier i checklistorna. I driftsättningsfasen startar leveranserna enligt de servicenivåer parterna har kommit överens om. Leveranserna följs upp och kontrolleras. Den sista fasen är stabiliseringsfasen och under denna fas görs eventuella justeringar av leveranserna innan införandeprojektet avslutas och överlämnas till ordinarie leveransorganisation inom Statens servicecenter.
Samverkansmodellen
Enligt Statens servicecenters samverkansmodell sker samverkan mellan Statens servicecenter och kundmyndigheter på maximalt tre nivåer – strategisk, taktisk och operativ. I vissa fall kan två nivåer räcka, detta bestäms gemensamt av Statens servicecenter och kundmyndigheten. På operativ nivå hanteras frågor kopplat till den dagliga leveransen, på
taktisk nivå hanteras överenskommelsen som helhet och uppföljning
av fastställda leveranser, på strategisk nivå hanteras övergripande frågor om exempelvis tjänster och framtida samarbetsområden. För att tydliggöra hur incidenter ska hanteras har Statens servicecenter tagit fram en eskaleringstrappa mellan nivåerna. Målet är att alla ärenden löses i de löpande kontakterna mellan Statens servicecenter och kundmyndigheten, men i vissa fall kan det finnas behov av att eskalera ett ärende från operativ till taktisk nivå eller från taktisk till strategisk nivå. Det kan vara aktuellt vid t.ex. upprepad leveransbrist eller när en incident inträffat och inte åtgärdats på operativ nivå.
Varje år hålls ett Kundråd som är en viktig del i samverkan. Kundrådet är ett forum för diskussion och information om myndighetsövergripande frågor som är gemensamma för ett visst segment av Statens servicecenters kunder.
Statens servicecenter har årligen cirka 500 samverkansmöten med kundmyndigheter. Med över 150 anslutna myndigheter har man sett ett behov av att se över samverkansmodellen och göra den mer flexibel utifrån behov. För kundmyndigheter där tjänsterna fungerar väl kan det räcka med färre samverkansmöten, medan kundmyndigheter med större behov har en mer frekvent samverkan med Statens servicecenter. Enligt företrädare för Statens servicecenter är risken med en alltför statisk samverkansmodell att kundmyndigheterna då förväntar sig en omfattande samverkan utan att det egentligen finns behov av det.
Ökade krav på säkerhet
Kraven på säkerhet har ökat sedan myndigheten bildades och särskilt sedan man fick ansvar för de lokala servicekontoren. Säkerhetsenheten ombildades våren 2019 till Avdelningen för verksamhetsskydd som i dag har cirka 30 medarbetare som arbetar med fysisk säkerhet,
säkerhetsrådgivning, informationssäkerhet, krisberedskap, säkerhetsskydd och signalskydd.
Statens servicecenter har bedömt att myndigheten bedriver både samhällsviktig verksamhet (utifrån ett krisberedskapsperspektiv) och säkerhetskänslig verksamhet. Myndigheten hanterar också säkerhetsskyddsklassificerade uppgifter. Myndigheten omfattas därmed av säkerhetsskyddslagens krav, vilket bl.a. innebär att upphandlingar görs i form av säkerhetsskyddad upphandling med säkerhetsskyddsavtal. Statens servicecenter har tagit fram egna styrande regelverk (föreskrift, policy och riktlinjer) som reglerar hur myndigheten arbetar med säkerhetsskydd, säkerhet och informationssäkerhet.
Kundmyndigheterna är ansvariga för den information som de överför till Statens servicecenters löne- och ekonomisystem. Det innebär att kundmyndigheterna är ansvariga för att formulera och föra fram eventuella krav som följer av att Statens servicecenter ges åtkomst till eller hanterar informationen. Statens servicecenter har i sin tur ett ansvar att göra en samlad bedömning av den sammantagna information som hanteras inom myndigheten. Bedömningar har gjorts inom vissa områden men inte alla. I våra intervjuer med företrädare för Statens servicecenter framkommer att det kan vara svårt för myndigheten att få en samlad bild av all information eftersom man är beroende av att kundmyndigheterna informerar om vilka eventuella skyddsvärden som överförs till Statens servicecenters system eller tjänster. Det har inte alltid varit möjligt för Statens servicecenter att få denna information eftersom en del kundmyndigheter inte haft kunskap om sin information eller inte haft kompetens att göra bedömningarna. De system och tjänster som Statens servicecenter tillhandahåller behöver dimensioneras för en bedömd helhet och denna bedömning kan endast Statens servicecenter göra.
Finansiering och ekonomi
Statens servicecenter har i dag både avgifts- och anslagsfinansiering samt vissa bidrag. Anslagsfinansieringen tillkom med det nya uppdraget för servicekontor. Det ger en mer komplex ekonomimodell som ställer högre krav på att säkerställa en rättvisande redovisning för de olika delarna av verksamheten. Det blir också särskilt viktigt att kunna fastställa gemensamma kostnader och hur de ska fördelas
i verksamheten. Statens servicecenter har tagit fram och infört en standardiserad ekonomimodell.
Myndighetsservice är avgiftsfinansierad med krav på full kostnadstäckning. Enligt företrädare för Statens servicecenter är fördelen med avgiftsfinansiering att det ställer krav på kostnadseffektivitet och ett kommersiellt förhållningssätt. Nackdelen är att fokus riskerar att hamna mer på intäkter och kundanslutning än på utveckling. Som vi beskrivit i tidigare avsnitt präglades Statens servicecenters verksamhet av ekonomiskt underskott de första åren. Man tvingades höja avgifterna i samband med nödavtalet för lönetjänster 2014. Efter 2017 har ekonomin förbättrats och man har kunnat sänka avgifterna. Sedan 2017 visar myndigheten ett positivt resultat. Tidpunkten för när myndigheten ska nå ekonomisk balans har successivt flyttats fram och är i dag satt till 2030.
Vid anslutningen av kundmyndigheter står varje kundmyndighet för sin egen anslutningskostnad. Statens servicecenter fastställer kostnaden och meddelar kundmyndigheten tidigt i anslutningsprocessen. Statens servicecenter bygger anläggningstillgångar som kundmyndigheterna genom avgifter motsvarande avskrivningskostnaderna betalar. Detta görs genom en avbetalningsplan på fem år och faktureringen startar tre månader efter det att kundmyndigheten har anslutits.
Statens servicecenter har övervägt om man ska ha en diversifierad prissättning gentemot kundmyndigheterna. Enligt företrädare för Statens servicecenter planerar man att lansera en grundtjänst (standardmodell) med ett visst pris. Därutöver ska myndigheter kunna göra tillval eller anpassningar till ett högre pris.
Statens servicecenter följer Nöjd-kund-index för sina användare och har också sex referensgrupper för att fånga kundmyndigheternas behov. Små myndigheter är i regel mindre nöjda än större myndigheter eftersom de tycker att tjänsterna blir för dyra. Detta aktualiserar frågan om avgiftsmodell och om det går att diversifiera kostnader för mindre respektive större myndigheter.
Juridiska frågor
Av Statens servicecenters cirka 1 400 medarbetare är cirka 20 jurister placerade vid rättsavdelningen. Inom avdelningen hanteras bl.a. alla kvalificerade rättsfrågor som uppkommer inom myndighetens verk-
samhet. Inom ramen för mindre förändrings- eller utvecklingsprocesser initieras frågor av myndighetens övriga verksamhet och kommer in till rättsavdelningen via ett internt ärendehanteringssystem. I större projekt ingår jurister från rättsavdelningen som projektdeltagare och i styrgrupp. Målsättningen är att rättsliga frågor ska hanteras genom styrning och stöd för att säkerställa att verksamheten utvecklas på ett rättsligt korrekt sätt och på så vis minska hanteringen av enskilda, spridda frågor.
Vissa rättsliga frågor utreddes i samband med myndighetens inrättande men alla frågor var inte färdigutredda på grund av att man inte visste exakt hur verksamheten praktiskt skulle bedrivas. Det har exempelvis funnits en förväntan från kundmyndigheterna att Statens servicecenters roll ska likna en kommersiell leverantörs, fast det egentligen är fråga om en samverkan inom den juridiska personen staten. Det sistnämnda kunde enligt myndigheten ha kommunicerats tydligare i utredningen som föregick myndighetens inrättande. De konkurrensrättsliga aspekterna ägnades inte allt för mycket uppmärksamhet, men har inte heller varit kontroversiella.
Statens servicecenter har gjort bedömningen att de tjänster som servicecentret tillhandhåller inte behöver upphandlas av kundmyndigheterna eftersom det inte är fråga om kontrakt i upphandlingsrättslig mening. Frågan har aktualiserats vid flera tillfällen, bl.a. i samband med att Konkurrensverket anslöts till Statens servicecenters tjänster. Den principiella frågan om upphandling togs då upp i dialog med Regeringskansliet, mot bakgrund av Konkurrensverkets roll som tillsynsmyndighet enligt upphandlingsregleringen.
En viktig skillnad mellan de tjänster som Statens servicecenter tillhandahåller jämfört med en ren systemleverans är att myndighetens lönetjänst, redovisningstjänst och e-handelstjänst även omfattar förvaltning och uppgraderingar av systemstödet, leverantörsstyrning, infrastruktur och integrationsövervakning, kontinuerlig utveckling av tjänsterna från ständiga förbättringar till nya funktioner, säkerställande av tillgång till system över tid genom upphandling, säkerhet runt leverans och system samt kundservice. Detta medför att den informationshantering som myndigheten utför för kundmyndigheternas räkning inte är begränsad till ”enbart teknisk bearbetning och teknisk lagring för annans räkning”. Detta får konsekvenser för både förekomsten av allmänna handlingar och vilka sekretessbestämmelser som är tillämpliga inom verksamheten. Statens servicecenter har mot bak-
grund av hur tjänsteleveransen ser ut inte någon mellanhandsroll i upphandlingsrättslig mening.
Statens servicecenter intar rollen som personuppgiftsbiträde i sin hantering av personuppgifter för kundmyndigheternas räkning. Myndigheten har dock börjat utreda om det överhuvudtaget är fråga om en biträdessituation. Bakgrunden till detta är att kundmyndigheterna har väldigt begränsade möjligheter att råda över personuppgiftsbehandlingarna. Det är dessutom regeringen som formellt beslutar om anslutningen av en myndighet till Statens servicecenters tjänster. I vissa fall är det inte heller möjligt för Statens servicecenter att informera sina kunder om vilka säkerhetsåtgärder som vidtagits på grund av sekretess, vilket försvårar för kundmyndigheterna att utöva sitt ansvar.
Samverkan kring Statens servicecenters tjänster dokumenteras i överenskommelser. Tvister löses i samverkan och kan i sista hand hänskjutas till regeringen. Detta stämmer inte helt överens med vissa kundmyndigheters syn på Statens servicecenter som en kommersiell leverantör, där det i relationen finns ett civilrättsligt avtal i botten och tvister kan tas till domstol. Statens servicecenter vill röra sig bort från denna syn på relationen eftersom man menar att det är mer gynnsamt om samverkansparterna utgår från att samverkan sker för det gemensammas bästa.
Resultat och effekter har inte följts upp systematiskt
Servicecenterutredningen, som i allt väsentligt låg till grund för att inrätta Statens servicecenter, redovisade inte någon nollmätning för hur kostnaderna för administrativa tjänster inom statsförvaltningen såg ut eller fördelade sig vid tillfället för inrättandet av myndigheten. Avsaknaden av ett uppdrag till myndigheten om en tydlig nollmätning för reformen har allt sedan dess bidragit till svårigheter att med systematik och över tid följa upp resultat och effekter för enskilda myndigheter samt för staten som helhet.
Det har gjorts försök att beräkna möjliga besparingar genom anslutning till Statens servicecenters tjänster, både genom minskade kostnader för upphandling av administrativa tjänster och genom personalminskning inom löne- och ekonomiadministration. Vad gäller de samlade resultaten och effekterna visar bl.a. Riksrevisionens gransk-
ningar att Statens servicecenter kontinuerligt har ökat kostnadseffektiviteten i sina tjänster men att det inte förefaller leda till en motsvarande ökad andel resurser till kärnverksamheten hos kunderna. Bl.a. har det framkommit att de resurser som frigjorts genom anslutningen till Statens servicecenter blivit kvar inom stödverksamheten och i stället använts för att tillhandahålla stöd med högre kvalitet.
4.3. Styrning på digitaliseringsområdet
Det övergripande målet för regeringens digitaliseringsstrategi är att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Trots den ambitiösa målformuleringen så har flera mätningar sedan strategin formulerades 2017 blottlagt brister i digitaliseringen i Sverige, främst kopplat till styrning. I detta avsnitt redogör vi för utredningar om styrning på digitaliseringsområdet och resultatet av några av de mätningar som gjorts.
4.3.1. Utredningen om effektiv styrning av nationella digitala tjänster
En särskild utredare fick 2016 i uppdrag att analysera och lämna förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster. I uppdraget ingick också att analysera hur digitaliseringen i den offentliga sektorn kan stärkas genom att, inom ramen för den befintliga myndighetsstrukturen, samla ansvaret för dessa frågor till en myndighet.
Utredningen lämnade sitt delbetänkande digitalforvaltning.nu (SOU 2017:23) i mars 2017. I delbetänkandet konstaterar utredningen bl.a. följande. Sverige har halkat efter jämförbara länder när det gäller digital förvaltning. Orsaken är främst ett medvetet val att delegera ansvaret för arbetet med e-förvaltning till myndigheterna. Att arbetet varit framgångsrikt i många avseenden kompenserar inte för de begränsningar detta har inneburit. Regeringen har också avstått från att använda de styrinstrument som står till buds, t.ex. genom att inte förtydliga vilka uppdrag myndigheterna har när det gäller digitalisering. Vidare saknas styrande mål för vad som ska uppnås. Det är inte heller tydligt vad som ska anses vara offentliga åtaganden i den nationella digitala infrastrukturen.
Utredningen föreslår i delbetänkandet bl.a. ett samlat myndighetsansvar för förvaltning av nationella digitala tjänster i vilket även ska ingå att bereda frågor om vilka komponenter som ska anses vara statliga uppgifter.
Utredningen konstaterar att en särskild myndighet bör pekas ut som ansvarig för samordning och stöd av digitaliseringen av den offentliga sektorn. Vidare lyfter utredningen det centrala behovet av samverkan, eftersom uppgiften att ställa om till en digital förvaltning är så omfattande att regeringen måste kunna förfoga över förvaltningens samlade digitala kompetens. Vad som enligt utredningens mening behöver tillföras är en ”permanent organisatorisk kärna” som kan fylla funktionen att både stödja regeringen samt stödja och samordna myndigheterna, men också normera sådant som ska vara gemensamt i form av standarder och föreskrifter. Vidare måste myndigheten ha det samlade ansvaret för de komponenter eller tjänster som ska vara det statliga åtagandet i den nationella digitala infrastrukturen. Mot bakgrund av vikten av samverkan lyfts även detta som en viktig del av myndighetens uppgifter och kompetenser.
I slutbetänkandet reboot – omstart för den digitala förvaltningen (SOU 2017:114) konstaterar utredningen bl.a. följande avseende styrning och samverkan som förutsättningar för digitalisering inom den offentliga förvaltningen. Om styrningen ska vara effektiv måste den riktas direkt till den eller de offentliga myndigheter som ska styras. Styrningen behöver anpassas både till den eller de som ska styras och till den typ av verksamhet eller de förvaltningsgemensamma digitala funktioner som avses. För detta behöver riksdagen och regeringen använda och utforma en väl balanserad kombination av flera olika styrmedel, både bindande och icke-bindande, liksom finansiella och legala. En effektiv finansiell styrning och finansiering av förvaltningsgemensamma digitala funktioner innebär att riksdagen och regeringen måste styra resurserna utifrån ett förvaltningsövergripande perspektiv och att kraven på kvalitet och effektivitet i dessa funktioner måste tillgodoses och bedömas på en förvaltningsövergripande nivå. Det måste finnas formella beslut om vad som ska vara det offentliga åtagandet i den nationella digitala infrastrukturen.
Vidare bedömer utredningen att för att främja utvecklingen av den offentliga sektorns digitalisering behöver institutionaliserade forum för frivillig samverkan mellan de olika aktörerna inrättas. Det är enligt
utredningen en lämplig uppgift för digitaliseringsmyndigheten att tillhandahålla sådana forum genom finansiering av anslagsmedel.
När det gäller styrning bedömer utredningen att styrningen är effektiv när de offentliga myndigheternas (de styrdas) agerande och resultat stämmer överens med riksdagens och regeringens (de styrandes) direktiv, önskemål och förväntningar. För att uppnå detta måste riksdagens och regeringens styrning riktas direkt till den eller de myndigheter som ska styras. Styrningen behöver anpassas både till den eller de som ska styras och till den typ av verksamhet och de förvaltningsgemensamma digitala funktioner som avses. För detta behöver riksdagen och regeringen använda och utforma en väl balanserad kombination av flera olika styrmedel.
Som ett resultat av utredningen etablerades 2018 Myndigheten för digital förvaltning (DIGG) som enligt instruktionen har till uppgift att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig.
4.3.2. OECD:s mätningar av digitaliseringen inom svensk förvaltning
Näringsdepartementet och dåvarande digitaliseringsminister Peter Eriksson beställde 2017 en grundläggande genomlysning av Sveriges digitaliseringspolitik. Samma år presenterade OECD rapporten
OECD Reviews of Digital Transformation: Going Digital in Sweden.
OECD konstaterar i sin rapport att Sverige presterar bra i den digitala transformationen och har höga ambitioner med målet att vara bäst i världen på att använda digitaliseringens möjligheter. Det innebär också att Sverige måste ha höga ambitioner för det fortsatta arbetet genom att bli mer uppkopplat, öka användningen hos de som fortfarande står utanför, stärka den digitala kompetensen, främja digitala innovationer, stärka arbetsmarknadens förmåga att hantera omställning, förbättra fokus på ekonomiska aspekter av digital säkerhet samt omvandla digital strategi till handling.
År 2019 publicerades OECD:s Digital Government Index 2019 för första gången. Sverige hamnade sist i undersökningen bland OECD:s medlemsländer. En viktig orsak till det dåliga resultatet var bristande styrning av digitaliseringen av den offentliga förvaltningen, delvis beroende på Sveriges decentraliserade styrmodell. DIGG konstaterar i en
kommentar till mätningen att den svenska förvaltningsmodellen har relativa svagheter när det gäller att samordna sådant som är förvaltningsgemensamt, så som exempelvis digitalisering, men att Sverige troligen inte skulle ha tillhört toppresterarna även om mätningen skett på annat sätt. DIGG poängterar också att sedan datamaterialet samlades in under 2018 så har mycket arbete gjorts för att påskynda utvecklingen av den svenska digitala förvaltningen, där etableringen av DIGG är det kanske mest tydliga exemplet.5
4.4. Exemplet förvaltningsgemensam digital infrastruktur
4.4.1. Regeringsuppdraget
Regeringen uppdrog i december 2019 åt Bolagsverket, Domstolsverket, E-hälsomyndigheten, Försäkringskassan, Lantmäteriet, DIGG, Myndigheten för samhällsskydd och beredskap (MSB), Riksarkivet samt Skatteverket att under ledning av DIGG tillsammans etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte.6 Syftet med uppdraget är att skapa ett varaktigt, säkrare och mer effektivt informationsutbyte genom etableringen.
I regeringsbeslutet anges att med förvaltningsgemensam digital infrastruktur för informationsutbyte avses en sammansättning av olika byggblock eller komponenter som understödjer och möjliggör ett säkrare och mer effektivt sektors-, förvaltnings- och gränsöverskridande elektroniskt informationsutbyte inom och med den offentliga förvaltningen. Med byggblock avses i detta hänseende en grundläggande infrastrukturkomponent som kan användas i mer komplexa digitala tjänster inom den offentliga förvaltningen. Ett byggblock kan bestå av tekniska förmågor, men även standardiserade modeller och mönster som ska kunna användas vid olika typer av informationsutbyte.
I beslutet anges vidare att arbetet ska ta utgångspunkt i de förslag som presenterats i rapporten från regeringsuppdraget om säkert och
5 DIGG, DIGG kommenterar OECD:s Digital Government Index 2019, Myndigheten för digital förvaltnings webbplats, publicerad den 21 oktober 2021, www.digg.se/om-oss/nyheter/ 2020/digg-kommenterar-oecds-digital-government-index-2019, läst 2021-10-20. 6 Infrastrukturdepartementet (2019) Uppdrag att etablera en förvaltningsgemensam digital infra-
struktur för informationsutbyte, I2019/03306/DF, I2019/01036/DF (delvis), I2019/01361/DF
(delvis), I2019/02220/DF.
effektivt informationsutbyte inom den offentliga sektorn (dnr Fi2018/ 02150/DF och Fi2018/03037/DF). I uppdraget ingår att myndigheterna gemensamt ska ta fram en struktur med gemensamma arbetsformer, rutiner, organisation och ansvarsfördelning för analys, kravställning, utveckling och förvaltning av de byggblock som ska ingå i infrastrukturen. De berörda myndigheterna ska därutöver hitta former för att inom ramen för den etablerade strukturen formalisera en mer långsiktig samverkan med andra utpekade myndigheter.
DIGG har även i regleringsbrevet ett mandat att fördela ett särskilt anslag som får användas till utveckling och förvaltning av den förvaltningsgemensamma infrastrukturen. Fördelningen hanteras enligt processer och rutiner på myndigheten utifrån den långsiktiga plan som finns för arbetet med den förvaltningsgemensamma digitala infrastrukturen.
4.4.2. Delredovisningen
Uppdraget delredovisades gemensamt av berörda myndigheter i januari 2021.7 DIGG har arbetat med strukturen i tio månader, och den är därigenom redan delvis etablerad.
Av delredovisningen framgår bl.a. följande om inrättandet av infrastrukturen. Infrastrukturen utgörs av olika byggblock som vart och ett skapar förutsättningar för digital utveckling. Infrastrukturen delas in i fyra olika områden som motsvarar de olika kategorierna av byggblock. De fyra områdena är informationshantering, informationsutbyte, digitala tjänster samt tillit och säkerhet. Infrastrukturens syfte är att vara förutsättningsskapande och att understödja och möjliggöra ett säkrare och mer effektivt sektors-, förvaltnings- och gränsöverskridande elektroniskt informationsutbyte inom och med den offentliga förvaltningen (mellan organisationer, sektorer och olika aktörer). Infrastrukturen är gräns- och sektorsöverskridande. Det innefattar således inte myndighets- eller sektorsspecifik infrastruktur. En viktig fråga för infrastrukturen är att säkra att olika myndighets- och sektorsspecifika lösningar fungerar tillsammans. Därför är standarder, arkitekturprinciper och annan vägledning viktiga delar av infrastrukturen.
7 DIGG m.fl. (2021) Uppdrag att etablera en förvaltningsgemensam digital infrastruktur för
informationsutbyte (I2019/03306/DF, I2019/01036/DF (delvis), I2019/01361/DF (delvis), I2019/02220/DF, I2020/03366, I2020/02753) Delredovisning, Ärendenummer: AD 2019:582.
Byggblocken
När det gäller byggblocken framgår bl.a. följande av delredovisningen.
Ett byggblock är ett samlingsnamn för ett antal ”delar” som kan vara tekniska förmågor, tjänster, standardiserade modeller, ramverk och mönster. Dessa ska lösa gemensamma infrastrukturella utmaningar inom ett fokusområde. Byggblock ska gå att använda av många för att stödja digital utveckling, såsom att bygga digitala tjänster till slutanvändare eller utbyta information med en annan aktör. Eftersom behovet av stödjande digital infrastruktur är brett och varierande, blir begreppet byggblock brett och oprecist.
Byggblocken inom området Digitala tjänster är förutsättningsskapande. Tjänster, modeller, standarder och ramverk från byggblock inom detta område avser att ge stöd till effektivare utveckling av användarnära kundmöten och tjänster. Byggblocken inom området avser inte att hantera utbyte av information mellan maskin och människa, dvs. användargränssnitt mot slutanvändare eller användartjänster. Ett undantag är byggblocket Digital post som är uppbyggd av flera olika förutsättningsskapande tjänster och standarder som tillsammans skapar möjligheter att effektivt utveckla och etablera säkra slutanvändartjänster. Utöver Digital post ingår byggblocken Mina ombud, Mina ärenden och Min profil i området.
Inom området Informationsutbyte samlas förmågor och byggblock som innehåller standardiserade mönster eller gemensamma infrastrukturtjänster för enkel digital åtkomst till och utbyte av information hos informationskällor. Denna kategori syftar bl.a. till att stödja byggblock av kategorin Digitala tjänster, men möjliggör även att privata aktörer kan bygga digitala tjänster som nyttjar informationen. I Informationsutbyte ingår byggblocken API-hantering, Adressregister och Meddelandehantering (som har beröringspunkter mot EU:s byggblock eDelivery).
Byggblocken inom området Informationshantering möjliggör indexering samt standardiserad maskinläsbar tolkning av egenskaper hos information och informationstjänster. Byggblocket syftar till att stödja byggblock av kategorin Informationsutbyte. Inom Informationshantering ingår byggblocken Metadatahanering och Indexering.
Inom området Tillit och säkerhet samlas förmågor och byggblock som möjliggör standardiserade digitala funktioner för säkert informationsutbyte och syftar till att stödja byggblock i kategorin Digitala
tjänster, Informationsutbyte och Informationshantering. De byggblock som ingår är Identitet, Auktorisation, Tillitsramverk, Spårbarhet och Tillgänglighet.
Styrmodell
När det gäller styrningen av infrastrukturen framgår bl.a. följande av delredovisningen.
DIGG föreslås få rollen som infrastrukturansvarig myndighet. Den infrastrukturansvariga myndigheten har ett helhetsansvar för infrastrukturen. I detta ansvar ingår exempelvis att säkra utveckling, förvaltning och avveckling av infrastrukturen genom styrning, stöd, planering och uppföljning. Myndigheten ansvarar även för att utse ansvariga och deltagare i kompetensområden samt leda ett tvärfunktionellt forum för respektive kompetensområde. Det ingår även i myndighetens ansvar att tillse att övergripande riskhantering och kontinuitetsplanering upprätthålls, att besluta om arbetsformer, organisering och samverkan inom infrastrukturen samt att skapa och underhålla en långsiktig och strategisk planering.
Byggblocksansvarig är den aktör som är ansvarig för utveckling och förvaltning av ett tilldelat byggblock. Byggblocksansvarig ansvarar för att styra och organisera arbetet inom byggblocket, samt att samverka med relevanta aktörer (inom och utanför infrastrukturen) för byggblockets räkning.
Som ett stöd för såväl infrastrukturansvarig som byggblocksansvariga etableras ett antal kompetensområden. För närvarande finns kompetensområdena Arkitektur, Arkiv, Data, Informationssäkerhet och Juridik. Ett kompetensområde har alltid en hemvist i en angiven organisation och byggs upp av resurser från en eller flera organisationer. Ett kompetensområde kan liknas vid de funktioner som normalt sett tillhandahåller styrning och stöd inom en myndighet. Ett kompetensområde tillhandahåller styrning och stöd på central och lokal nivå. Den centrala nivån avser styrning av infrastrukturen som helhet. På den lokala nivån, med fokus på enskilt byggblock eller grunddatadomän, bistår kompetensområdet med råd och stöd gällande tillämpningen av den centrala styrningen.
Till stöd för infrastrukturens utveckling, förvaltning och nyttjande föreslås att samordningsforum som täcker strategiska, taktiska,
samt operativa perspektiv och frågeställningar etableras. Dessa forum ska tillsammans med övriga beståndsdelar som utgör den gemensamma styrningsstrukturen verka för en effektiv och säker utveckling, förvaltning samt nyttjande av infrastrukturen. Dessa forum utgör därmed ett viktigt stöd till infrastrukturansvarig, som är sammankallande på samtliga nivåer. Utöver samordningsforumen så förutsätts samverkan, både inom och utom infrastrukturen. För att säkerställa att samverkan sker i nödvändig utsträckning har ansvaret att samverka skrivits in i centrala rollbeskrivningar som är kopplade till infrastrukturen. Det finns även beskrivningar av hur utforskande utveckling samt förvaltning av infrastrukturen ska bedrivas.
De deltagande myndigheterna har för avsikt att reglera arbetsformer och styrsätt i en överenskommelse, bl.a. för att slå fast de detaljerade förutsättningarna för samarbete såsom vilka förväntningar det finns mellan deltagande myndigheter om samverkan och följsamhet till gemensamma ställningstaganden. Arbete pågår med att ta fram en sådan överenskommelse.
En annan viktig del av infrastrukturen är grunddatadomänerna som också samordnas inom infrastrukturens styrmodell.
Förslag på förordningsreglering av infrastrukturen
De deltagande myndigheterna föreslår att vissa aspekter av infrastrukturen regleras i en förordning. Syftet med den föreslagna förordningen anges vara att ge en rättslig grund för samverkansarbetet och enskilda myndigheters ansvar inom infrastrukturen. De deltagande myndigheternas bedömning är att det rättsliga stödet för deltagande i samverkan kring infrastrukturen behöver tydliggöras, eftersom samverkansskyldigheten enligt förvaltningslagen enligt deras bedömning inte ger stöd för samverkan utanför respektive myndighets verksamhetsområde. För att säkerställa att alla statliga myndigheter har möjlighet att bidra i arbetet med infrastrukturen föreslås därför en generell rätt att samverka i frågor om infrastrukturen.
Ansvaret regleras i förordningsförslaget på en generell nivå för infrastrukturansvarig och byggblocksansvarig. Mot bakgrund av att varje myndighet är självständig i sin verksamhet och ansvarar inför regeringen så bedömer de deltagande myndigheterna att det är nödvändigt att regeringen ger en generell anvisning i förordningen om
hur den förväntar sig att en myndighet som ansvarar för en del av infrastrukturen ska utöva sitt ansvar. Den föreslagna regleringen syftar bl.a. till att beskriva relationen mellan förvaltningen av en funktion och den långsiktiga planen för infrastrukturen.
De deltagande myndigheterna konstaterar att när enskilda myndigheter tar på sig ett ansvar för ett byggblock inom infrastrukturen behöver det göras rättsliga analyser för att avgöra om ansvaret för byggblocket ligger inom myndighetens kompetens eller inte. Om ett byggblock ryms inom en myndighets befintliga uppdrag behöver regeringen inte fatta beslut om något särskilt mandat för att ge myndigheten rätt att arbete med ett byggblock. Om byggblocket inte ryms inom befintligt mandat kommer regeringen att behöva fatta beslut om att utvidga en myndighets mandat. Myndigheterna inom regeringsuppdraget tar inte ställning till hur regeringens beslut bör komma till uttryck, om det ska vara i en byggblocksansvarig myndighets instruktion eller på annat sätt.
Myndigheterna i uppdraget lämnar också förslag på att en statlig utredning bör tillsättas för att utreda behovet av en sammanhållen lagstiftning inom området för informationsöverföring inom förvaltningen.
Finansiering
De deltagande myndigheterna anser att infrastrukturen bör finansieras genom anslag, av bl.a. följande skäl. Anslagsfinansiering skapar bättre förutsättningar för att hantera förvaltningsgemensamma digitala tjänster på ett långsiktigt och stabilt sätt. Det i sin tur ökar även möjligheterna och incitamenten för att dessa tjänster ska användas på ett sådant sätt som är avsett. De deltagande myndigheterna är också av uppfattningen att en förstärkt styrning och uppföljning kan bidra till en ökad digitaliseringstakt inom offentlig förvaltning.
Anslaget föreslås tillföras genom en omfördelning av anslag inom staten. De deltagande myndigheterna anser att omfördelningen ska göras för alla statliga myndigheter som en procentsats baserad på myndighetens förvaltningsanslag alternativt annan lämplig fördelningsnyckel. De deltagande myndigheterna ser också positivt på att omfördela medel från satsningar på innovationsprogram till nödvändig utveckling inom digital infrastruktur.
Återrapportering
DIGG har i dag återrapporteringskrav i regleringsbrevet som berör det särskilda anslag som DIGG har att fördela för förvaltningsgemensam infrastruktur.
Av delredovisningens rollbeskrivning framgår att infrastrukturansvarig ska följa upp och redovisa vissa omständigheter kring infrastrukturen till regeringen. För att regeringen ska kunna kräva en återrapportering som går utöver den ordinarie redovisningsskyldigheten för myndigheter, föreslås en särskild bestämmelse om detta. Vidare föreslås att DIGG ska ha rätt att begära in information från andra myndigheter om resultat som rör infrastrukturen. Den senare bestämmelsen föreslås för att DIGG inte ska riskera att sakna underlag för den återrapportering och planering som myndigheten är ålagd att göra.
5. Myndigheternas behov av samordnad statlig it-drift
Det kan finnas flera skäl till att samordna it-drift inom statsförvaltningen och behovet kan ta sig olika uttryck beroende på vem man frågar. Som vi beskrivit i kapitel 2 består den problembild som vi identifierat i vårt arbete av flera faktorer. Vi har konstaterat att myndigheternas befintliga it-driftslösningar inte alltid är tillräckligt säkra eller kostnadseffektiva. Myndigheterna upplever att det är oklart vilka it-driftslösningar som är lämpliga och vilka alternativ som finns att tillgå. Brister i myndigheternas informationssäkerhetsarbete påverkar förutsättningarna för myndigheterna att välja rätt lösningar för sin it-drift. Kompetensbrist inom it, säkerhet och juridik är en riskfaktor för säker it-drift och beställarkompetens lyfts fram som ett särskilt problem. Höga krav på säkerhet och inlåsningseffekter utgör hinder för kostnadseffektiv it-drift, svårigheter vid kravställning och kompetensbrist lyfts särskilt fram.
För att bilda oss en uppfattning om både hur angeläget det är med en samordnad statlig it-drift ur ett säkerhetsperspektiv och vilken potential till skalfördelar som finns har vi tittat på hur intresset ser ut inom statsförvaltningen, vilken typ av uppgifter myndigheterna hanterar och vilka förutsättningar myndigheterna har att välja it-driftslösning.
5.1. Intresse av samordnad statlig it-drift
Det finns redan i dag exempel på samordnad it-drift inom staten, bl.a. tillhandahåller Försäkringskassan it-driftstjänster till vissa andra statliga myndigheter inom ramen för regeringsuppdraget att erbjuda samordnad och säker statlig it-drift. Det saknas dock en övergripande bild av statliga myndigheters behov av samordnad statlig it-drift och
hur behoven av säker och kostnadseffektiv it-drift tillgodoses i dagsläget.
I delbetänkandet konstaterade vi att över hälften av myndigheterna är intresserade av att ansluta sig till en samordnad statlig it-drift. Av de 158 myndigheter som svarade på enkäten angav 91 myndigheter att de är intresserade av att i framtiden ansluta sig till en samordnad statlig it-drift, 33 myndigheter angav vet ej och 30 myndigheter angav att de inte är intresserade. Mindre myndigheter är i högre grad intresserade än större myndigheter, men överlag är intresset stort oavsett myndighetsstorlek.
Vi redogjorde även i delbetänkandet för myndigheternas huvudsakliga skäl för att vilja ansluta sig till en samordnad statlig it-drift. Av betänkandet framgår att myndigheterna i nästan lika stor utsträckning anser att kostnadsbesparingar, förbättrad säkerhet och förenklad digital samverkan är skäl till att ansluta sig till en samordnad statlig it-drift. Flera myndigheter anger även svårigheten att rekrytera relevant kompetens, möjligheten att koncentrera kompetensen inom området samt minskad administration förknippad med upphandling som skäl. Flera myndigheter angav även robusthet som skäl om en samordnad statlig it-drift skulle möjliggöra säkerhetskopiering och ökad redundans.
Det framgår även att 25 myndigheter är intresserade av att erbjuda it-drift till andra myndigheter. Flera är stora eller medelstora myndigheter som redan i dag hanterar viss it-drift åt andra myndigheter. Samtidigt anger 13 myndigheter, som i dag inte erbjuder it-drift till andra myndigheter, att de är intresserade av att göra det. För att kunna erbjuda it-drift till andra myndigheter skulle det enligt myndigheterna krävas ett utpekat ansvar från regeringen (i instruktion eller genom uppdrag), klarlagda rättsliga förutsättningar, ytterligare ekonomiska resurser och tid för att bygga upp förmågan.
5.1.1. Behov och intresse av tjänster
För att kunna bilda oss en uppfattning om vilka tjänster som myndigheterna är intresserade av att utkontraktera till en samordnad statlig it-drift skickade vi under maj 2021 ut en kompletterande enkät till de 124 myndigheter som tidigare angett att de är eller eventuellt är intresserade av samordnad statlig it-drift. Vid tidpunkten för vår
enkät avsåg vi med samordnad statlig it-drift att en eller flera myndigheter får i uppdrag att helt eller delvis hantera it-drift åt en annan myndighet. Sedan dess har vi valt att bredda begreppet samordnad statlig it-drift, vilket vi beskriver i kapitel 2.
Den kompletterande enkäten utgår från den tjänstekarta som introducerades kortfattat i avsnitt 2.3. Tjänstekartan utgår från TBM (Technology Business Management), ett ramverk som innehåller metoder för att fördela it-kostnader på olika tjänster. Kartan har däremot anpassats utifrån det som framgår av Kammarkollegiets ramavtal för it-drift samt erfarenheter från bl.a. Försäkringskassans regeringsuppdrag om samordnad statlig it-drift.
Tjänstekartan är indelad i ett antal övergripande tjänsteområden. Av våra intervjuer och möten med olika myndigheter inom statsförvaltningen har vi förstått att många myndigheter är intresserade av att överlåta hela sin it-drift till en annan myndighet. Av den anledningen har vi i vår tjänstekarta inkluderat en övergripande tjänst som vi benämner som helhetsåtagande. Därefter är tjänstekartan indelad i fem övergripande tjänster: infrastrukturtjänster, plattforms-
tjänster, funktionstjänster, användarnära tjänster och applikationsåtagande (se figur 5.1 nedan). Inom varje övergripande tjänst har vi
därefter specificerat ett antal underliggande tjänster. För att göra svaren enhetliga har myndigheterna även fått ett antal exempel som ytterligare tydliggör vilken typ av underliggande tjänst vi avser. Vi beskriver respektive tjänst mer detaljerat längre ned.
Figur 5.1 Tjänstekarta
Potentiella it-driftstjänster i en samordnad statlig it-drift
Källa: Egen illustration.
Infrastrukturtjänster
Yta i datacenter
Nätverk
Beräknings-
kapacitet
Lagringskapacitet/ Datasäkring
He lh etså tag an de
Plattformstjänster
Virtuellt datacenter
Datatjänster
Applikations plattforms-
tjänster
Container-
plattform
Utvecklingsstödtjänster
Funktionstjänster
Övervakning Support
Säkerhet
och
compliance
Användarnära
tjänster
Kontorsstödtjänster
Klienttjänster
Anslutnings
tjänster
Applikations-
åtagande
Applikations-
drift
Applikations-
förvaltning
Applikation som tjänst
Flera myndigheter anger i enkäten att deras svar i stor utsträckning påverkas av olika faktorer, som t.ex. hur den samordnade statliga itdriften utformas, kostnader för tjänsterna, om skalfördelar kan uppnås eller hur den egna verksamheten utvecklas framöver. Flertalet myndigheter efterfrågar också en flexibel lösning som kan omhänderta myndigheternas specifika förutsättningar och behov. En förutsättning som flera myndigheter anger för att kunna ansluta sig till en samordnad it-drift är att de har möjlighet till egen kontroll över systemen och att de säkerhetskrav som gäller för myndighetens verksamhet kan uppfyllas. Flera myndigheter tydliggör i sina svar att det på kort sikt inte är aktuellt för myndigheten att ansluta sig till en samordnad it-drift på grund av avtal med leverantörer som fortlöper en tid framöver. Ett antal myndigheter hänvisar till pågående samordning av itdrift där flera anger att de vill fortsätta på samma sätt även framöver.
Små myndigheter efterfrågar i större utsträckning ett helhetsåtagande
För att fånga hur många myndigheter som är intresserade av ett helhetsåtagande frågade vi om myndigheten är intresserad av att utkontraktera hela eller delar av it-driften till en samordnad statlig itdrift. Av enkätsvaren framgår att 32 myndigheter (30 procent) anger att de är intresserade av att utkontraktera hela it-driften, medan 69 myndigheter (65 procent) anger att de är intresserade av att utkontraktera delar av it-driften. Fem myndigheter (5 procent) har av olika skäl angett vet ej.
Tabell 5.1 Är myndigheten intresserad av att utkontraktera hela eller delar av it-driften till en samordnad statlig it-drift?
Svarsalternativ Antal svar
Hela it-driften
32
Delar av it-driften
69
Vet ej
5
Totalt
106
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
Små myndigheter anger i högre utsträckning än stora myndigheter att de är intresserade av att utkontraktera hela sin it-drift till en samordnad statlig it-drift. Merparten, 28 myndigheter av de 32 myndigheter som har angett hela it-driften, är små eller medelsmå myndigheter med under 200 anställda. Enbart tre av myndigheterna är av storlekskategorin medelstor myndighet med 200–500 anställda. Ingen stor myndighet, med över 500 anställda, har angett att de är intresserad av att utkontraktera hela it-driften. Denna bild bekräftas av den behovsanalys som Försäkringskassan har redogjort för i sitt regeringsuppdrag om samordnad och säker statlig it-drift där de ser att det går en skiljelinje mellan stora och små myndigheter i relation till hur stor del av it-driften som de är intresserade av att utkontraktera.
Såväl stora som små myndigheter är intresserade av att utkontraktera delar av sin it-drift till en samordnad statligt it-drift. Stora myndigheter tenderar däremot att vara intresserade av färre tjänster än små myndigheter. Samtidigt ser vi att flertalet stora myndigheter efterfrågar merparten av de tjänster som vi har angett i enkäten.
Tabell 5.2 Myndigheter som är intresserade av att utkontraktera delar av sin it-drift till en samordnad statlig it-drift
Fördelat på storlek
Storlek Antal svarande
Små myndigheter
6
Medelsmå myndigheter
18
Medelstora myndigheter
16
Stora myndigheter
29
Totalt antal svarande
69
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
En majoritet av samtliga myndigheter är intresserade av någon form av applikationsåtagande
För att bättre förstå omfattningen på myndigheternas behov ställde vi även en fråga till samtliga myndigheter om i vilken utsträckning de är intresserade av ett applikationsåtagande. Ett applikationsåtagande kan förstås som att den myndighet som tillhandahåller it-drift utför antingen drift, förvaltning eller båda delarna av en eller flera av kundmyndighetens applikationer, som även kan vara kundunika. Ett applikationsåtagande kan även innefatta applikationer som tillhandahålls
som programvara i form av en tjänst (SaaS), t.ex. kontorsprogram, grupprogram för meddelanden och kommunikation.
Av svaren på enkäten framgår det att 73 av de 106 myndigheter som svarat på enkäten (69 procent) anger att de är intresserade av ett applikationsåtagande. Av dessa är en majoritet intresserade av applikation som tjänst (88 procent) följt av applikationsdrift (75 procent) och applikationsförvaltning (53 procent).
Tabell 5.3 Myndigheter som efterfrågar ett applikationsåtagande
Fördelat på underliggande tjänster
Underliggande tjänster Antal svarande (andel av total)
Applikationsdrift
55 (75 %)
Applikationsförvaltning
39 (53 %)
Applikation som tjänst
64 (88 %)
Totalt antal svarande
73
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
Av fritextsvaren framgår att flera myndigheter efterfrågar standardapplikationer som tillhandahålls som tjänst så som webbplats, intranät, digitala ytor och samverkansytor. Flera efterfrågar även en lösning för att kunna använda Office 365, Skype, Teams eller Zoom i statlig regi som lever upp till myndighetens säkerhetskrav. Flera myndigheter anger även att möjligheten till skalfördelar påverkar deras intresse.
Myndigheternas intresse sprider sig över hela tjänstekartan
De myndigheter som angav att de är intresserade av att utkontraktera delar av sin it-drift till en samordnad statlig it-drift fick även möjlighet att med utgångspunkt i den tjänstekarta som presenterades inledningsvis ange vilka tjänster myndigheten i så fall är intresserade av.
Av enkätsvaren framgår att en stor majoritet (97 procent) av myndigheterna anger att de är intresserade av att utkontraktera den övergripande tjänsten infrastrukturtjänster följt av funktionstjänster (81 procent), plattformstjänster (78 procent) och användarnära tjänster (67 procent).
Tabell 5.4 Myndigheter som är intresserade av att utkontraktera delar av sin it-drift till en samordnad statlig it-drift
Fördelat på övergripande tjänster
Övergripande tjänster Antal svarande (andel av total)
Infrastrukturtjänster
67 (97 %)
Plattformstjänster
54 (78 %)
Funktionstjänster
56 (81 %)
Användarnära tjänster
46 (67 %)
Totalt antal svarande
69
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
Som framgår av tabell 5.4 ovan efterfrågar merparten av myndigheterna tjänster inom samtliga övergripande tjänsteområden. Stora myndigheter med över 500 anställda sticker däremot ut något genom att i något lägre utsträckning efterfråga användarnära tjänster.
Infrastrukturtjänster
Bland infrastrukturtjänsterna hittar vi de mest grundläggande infrastrukturella tjänsterna som behövs för att en verksamhets traditionella it-tjänster ska fungera. Det är bland dessa tjänster som den fysiska utrustningen ingår, tjänster för att hantera nätverk och lagring samt lokaler anpassade för denna utrustning.
Av enkäten framgår att 67 av de 69 myndigheter som angett att de är intresserade av att utkontraktera delar av sin it-drift är intresserade av någon form av infrastrukturtjänst. Flest myndigheter anger att de efterfrågar lagringskapacitet eller datasäkring (84 procent) följt av yta i datacenter (67 procent), beräkningskapacitet (63 procent) och nätverk (58 procent).
Tabell 5.5 Myndigheter som efterfrågar infrastrukturtjänster
Fördelat på underliggande tjänster
Underliggande tjänster Antal svarande (andel av total)
Yta i datacenter
45 (67 %)
Nätverk
39 (58 %)
Beräkningskapacitet
42 (63 %)
Lagringskapacitet/datasäkring
56 (84 %)
Totalt antal svarande
67
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
Merparten av myndigheterna (84 procent) anger att de efterfrågar lagringskapacitet eller datasäkring. I fritextsvar anger flera myndigheter särskilt långtidslagring och e-arkiv samt backuptjänster som särskilt intressanta. Några hänvisar även till pågående tjänsteleverans från Sunet, vilken myndigheterna anger att de är nöjda med och vill fortsätta med.
Därutöver anger 45 myndigheter (67 procent) att de är intresserade av yta i datacenter. Ett antal myndigheter anger i fritextsvar att de efterfrågar en redundansnod samt yta som är godkänd för olika säkerhetsskydds- och beredskapsnivåer. Av de 42 myndigheter (63 procent) som angett att de efterfrågar beräkningskapacitet framgår det att 19 myndigheter är intresserade av fysisk maskintjänst (utan operativsystem), 22 myndigheter är intresserade av virtuell maskintjänst (utan operativsystem) och 28 myndigheter är intresserade av servertjänst (en managerad server med operativsystem).
Plattformstjänster
Plattformstjänster består till största delen av tjänster som ingår i en molnlik leverans, exempelvis egen virtuell miljö för att bygga egna infrastrukturtjänster. Även tjänster för att tillhandahålla drift av olika generella system och komponenter som t.ex. databaser, system för maskininlärning, containerplattform, utvecklingsstödtjänster etc. ingår.
Av enkätsvaren framgår att 54 myndigheter är intresserade av någon form av plattformstjänst. Flest myndigheter anger att de är intresserade av virtuellt datacenter (76 procent) följt av applikationsplattformstjänster (70 procent), datatjänster (61 procent), utvecklingsstödstjänster (46 procent) och containerplattformstjänster (39 procent).
Tabell 5.6 Myndigheter som efterfrågar plattformstjänster
Fördelat på underliggande tjänster
Underliggande tjänster Antal svarande (andel av total)
Virtuellt datacenter
41 (76 %)
Datatjänster
33 (61 %)
Applikationsplattformstjänster
38 (70 %)
Containerplattform
21 (39 %)
Utvecklingsstödstjänster
25 (46 %)
Totalt antal svarande
54
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
Funktionstjänster
Funktionstjänster omfattar i vår tjänstekarta tjänster där den samordnade it-driften bidrar med framför allt personal för att hantera olika åtaganden åt kundmyndigheten, exempelvis dygnet-runt-övervakning av en kundmyndighets it-system, servicedesk, på-platsen-support m.fl. Även tjänster inom säkerhetsövervakning och compliance ingår i funktionstjänster.
Av enkäten framgår att 56 myndigheter är intresserade av någon form av funktionstjänst. Lika många myndigheter (79 procent) är intresserade av övervakning, som säkerhet och compliance. Något färre (57 procent) är intresserade av support. Flera av myndigheterna som är intresserade av någon funktionstjänst anger i fritextsvar att de är särskilt intresserade av en myndighetsgemensam SOC-funktion (Security Operation Center). Av de myndigheter som anger att de är intresserade av support anger flera att de inte är intresserade av en komplett supportfunktion utan som komplement till befintlig support, antingen som andralinjens support eller för vissa av tjänsterna.
Tabell 5.7 Myndigheter som efterfrågar funktionstjänster
Fördelat på underliggande tjänster
Underliggande tjänster Antal svarande (andel av total)
Övervakning
44 (79 %)
Support
32 (57 %)
Säkerhet och compliance
44 (79 %)
Totalt antal svarande
56
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
Användarnära tjänster
Användarnära tjänster inbegriper tjänster för den it-utrustning kundmyndighetens medarbetare behöver, t.ex. olika klienttjänster så som klientdator, läsplatta och mobiltelefon. Även tjänster för digitalt samarbete, fysisk konferensrumsteknik och utskriftstjänster ingår här.
Av enkäten framgår att 46 myndigheter är intresserade av någon form av användarnära tjänster. Merparten av myndigheterna anger att de är intresserade av kontorsstödstjänster (89 procent) följt av klienttjänster (79 procent) och anslutningstjänster (67 procent). Flera myndigheter anger i fritextsvaren att de är intresserade av digitala mötestjänster och samarbetsverktyg.
Tabell 5.8 Myndigheter som efterfrågar användarnära tjänster
Fördelat på underliggande tjänster
Underliggande tjänster Antal svarande (andel av total)
Kontorsstödstjänster
41 (89 %)
Klienttjänster
34 (79 %)
Anslutningstjänster
31 (67 %)
Totalt antal svarande
46
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
5.1.2. Gemensamma behov och behov som skiljer sig åt
För att fördjupa resultatet från vår kompletterande enkätundersökning anordnade vi under maj 2021 en workshop med 15 myndigheter för att ytterligare förstå hur behoven av en samordnad statlig it-drift ser ut. Under workshopen fick myndigheterna i mindre grupper baserade på myndigheternas storlek (liten, mindre och stor) diskutera ett antal frågor om hur myndigheternas behov skiljer sig åt, vilka behov som är gemensamma samt vilka tjänster som bör och inte bör ingå i en samordnad statlig it-drift.
Myndigheterna identifierade flera gemensamma behov. En av grupperna lyfte t.ex. fram långtidslagring och arkivering som ett gemensamt behov, vilket bekräftas av vår enkätundersökning där flera myndigheter anger att de är intresserade av en sådan tjänst. Flera av myndigheterna var även överens om att det finns ett gemensamt behov av samordning och stöd gällande juridik- och säkerhetsfrågor, där man även efterfrågar gemensamma initiativ för t.ex. statliga moln-
tjänster. Myndigheterna såg även att man genom samordning kan uppnå en bättre förhandlingsposition vid upphandlingar genom att ta fram en gemensam kravställning gentemot privata leverantörer. En av grupperna lyfte även fram att man genom en samordnad it-drift skulle kunna etablera en gemensam lägstanivå baserat på de säkerhetskrav som ställs på samtliga myndigheter, vilket skulle bli billigare om myndigheterna etablerade kraven gemensamt.
Merparten av myndigheterna angav även att det finns ett behov av en samordnad statlig it-drift som är flexibel utifrån myndigheternas olika förutsättningar, där vissa myndigheter är intresserade av en samordnad statlig it-drift som komplement till andra driftsmodeller medan andra myndigheter kan vara intresserade av att utkontraktera hela sin it-drift. Flera myndigheter lyfte även fram att myndigheterna har olika säkerhetskrav vilket påverkar vilka lösningar som kan vara aktuella i en samordnad it-drift. En grupp lyfte fram att samhällskonsekvenserna ser olika ut för respektive myndighet eftersom kravmassan sträcker sig från fred till ytterst krig, t.ex. tillgänglighetskravet som varierar mellan myndigheterna i händelse av kris eller höjd beredskap.
Vad bör och vad bör inte ingå i en samordnad statlig it-drift?
Merparten av myndigheterna som deltog på workshopen angav att man inom en samordnad statlig it-drift bör utgå från de behov där det finns störst skalfördelar och som ger tydliga kostnadsfördelar. Myndigheterna hade däremot svårt att komma fram till vilka tjänster som är gemensamma eftersom så många olika faktorer påverkar myndigheternas förutsättningar att nyttja samtliga tjänster som ingår i tjänstekartan. Några grupper angav däremot ett antal tjänster som ”lågt hängande frukter” som man skulle kunna börja med: samarbetsplattformar, e-post, plattformstjänster och infrastrukturtjänster.
Merparten av myndigheterna var överens om att den samordnade statliga it-driften behöver vara flexibel och valbar. En av grupperna presenterade tre typexempel som utgångspunkt för hur myndigheternas efterfrågan på tjänster kan skilja sig åt. Det första exemplet benämns som ”smörgåsbordet” där samtliga tjänster kan vara aktuella att konsumera. Det andra exemplet benämns som ”hybrid” där ett urval av tjänster kan vara aktuella utifrån myndighetens förutsätt-
ningar. Det tredje exemplet benämndes som ”bevakningsansvariga myndigheter” där det på grund av höga säkerhetskrav enbart kan vara aktuellt med yta i datacenter.
5.2. Myndigheternas förutsättningar för att göra medvetna val av it-driftslösning
Som framgår av avsnitt 2.2 ser vi ett samordnat statligt tjänsteutbud som en av flera leveransformer. Ett samordnat statligt tjänsteutbud kan vara särskilt aktuellt för myndigheter som hanterar känslig information som av något skäl inte lämpar sig att utkontraktera till en privat leverantör. Det kan även vara aktuellt om en myndighet saknar förutsättningar att själv hantera it-driften i egen regi. För att kunna välja it-driftslösning krävs det att myndigheterna har rätt förutsättningar för att kunna göra en bedömning av vad som är lämpligt för de uppgifter som myndigheten hanterar.
I kartläggningen av statliga myndigheters it-drift i vårt delbetänkande konstaterade vi att drygt en tredjedel av myndigheterna anger att de bedriver samhällsviktig verksamhet och att merparten av myndigheterna (nästan 90 procent) anger att de hanterar någon form av skyddsvärd information. Det kan röra sig om uppgifter som omfattas av säkerhetsskyddslagstiftningen, offentlighet- och sekretesslagstiftningen (OSL) eller känsliga personuppgifter enligt dataskyddsförordningen. Vi konstaterade att så gott som samtliga myndigheter har att ta ställning till olika grad av säkerhetsaspekter i valet av it-driftslösningar.
En grundförutsättning för att göra rätt avvägningar när det gäller it-drift är att myndigheten har kunskap om vilka uppgifter som hanteras och vilka krav det ställer på uppgiftshanteringen. Genom att titta på hur myndigheterna har självskattat sig i sitt systematiska informationssäkerhetsarbete kan vi göra en grundläggande bedömning av hur förutsättningarna ser ut för myndigheterna att säkerställa ett ändamålsenligt skydd för sin information.
Vi konstaterade i vårt delbetänkande att det återstår en del arbete med att få informationssäkerhetsarbetet på plats bland de statliga myndigheterna som grund för säkra it-driftslösningar. Hälften av myndigheterna har påbörjat ett informationssäkerhetsarbete, men har
inte klassat sin information. Ett fåtal myndigheter har inte gjort någonting alls.
För att bättre förstå vilka myndigheter som skulle kunna vara i behov av ytterligare stöd vid valet av it-driftslösning har vi tittat närmare på de myndigheter som har självskattat sitt systematiska informationssäkerhetsarbete på skala 1–3.1 Vi har även valt att titta närmare på vilka myndigheter som har självskattat sig på skala 4–6 eftersom vi bedömer att dessa myndigheter kan bidra med bättre förutsättningar för en kostnadseffektiv samordnad statlig it-drift. Vi har även fördjupat vår förståelse för myndigheternas förutsättningar att göra rätt val genom att tillfråga de 15 myndigheter som deltog i vår workshop våren 2021.
5.2.1. Målgruppsanalys utifrån myndigheternas informationssäkerhetsarbete
Av tabell 5.9 nedan framgår att 65 av de myndigheter som har angett att de hanterar någon form av skyddsvärd information har klassat sig på skala 1–3 och 78 myndigheter har klassat sig på skala 4–6. Det innebär att en stor andel (45 procent) av myndigheterna vid tidpunkten för enkäten inte hade påbörjat arbetet med att genomföra informationsklassning. Flertalet (27 procent) saknade dessutom en informationssäkerhetspolicy som är beslutad av ledningen för att säkerställa att myndigheten följer Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter.
1 I enkäten fick myndigheterna uppskatta hur långt de kommit i sitt informationssäkerhetsarbete. Detta utifrån en skala från 1–6, där nivå 1 innebär att myndigheten inte påbörjat något systematiskt informationssäkerhetsarbete och nivå 6 innebär att det finns ett systematiskt och dokumenterat informationssäkerhetsarbete i hela organisationen. Skalan utgick från de då gällande föreskrifterna och allmänna råden för myndigheterna informationssäkerhetsarbete (MSBFS 2016:1).
Tabell 5.9 Hur långt har myndigheterna kommit i arbetet med informationssäkerhet – enligt myndigheternas egen uppskattning
Svar per kategori av myndigheter som angett att de hanterar någon form av skyddsvärd information
Antal
svar
1. Vi har inte påbörjat ett systematiskt informationssäkerhetsarbete enligt MSBFS 2016:1
9
2. Vi har påbörjat arbetet genom att ha utsett en ansvarig att leda arbetet och börja analysera hur föreskrifterna MSBFS 2016:1 ska införas i myndigheten.
30
3. Vi har tagit fram informationssäkerhetspolicy och påbörjat arbetet med styrande interna regelverk. Ledningen har beslutat om informationssäkerhetspolicyn och vi har beslutade styrande interna regelverk för allt informationssäkerhetsarbete enligt MSBFS 2016:1.
26
4. Vi har förutom av ledningen beslutad informationssäkerhetspolicy och styrande interna regelverk, arbetssätt i delar av organisationen som säkerställer att vi genomför informationsklassning och riskbedömning samt inför säkerhetsåtgärder utifrån dessa underlag.
41
5. Vi har förutom av ledningen beslutad informationssäkerhetspolicy och styrande interna regelverk, arbetssätt i hela organisationen som säkerställer att vi genomför informationsklassning och riskbedömning samt inför säkerhetsåtgärder utifrån dessa underlag.
26
6. Allt informationssäkerhetsarbete i hela organisationen sker systematiskt enligt framtaget arbetssätt dokumenterat i interna regler och stöd. Arbetet och de interna regelverken och stöden utvärderas och vidareutvecklas regelbundet.
11
Totalt antal svarande:
143
Källa: Enkät om säker och kostnadseffektiv it-drift (2020).
Myndigheter som skattat sig på skala 1–3 i sitt systematiska informationssäkerhetsarbete
Av enkäten framgår att det i gruppen som skattat sig på skala 1–3 i sitt systematiska informationssäkerhetsarbete finns myndigheter som hanterar uppgifter som omfattas av säkerhetsskyddslagstiftningen (inom samtliga klassificeringar), OSL (rakt och omvänt skaderekvisit samt absolut sekretess) och känsliga personuppgifter i kärnverksamheten. Det framgår vidare att det förekommer myndigheter i gruppen som i enkäten anger att de bedriver samhällsviktig verksamhet.
Såväl stora som små myndigheter anger i enkäten att de inte har implementerat ett systematiskt informationssäkerhetsarbete inom
78
myndigheten. Små myndigheter tenderar däremot att i högre utsträckning ange att de befinner sig någonstans på skala 1–3 i sitt systematiska informationssäkerhetsarbete än stora myndigheter. Av de 58 stora myndigheterna med över 500 anställda som anger att de hanterar skyddsvärd information anger enbart 13 myndigheter (22 procent) att de befinner sig på skala 1–3 i sitt systematiska informationssäkerhetsarbete.
Tabell 5.10 Myndigheter som hanterar skyddsvärd information som skattat
sig på skala 1–3 i sitt systematiska informationssäkerhetsarbete
Fördelning per myndighetsstorlek
Myndighetsstorlek
Antal
Totalt
Små myndigheter
16 (76 %)
21
Medelsmå myndigheter
20 (56 %)
36
Medelstora myndigheter
16 (57 %)
28
Stora myndigheter
13 (22 %)
58
Totalt
65
143
Källa: Enkät om säker och kostnadseffektiv it-drift (2020).
Av de 65 myndigheter som ingår i gruppen anger 51 myndigheter (78 procent) att de är eller eventuellt är intresserade av att i framtiden ansluta sig till en samordnad statlig it-drift. Myndigheterna anger såväl kostnadsbesparingar, förbättrad säkerhet som förenklad digital samverkan som skäl för att vilja ansluta sig.
Av de 51 myndigheter som har angett att de är eller eventuellt är intresserade av samordnad statlig it-drift så har 45 myndigheter svarat på vår kompletterande enkät. Av dessa anger 17 myndigheter (38 procent) att de är intresserade av att utkontraktera hela sin it-drift till en samordnad statlig it-drift. Vidare anger 26 myndigheter att de är intresserade av att utkontraktera delar av sin it-drift. Av dessa anger 24 myndigheter (92 procent) att de är intresserade av infrastrukturtjänster, följt av funktionstjänster som 22 myndigheter efterfrågar (85 procent), plattformstjänster som 21 myndigheter efterfrågar (81 procent), och användarnära tjänster som 19 myndigheter efterfrågar (73 procent).
Tabell 5.11 Är myndigheten intresserad av att utkontraktera hela eller delar
av it-driften till en samordnad statlig it-drift?
Myndigheter som skattat sig på skala 1–3 i sitt systematiska informationssäkerhetsarbete
Svarsalternativ Antal svar
Hela it-driften
17 (38 %)
Delar av it-driften
26 (62 %)
Vet ej
2 (4 %)
Totalt
45
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
Myndigheter som skattat sig på skala 4–6 i sitt systematiska informationssäkerhetsarbete
Av enkäten framgår att det i gruppen som skattat sig på skala 4–6 i sitt systematiska informationssäkerhetsarbete finns myndigheter som hanterar uppgifter som omfattas av säkerhetsskyddslagstiftningen (inom samtliga klassificeringar), OSL (såväl rakt och omvänt skaderekvisit som absolut sekretess) och känsliga personuppgifter i kärnverksamheten. Myndigheterna i denna grupp hanterar i större utsträckning känsligare information så som kvalificerat hemliga och hemliga uppgifter samt uppgifter som omfattas av absolut sekretess.
Gruppen består av såväl stora som små myndigheter, men andelen stora myndigheter med över 500 anställda är högre än andelen mindre myndigheter.
Tabell 5.12 Myndigheter som hanterar skyddsvärd information som skattat
sig på skala 4–6 i sitt systematiska informationssäkerhetsarbete
Fördelning per myndighetsstorlek
Myndighetsstorlek
Antal
Totalt
Små myndigheter
5 (24 %)
21
Medelsmå myndigheter
16 (21 %)
36
Medelstora myndigheter
12 (15 %)
28
Stora myndigheter
45 (78 %)
58
Totalt
78
143
Källa: Enkät om säker och kostnadseffektiv it-drift (2020).
Av de 78 myndigheter som ingår i gruppen anger 60 myndigheter (80 procent) att de är eller eventuellt är intresserade av att i framtiden ansluta sig till en samordnad statlig it-drift. Myndigheterna anger såväl kostnadsbesparingar, förbättrad säkerhet som förenklad digital samverkan som skäl för att vilja ansluta sig.
Av de 60 myndigheter som har angett att de är eller eventuellt är intresserade har 51 myndigheter svarat på vår kompletterande enkät. Av dessa anger 8 myndigheter (16 procent) att de är intresserade av att utkontraktera hela sin it-drift till en samordnad statlig it-drift. Vidare anger 40 myndigheter att de är intresserade av att utkontraktera delar av sin it-drift. Av dessa anger samtliga att de är intresserade av infrastrukturtjänster, följt av funktionstjänster som 32 myndigheter efterfrågar (80 procent), plattformstjänster som 31 myndigheter efterfrågar (78 procent), och användarnära tjänster som 24 myndigheter efterfrågar (60 procent).
Tabell 5.13 Är myndigheten intresserad av att utkontraktera hela eller delar
av it-driften till en samordnad statlig it-drift?
Myndigheter som skattat sig på skala 4–6 i sitt systematiska informationssäkerhetsarbete
Svarsalternativ Antal svar
Hela it-driften
8 (16 %)
Delar av it-driften
40 (78 %)
Vet ej
3 (6 %)
Totalt
51
Källa: Kompletterande enkät om behov av samordnad statlig it-drift (2021).
5.2.2. Myndigheternas behov av stöd
I delbetänkande konstaterade vi att såväl stora som små myndigheter ser bristande informationsklassificering och avsaknad av relevant kompetens som de största hindren för säker it-drift. Vi konstaterade vidare att myndigheterna saknar kompetens inom både it och säkerhet och att beställarkompetens lyfts fram som ett särskilt stort problem. Sammantaget konstaterade vi att kompetensbristen är en stor riskfaktor för säker it-drift i myndigheterna. Vi konstaterade även att det för en kostnadseffektiv it-drift ställs krav på förmåga att kravställa och på beställarkompetens.
För att fördjupa vår förståelse för myndigheternas behov av stöd frågade vi de 15 myndigheter som deltog i en workshop under våren 2021 hur de såg att stödet inom säkerhet, upphandling och it kan utvecklas.
Stöd inom säkerhetsområdet
Myndigheterna konstaterade att det finns ett stort behov av stöd inom säkerhetsområdet, inte minst utifrån gällande lagstiftning. För att hantera de rättsliga aspekterna av säkerhet efterfrågar flera myndigheter gemensamma ställningstaganden likt det som lämnas av eSamverkansprogrammet samt inom ramen för Myndigheten för digital förvaltnings (DIGG) uppdrag om att ge rättsligt stöd till den offentliga förvaltningen avseende digitalisering. Som exempel nämns särskilt rättsliga förutsättningar för att kunna använda molntjänster.
Flera myndigheter framhåller att de efterfrågar ett mer aktivt stöd med utgångspunkt från den verksamhet som myndigheterna bedriver. Det skulle t.ex. kunna ske genom praktiska riktlinjer, verktyg eller metodstöd som beskriver hur myndigheterna ska göra och inte bara
vad man ska göra. Som exempel nämner myndigheterna föreskriften
om säkerhetsåtgärder och arbetet med att ta fram risk- och sårbarhetsanalyser. Flera myndigheter efterfrågar en gemensam funktion som kan stötta myndigheterna i säkerhetsfrågor, t.ex. genom konsulttjänster och möjligheter till erfarenhetsutbyte.
Stöd för att ta fram en långsiktig it-driftsstrategi
Flera myndigheter lyfter även fram att det finns ett behov av att få stöd i hur man fattar beslut om en långsiktig strategi för myndighetens it-driftslösningar. När det gäller frågor som rör it och upphandling konstaterade många myndigheter att man behöver stöd inom flera områden. När det gäller t.ex. molntjänster kräver det att juridik, teknik, verksamhet, upphandling och ekonomi samspelar för att myndigheten ska kunna ta fram en bra it-driftsstrategi. Myndigheterna efterfrågar t.ex. ytterligare möjlighet att dela erfarenheter och underlag mellan varandra och att etablera ett nätverk kring upphandlingsfrågor där man kan anordna utbildningar, erfarenhetsutbyte och nyttja varandras kompetenser.
Ett annat område som myndigheterna lyfter fram rör licenshantering där man efterfrågar stöd men även gemensamma bastjänster som är kravställda, upphandlade och tillgängliga. Därutöver lyfter man fram Upphandlingsmyndighetens roll där myndigheterna efterfrågar mer praktiskt stöd vad gäller upphandlings- och kravställningskompetens genom guider och vägledning. Man efterfrågar även stöd gällande avrop från Kammarkollegiets ramavtal.
5.3. Analys och slutsatser
Det finns ett brett intresse för samordnad statlig it-drift inom statsförvaltningen, men myndigheternas behov och förutsättningar varierar. Av de 158 myndigheter som besvarade vår enkät under våren 2020 angav 124 att de är eller eventuellt är intresserade av att ansluta sig till en samordnad statlig it-drift. Vidare har 106 myndigheter svarat på vår kompletterande enkät där de givits möjlighet att ange hur stort åtagande och vilka tjänster de är intresserade av. Av myndigheternas svar framgår det att 32 myndigheter är intresserade av att utkontraktera hela sin it-drift, medan 69 myndigheter enbart är intresserade av att utkontraktera delar.
Behovet sprider sig över hela spektrumet av it-driftstjänster
Av vår kartläggning framgår att behoven skiljer sig åt inom statsförvaltningen. Det varierar från att myndigheter efterfrågar ett helhetsåtande till enstaka tjänster. Vilken eller vilka typer av tjänster som kan vara aktuella att erbjuda inom en samordnad statlig it-drift är därför svårt att utröna i detta skede. Det framgår däremot tydligt av enkäten att en stor majoritet efterfrågar infrastrukturtjänster, vilket innebär att det finns goda förutsättningar för att hitta någon form av minsta gemensamma nämnare som därefter varieras i form av olika typer av tilläggstjänster.
Myndigheterna efterfrågar en flexibel och valbar lösning
Myndigheternas förutsättningar skiljer sig åt och vilken it-driftslösning som är mest lämplig varierar beroende på vilken verksamhet som bedrivs och vilken typ av uppgifter myndigheten hanterar. Myndigheterna efterfrågar en flexibel och valbar lösning för att kunna anpassa sig utifrån myndighetens verksamhet.
Vi bedömer att det är lämpligt att utgå från flexibilitet och valbarhet i den modell som tas fram. Bland annat mot bakgrund av att vi ser att det finns ett stort intresse för samordnad statlig it-drift samt att det ger bättre förutsättningar för myndigheter att ansluta sig när och om det bedöms lämpligt. Det är även viktigt att vi genom våra förslag kan säkerställa att myndigheterna kan ta det ansvar som åligger dem vad gäller informationshantering.
Många myndigheter saknar i dag viktiga förutsättningar för att kunna bedöma vilka it-driftslösningar som är mest lämpliga
Av underlaget är det tydligt att många myndigheter i dag saknar viktiga förutsättningar för att kunna bedöma vilken it-driftslösning som är mest lämplig för den information som myndigheten hanterar. Detta talar för att det finns ett stort behov av stöd bland myndigheterna för att kunna säkerställa en säker och effektiv informationshantering inom statsförvaltningen.
Vi kan däremot inte med säkerhet svara för hur många myndigheter som i slutändan skulle kunna bli aktuella för en samordnad statlig it-drift eftersom vi vet att flera faktorer påverkar myndigheternas möjlighet att ansluta sig. Myndigheterna kan till exempel vara bundna av avtal eller tekniska plattformar som inte möjliggör en migrering.
6. Utvärdering av Försäkringskassans uppdrag om samordnad och säker statlig it-drift
Enligt våra direktiv ska vi utvärdera Försäkringskassans uppdrag att tillhandahålla samordnad och säker statlig it-drift och redovisa vilka slutsatser som kan dras i fråga om bl.a. upparbetad organisation, anslutnings- och finansieringsmodell, tjänsteleverans, samordningsvinster och påverkan på kärnverksamheten i termer av resursbehov och prioriteringar inom verksamheten. Vi ska också analysera vilka lärdomar, erfarenheter och investeringar som är relevanta att vidareutveckla inom ramen för våra förslag till mer varaktiga former för samordnad statlig it-drift.
6.1. Metod och genomförande
Vi har genomfört utvärderingen med utgångspunkt från en tredelad analysmodell. För det första har vi tittat på vad som i litteraturen omnämns som relevans, vilket svarar för om vald styrform är lämplig för att lösa de problem som omnämns i uppdraget. För det andra har vi tittat på hur implementeringen av uppdraget har gått till och hur väl den etablerade organisationen, framtagna processer och rutiner fungerar. Till sist har vi tittat på måluppfyllnaden, dvs. om man genom regeringsuppdraget lyckats nå avsedda effekter.1
För att svara på våra frågor har vi genomfört både intervjuer och dokumentstudier. Vi har genomfört 17 intervjuer med ett 20-tal personer från Försäkringskassan. Vi har även intervjuat företrädare för
1 Vedung, Evert (2009), Utvärdering i politik och förvaltning.
nio kundmyndigheter, där ett 30-tal personer har närvarat. Vi har även intervjuat Pensionsmyndigheten för att fånga deras erfarenheter av samverkan med Försäkringskassan i samband med att de under 2018 inkluderade datacentertjänster i sin tjänsteleverans. Därutöver har vi intervjuat företrädare för Regeringskansliet och de samverkansmyndigheter som omnämns i direktiven för Försäkringskassans regeringsuppdrag – Myndigheten för samhällsskydd och beredskap (MSB), eSamverkansprogrammet (eSam) och Post- och telestyrelsen (PTS). Från Regeringskansliet har vi intervjuat Socialdepartementet för att få en bättre förståelse för hur regeringsuppdraget påverkar myndighetens kärnuppdrag. Vi har även intervjuat företrädare för Enheten för digital förvaltning, dels personer som deltog när uppdraget togs fram (då under Finansdepartementet), dels personer som hanterat den löpande dialogen (nu under Infrastrukturdepartementet).
Vi har tagit del av flertalet dokument som beskriver hur uppdraget har organiserats, bl.a. modell för anslutning och samverkan, överenskommelser (inklusive bilagor) och avsiktsförklaringar, tjänstekatalog samt kund- och behovslogg. Vi har även tagit del av generella styrdokument samt den återrapportering som gjorts till regeringen.
6.2. Regeringsuppdraget
Försäkringskassan fick regeringsuppdraget 2017. Det föregicks av ett antal andra regeringsuppdrag.
Regeringen hade 2015 gett Pensionsmyndigheten i uppdrag att analysera och värdera potentialen för användning av molntjänster i staten.2 Det uppdraget byggde i sin tur på ett arbete som genomfördes av E-delegationen men som inte formellt publicerades. År 2016 fick Statens servicecenter uppdraget att analysera och föreslå myndighetsfunktioner som skulle kunna bedrivas samordnat.3 Statens servicecenter rekommenderade i sin redovisning inrättandet av en statlig molntjänst som skulle erbjuda myndigheterna datorkraft och lagring. Enligt myndigheten skulle det leda både till besparingar och en ökad it-säkerhet i statsförvaltningen. Budgetavdelningen vid Finansdepartementet såg besparingspotential i förslagen och framförde det till Enheten för digital förvaltning, som då låg på Finansdepartementet.
2 Pensionsmyndigheten (2016), Molntjänster i staten – en ny generation av outsourcing. 3 Statens servicecenter (2017), En gemensam statlig molntjänst för myndigheternas it-drift.
Enheten för digital förvaltning hade i sin tur fört en dialog med itcheferna på några av de större myndigheterna om bl.a. förutsättningarna för att samordna statlig it-drift. Utöver det hade Försäkringskassans it-avdelning vid några tillfällen undersökt möjligheten att samordna it-drift med andra myndigheter.
Under sommaren 2017 avslöjades händelserna vid Transportstyrelsen med anledning av myndighetens utkontraktering av it-drift till en privat leverantör. Frågan om informationssäkerhet och lämpligheten i att utkontraktera it-drift aktualiserades och regeringen såg anledning att vidta snabba och konkreta åtgärder. Ett förslag till regeringsuppdrag om it-drift som Enheten för digital förvaltning redan hade under beredning sågs över och gemensambereddes snabbt inom Regeringskansliet. Inriktningen, som tidigare hade legat på effektivisering, besparing och säkerhet, ändrades till att i högre grad fokusera på ökad informationssäkerhet. Valet av vilken myndighet som skulle få uppdraget föll på Försäkringskassan. Myndigheten bedömdes ha rätt kapacitet genom att ha en omfattande egen it-drift liksom kompetens och erfarenhet inom området för att på relativt kort tid kunna bygga upp nödvändiga förmågor. Enheten för digital förvaltning uppfattade också att Försäkringskassan var intresserade av att få uppdraget. Det ansågs inte aktuellt att bygga upp en ny myndighet.
6.2.1. Uppdragets inriktning
Enligt uppdraget ska Försäkringskassan 2017–2020 erbjuda samordnad och säker statlig it-drift för vissa myndigheter.4 Det övergripande syftet är att pröva och utvärdera former för samordnad och säker itdrift för lämpliga myndigheter. Av våra intervjuer med företrädare för Enheten för digital förvaltning framgår att det fanns en tanke om att uppdraget skulle syfta till att bygga upp faktisk förmåga. Det fanns dock en tveksamhet från andra delar av Regeringskansliet bland annat vad gällde konkurrensfrågor. Därför kom det att utformas som ett tillfälligt uppdrag med syfte att pröva och utvärdera former för samordning. Socialdepartementet ställde sig redan från början positiva till uppdraget även om de betonade att det inte fick påverka Försäkringskassans kärnverksamhet.
4 Regeringen (2017), Uppdrag att erbjuda samordnad och säker statlig it-drift. Fi2017/03257/DF.
Målgruppen för anslutning ska enligt uppdraget vara myndigheter där åtgärder bedöms leda till högre informationssäkerhet. Det framgår inte närmare i uppdraget vilken typ av myndigheter som avses, mer än att de ska vara ”lämpliga”. Enligt våra intervjuer med företrädare för Enheten för digital förvaltning framförde de i uppdragsdialogen att små och mellansmå myndigheter var viktigast att ansluta utifrån att de inte bedömdes ha tillräcklig kompetens för att utkontraktera sin it-drift. Det framgår inte heller av uppdraget hur många myndigheter som ska anslutas. Försäkringskassan insåg dock snabbt efter uppdragsstart att det fanns ett stort intresse bland myndigheterna och att man inte skulle kunna ansluta alla som anmälde intresse. Försäkringskassan lyfte därför frågan om hur prioriteringen mellan myndigheter skulle göras till Enheten för digital förvaltning. Myndigheten hänvisades till att utgå från sina egna bedömningar. Försäkringskassan har efter hand utvecklat en modell för prioritering av myndigheter där en viktning görs utifrån parametrarna ”säkerhet”, ”kostnadseffektivitet”, ”digitalisering” samt ”liten myndighet”. Modellen beskrivs närmare i avsnitt 6.3.3.
6.2.2. Reviderat uppdrag 2019
Uppdraget löpte på fram till hösten 2019 då regeringen beslutade att tillsätta Utredningen om säker och kostnadseffektiv it-drift för den offentliga förvaltningen. Regeringen reviderade och förlängde Försäkringskassans uppdrag så att tidplanen för uppdraget stämde överens med utredningens tidplan. I det reviderade uppdraget anges att det behöver säkerställas att den etablerade it-driften mellan myndigheterna kan fortsätta och att Försäkringskassan får en tydligare inriktning för anslutning av ytterligare myndigheter till den samordnade it-driften.5
Genom det reviderade uppdraget förlängdes uppdragstiden till den 31 december 2022. Uppdraget ska genomföras i enlighet med tidigare beslut och utifrån de ändringar som anges i det reviderade uppdraget. Fokus i det fortsatta uppdraget är att bibehålla den förmåga till samordnad och säker statlig it-drift som Försäkringskassan byggt upp. Ytterligare myndigheter kan anslutas, men enbart i sådan om-
5 Regeringen (2019), Ändring av uppdrag att erbjuda samordnad och säker statlig it-drift, I2019/02515/DF.
fattning som anses motiverad inom ramen för en bibehållen förmåga. Försäkringskassan ska i första hand prioritera it-drift för myndigheter där åtgärder kan leda till höjd informationssäkerhet. I andra hand ska åtgärder som bidrar till ökad kostnadseffektivitet prioriteras. Uppdraget ska genomföras så att det inte påverkar Försäkringskassans kärnverksamhet negativt.
Av våra intervjuer med företrädare för Försäkringskassan och Enheten för digital förvaltning framgår att innebörden av begreppet ”bibehållen förmåga” inte var helt självklar. Försäkringskassan har valt att tolka ”bibehålla” som att avsluta det som påbörjats och att följa den plan kring anslutning som upparbetats. Detta har också stämts av med Enheten för digital förvaltning.
6.2.3. Samverkan i uppdraget
Enligt det ursprungliga uppdraget ska uppdraget genomföras i samverkan med MSB och de myndigheter som ska ingå i den gemensamma it-driften och behovsanalysen ska ske i samverkan med eSam. I frågor som rör personlig integritet ska Försäkringskassan samverka med Datainspektionen (numera Integritetsskyddsmyndigheten, IMY). Andra relevanta myndigheter, som t.ex. PTS ska i den utsträckning som de har möjlighet bidra så att Försäkringskassan kan fullgöra uppdraget.
Av våra intervjuer med företrädare för de utpekade samverkansmyndigheterna och med Försäkringskassan framgår att utbytet mellan myndigheterna inte varit särskilt omfattande eller systematiskt i uppdraget. Försäkringskassan koncentrerade sig på att bygga upp processer och förmåga i uppdraget vilket också bidragit till att samverkan framför allt inriktats på de myndigheter som anslutit sig till den samordnade it-driften. Samverkan med PTS var inledningsvis något mer frekvent vilket hängde ihop med att PTS hade ett parallellt uppdrag om förvaltningsmodell för säkra it-utrymmen som var nära kopplat till Försäkringskassans uppdrag. Samverkan med MSB begränsades till några sporadiska möten. MSB menar att både de och Försäkringskassan borde ha lagt mer tid på samverkan eftersom informationssäkerhet var en viktig utgångspunkt för uppdraget. Samverkan med eSam har inte formaliserats utan har snarare skett inom den befintliga samverkan. Försäkringskassan har i ett senare skede i uppdraget
lyft frågan om behovsanalys och då utifrån ett bredare perspektiv än enbart uppdraget. Försäkringskassan har inte kontaktat IMY med förklaringen att det inte funnits några frågor om personlig integritet i uppdraget.
6.2.4. Uppdragsdialog och återrapportering
Enheten för digital förvaltning har ansvarat för uppdragsdialogerna och uppföljningen gentemot Försäkringskassan. Företrädare för Socialdepartementet har deltagit i relevanta delar. I våra intervjuer med företrädare för Enheten för digital förvaltning vid Infrastrukturdepartementet och med Socialdepartementet och Försäkringskassan framkommer att samtliga tycker att uppdragsdialogen har fungerat väl.
Försäkringskassan har lyft flera frågor till Enheten för digital förvaltning under uppdragets gång. Det har dels handlat om tolkning och vägledning i uppdraget (exempelvis kring definitioner och prioriteringar), dels kring själva genomförandet och finansieringen. När det gäller finansiering har avgiftssättningen liksom frågan om bidrag och hur investeringar ska finansieras lyfts vid flera tillfällen. En fråga som tagits upp av Försäkringskassan är säkra it-utrymmen som man velat ta vidare utifrån PTS:s utredning6 (se avsnitt 7.4.2 om Program 2032).
I våra intervjuer framhåller företrädare för Enheten för digital förvaltning att Försäkringskassan har tagit sig an uppdraget på ett seriöst och ambitiöst sätt trots en utmanande tidplan och utan större möjlighet att förbereda sig. De trodde till en början att fler myndigheter skulle kunna anslutas. Men med ökad kunskap om komplexiteten i uppdraget och att behoven delvis såg annorlunda ut än förväntat så finns en förståelse från Enheten för digital förvaltning att anslutningarna tar längre tid. Försäkringskassan har i slutändan anslutit fler myndigheter än vad som angavs i den egna initiala verksamhetsplanen.
Försäkringskassan har lämnat årliga delredovisningar i uppdraget. Delredovisningarna är kortfattade och fokuserar på status i uppdraget samt risker och förutsättningar för det fortsatta genomförandet. Företrädare för Enheten för digital förvaltning menar att åter-
6 Post- och telestyrelsen (2018) Förslag till en förvaltningsmodell för skyddade it-utrymmen.
rapporteringen tillsammans med den löpande dialogen har varit bra och gett tillräcklig information om uppdragets status och utmaningar.
Utöver delredovisningarna gjordes hösten 2019 en extern utvärdering av regeringsuppdraget där en slutsats var att det var svårt att utläsa effekter i uppdraget.7 Våren 2020 tog medarbetare vid Försäkringskassan fram en intern kompletterande analys kring effekter, risker och hinder samt påverkan på myndighetens kärnuppdrag. Av arbetsmaterialet framgår att de främsta riskerna och hindren i uppdraget som Försäkringskassan dittills identifierat har att göra med själva samordningen mellan myndigheter. Det finns i regel en låg mognad i att samverka kring it-tjänster. Det innebär i sig en stor förändring både för verksamhet och it. Det finns också tekniska och säkerhetsmässiga utmaningar med att bygga lösningar för flera olika behov och organisationer. För kundmyndigheterna har man sett att det finns en utmaning med att identifiera och välja lämpliga leverantörer för olika delar av it-driftsbehovet. Ytterligare en utmaning är att få en rättvisande kostnadstäckning.
6.3. Anslutningsmodell och anslutning av myndigheter
6.3.1. Behovsanalys för samordnad statlig it-drift
Enligt uppdragsbeskrivningen skulle Försäkringskassan göra en initial analys av ett antal myndigheters behov, där säkerhetsfrågorna särskilt skulle beaktas. Utifrån detta skulle lämpliga funktioner utvecklas och tillhandahållas.
Behovsanalysen togs fram genom att analysera vissa data om myndigheterna i statsförvaltningen. Det fanns dock lite fakta om myndigheternas it-driftsbehov. Försäkringskassan träffade därför det 30-tal myndigheter som visat intresse för samordnad it-drift och kunde på så vis kartlägga just dessa myndigheters behov. It-avdelningens uppfattning innan behovsanalysen genomfördes var att myndigheterna hade liknande it-driftsbehov som Försäkringskassan och att det primärt var stora myndigheter som var intresserade av att samordna sig. I praktiken var det dock framför allt små myndigheter som hade be-
7 Ramböll (2019), Utvärdering av Försäkringskassans uppdrag om samordnad och säker statlig
it-drift.
hov av att stärka säkerheten och att få tillgång till kompetens genom samordnad statlig it-drift.
Utifrån behovsanalysen kategoriserades myndigheterna utifrån storlek – liten, mellan och stor – och det efterfrågade tjänsteutbudet beskrevs för respektive kategori. Man kom fram till följande. – Små myndigheter: efterfrågar i första hand ett helhetsåtagande. – Mellanstora myndigheter: efterfrågan varierar beroende på verk-
samhet och var myndigheten befinner sig i sin it-miljö och utveckling. – Stora myndigheter: är i första hand intresserade av enstaka tjänster
som är enkla att konsumera inom ett område där man inte själv klarar av att leverera, exempelvis datacenter som molntjänst. Syftet är i första hand effektivisering.
Försäkringskassan bedömer att behovsanalysen stämmer väl och är aktuell även i dag. De myndigheter som Försäkringskassan haft kontakt med har också uttryckt att de känner igen sig i Försäkringskassans behovsbild.
6.3.2. Processen för anslutning av myndigheter har utvecklats efter hand
Det fanns ingen färdig process eller rutin för anslutning när uppdraget startade. Försäkringskassan har därför fått ta fram, utveckla och förfina processen för anslutning av kundmyndigheter under uppdragets gång. Processen, som i dag kallas för anslutningsmodell, är inspirerad av privat sektor och består av fyra steg som ska stödja arbetet från förfrågan till etablerad it-tjänst och samverkan. Modellen beskriver de olika stegen i anslutningsprocessen, vad som ska vara klart i varje steg, viktiga beslutspunkter samt roll- och ansvarsfördelning. De fyra stegen framgår nedan.
Initiera
Det första steget i anslutningsprocessen – initiera – startar när en myndighet kontaktar Försäkringskassan med förfrågan om att ansluta sig till den samordnade it-driften eller genom att Försäkrings-
kassan får ett uppdrag eller direktiv att ansluta en myndighet. En analys görs av myndighetens behov och förutsättningar utifrån en checklista och svaren vägs mot vad Försäkringskassan kan erbjuda. Bl.a. ställs frågor om myndighetens verksamhet, drivkrafter, behov av säkra lösningar och var man står när det gäller it-drift och digitalisering. Hur lång tid denna fas tar beror på vilken kännedom myndigheten har om sin information, myndighetens behov och hur den befintliga it-driftslösningen ser ut. Försäkringskassan bedömer i en egen riskanalys vilken påverkan en anslutning kan få för Försäkringskassan. Målet är att nå fram till ett beslut om myndigheten ska, kan eller bör ansluta sig till Försäkringskassans samordnade it-drift. Om avsikten är att gå vidare i anslutningsprocessen skrivs en avsiktsförklaring mellan kundmyndigheten och Försäkringskassan. I annat fall fattas beslut om att avbryta anslutningen.
Planera
Genom avsiktsförklaringen inleds nästa steg – planera – som syftar till att kundmyndigheten och Försäkringskassan ska vara överens om innehåll, omfattning och styrande principer för fortsatt anslutning och samverkan. En detaljerad behovsanalys tas fram, ibland i samarbete med kundmyndighetens befintliga it-driftsleverantör. Under planera-fasen ska även de ekonomiska ramarna och styrformerna för nästa steg – bygga – vara förankrade hos båda parter. Om parterna kommer fram till att en anslutning ska göras tecknas en samverkansöverenskommelse och en samverkansaktivitet genomförs. Även här kan parterna komma fram till att samverkan ska avbrytas.
Bygga
Samverkansöverenskommelsen tas sedan vidare och utvecklas i nästa steg – bygga. Även denna fas kan se olika ut beroende på kundmyndighet, behov och leverans. Bygga-fasen avslutas när kundmyndigheten och Försäkringskassans driftsorganisation nått fram till en accepterad leverans. Samverkansöverenskommelsen har då kompletterats med bilagor som fastställer ekonomi, säkerhet m.m. Målet är en effektiv och trygg utformning och etablering av överenskommet driftsåtagande.
Köra
När parterna kommit fram till en accepterad leverans går man över i det sista steget i anslutningen – köra – där kontaktvägar och gränssnitt för kommunikation fastställs. Målet är att båda parter är överens om hur tjänsterna ska följas upp och hur en god samverkan ska utvecklas och bibehållas. I denna fas kan både förvaltnings- och utvecklingsfrågor bli aktuella liksom ändrade behov. Anslutningsprocessen är fullföljd när det finns ett etablerat it-tjänsteåtagande och en etablerad samverkan.
6.3.3. Modell för prioritering av myndigheter
Frågan om vilka myndigheter Försäkringskassan skulle prioritera i uppdraget togs upp redan i uppdragsdialogen, vilket vi beskrivit i avsnitt 6.2.1.
Försäkringskassan har efter hand tagit fram en modell för viktning av myndigheter där kundmyndigheterna får olika värden utifrån verksamhet, behov och förutsättningar samt vad som kommer fram i dialogen med myndigheterna. I modellen sätts ett grundvärde för om myndigheten omfattar samhällsbärande och säkerhetskänslig verksamhet som helhet, delvis eller inte alls. Därefter rangordnas verksamhetens behov och förutsättningar enligt följande kriterier: 1) itsäkerhet, 2) kostnadseffektivitet, 3) liten myndighet, 4) digitalisering. Företrädare för it-avdelningen på Försäkringskassan framhåller att det också är viktigt att kundmyndigheten har rätt drivkraft för att gå in i en samverkan med Försäkringskassan. Myndigheter som inte har någon utmaning vad gäller säkerhet, kostnadseffektivitet eller digitalisering utan enbart vill hitta en alternativ lösning till sin befintliga it-driftsleverantör är inte aktuella för anslutning till en samordnad statlig it-drift. Försäkringskassan har med tiden lärt sig att ställa ”rätt” frågor för att få en tydlig bild av drivkrafterna.
I våra intervjuer med företrädare för Försäkringskassan framkommer dock att prioriteringsmodellen i praktiken inte använts systematiskt. Det har inte heller ställts skarpa krav på prioritering eftersom myndigheterna kommit in med sina förfrågningar allteftersom och då bedömts i varje enskilt fall. Försäkringskassan har alltså i liten grad behövt prioritera mellan flera myndigheter vid ett och samma tillfälle. Av de myndigheter som i dag är anslutna eller som är på väg
att anslutas finns i vissa fall andra skäl bakom anslutningen (se närmare avsnitt 6.3.4 nedan om anslutna myndigheter). Vilka skäl som varit tyngst vägande har också varierat något över tid. Säkerhet har hela tiden varit i fokus. Mindre myndigheter har varit en viktig målgrupp i uppdraget eftersom de har särskilda utmaningar och behov. De är också en grupp som visat stort intresse för anslutning. Trots detta har parametern liten myndighet en lägre viktning än kostnadseffektivitet i modellen. I praktiken är dock flertalet av de anslutna myndigheterna små myndigheter.
6.3.4. Anslutna myndigheter i dag
Det fanns ett stort intresse för den samordnade it-driften redan från att uppdraget startade. Under de första månaderna tog ett 30-tal myndigheter kontakt med Försäkringskassan. Merparten av dessa var små myndigheter.
Från 2017 och fram t.o.m. juni 2021 har 56 myndigheter kontaktat Försäkringskassan angående samordnad statlig it-drift. Myndigheterna efterfrågar olika typer av it-driftstjänster vilket beskrivs närmare i avsnitt 6.5. Några myndigheter har kontaktat Försäkringskassan enbart för att få allmän information om vad samordningen innebär.
Anslutningsläget i olika faser i anslutningsprocessen framgår av tabell 6.1. nedan. Försäkringskassan har utöver det kontakt med ett flertal myndigheter där det är mer oklart om och när en anslutning kommer ske.
Tabell 6.1 Myndigheter i olika faser i anslutningsprocessen inom ramen för Försäkringskassans regeringsuppdrag (juni 2021)
Initiera
Planera
Bygga
Köra
E-hälsomyndigheten E-hälsomyndigheten Myndigheten för digital
förvaltning (DIGG)
Kemikalieinspektionen Statens tjänste-
pensionsverk
Statens servicecenter
Arbetsförmedlingen Barnombudsmannen Skatteverket Statens haverikommission Myndigheten för vård- och omsorgsanalys
Myndigheten för familjerätt och föräldraskapsstöd Myndigheten för delaktighet
Källa: Sammanställning utifrån uppgifter från Försäkringskassan. Anm. Försäkringskassan lämnade den 15 november 2021 en delredovisning till regeringen. Av denna framgår att Arbetsförmedlingen och Statens tjänstepensionsverk nu befinner sig i köra-fasen, Det framgår även att Domstolsverket, länsstyrelserna och Statens institutionsstyrelse har anslutits till den avgränsade tjänsten E-identitet för offentlig sektor (EFOS).
Myndigheter i köra-fasen
Fram t.o.m. juni 2021 är sex myndigheter fullt ut anslutna till Försäkringskassans samordnade statliga it-drift, se tabell 6.2. Samtliga avser helhetsåtaganden.
Tabell 6.2 Myndigheter som är anslutna till Försäkringskassans samordnade statliga it-drift (juni 2021)
Myndighet Storlekskategori Departement Anslutningsår
Myndigheten för digital förvaltning (DIGG)
Liten myndighet Infrastrukturdepartementet 2018
Statens servicecenter Stor myndighet Finansdepartementet
2019
Barnombudsmannen Liten myndighet Arbetsmarknadsdepartementet 2020 Statens haverikommission
Liten myndighet Justitiedepartementet
2021
Myndigheten för familjerätt och föräldraskapsstöd
Liten myndighet Socialdepartementet
2021
Myndigheten för delaktighet
Medelsmå Socialdepartementet
2021
Källa: egen sammanställning.
Den första myndigheten att anslutas till Försäkringskassans samordnade statliga it-drift var Myndigheten för digital förvaltning (DIGG). Förfrågan om anslutning kom från den organisationskommitté som ansvarade för etableringen av den nya myndigheten. En samordning sågs som naturlig både med tanke på myndighetens lokalisering till Sundsvall och myndighetens uppdrag. Anslutningen gick förhållandevis snabbt och var styrd av tidpunkten för den formella invigningen av DIGG. Utöver den renodlade it-driften (säker it-arbetsplats, CAPtjänst etc.) där DIGG är i köra-fasen befinner sig DIGG i anslutningsprocessen även för andra tjänster. För t.ex. eIDAS-noden som DIGG enligt sin instruktion ansvarar för ligger DIGG för närvarande både i planera- och bygga-fasen hos Försäkringskassan.
Nästa myndighet att anslutas var Statens servicecenter. År 2017 aviserade regeringen att Statens servicecenter skulle ta över de lokala servicekontoren. Regeringsuppdragen beslutades under 2018 och skulle även omfatta förberedelse av en stegvis överföring av ansvaret för it-drift till Försäkringskassan. En avsiktsförklaring tecknades år 2018 omfattande it-drifttjänster både för att ersätta delar av existerande it-drift på Statens servicecenter och en överföring av it-drifttjänster till den nya servicekontorsverksamheten. Överföringen till Försäkringskassan skulle i de centrala delarna vara klar till mars 2019, vilket var en tidplan som hölls. Överföringen till Försäkringskassan avseende it-driften för servicekontoren skulle påbörjas i januari 2019, men denna överföring försenades fram till juni samma år. Den huvudsakliga anledningen till förseningen var ett behov av att invänta nödvändiga lagändringar (prop. 2018/19:47), men även att överföringen behövde ske stegvis eftersom den omfattande 116 kontor, vilket var resurskrävande och komplext att genomföra.
Barnombudsmannen var en av de första myndigheterna som tog kontakt med Försäkringskassan. Myndigheten såg ett behov av att gå över från sin dåvarande privata it-driftsleverantör till en säkrare lösning. De första kontakterna togs redan under 2017 och fortsatte under efterföljande år. Flera frågor aktualiserades med anledning av anslutningen, bl.a. om sekretess. Detta tillsammans med andra frågor ledde till vissa förseningar och att Statens servicecenter kom att anslutas före Barnombudsmannen. Barnombudsmannen fick med anledning av det förlänga avtalet med den privata leverantören under tiden fram till anslutningen år 2020.
Statens haverikommission tog kontakt med Försäkringskassan första gången 2018. Myndigheten stod inför en ny upphandling och hade via kontakter med Barnombudsmannen hört talas om deras samordning med Försäkringskassan och blev intresserade. Därefter har man successivt arbetat sig igenom de olika faserna i anslutningsprocessen fram till anslutningen som skedde hösten 2020. Anslutningen har löpt på enligt plan.
Myndigheten för familjerätt och föräldraskapsstöd (MFoF) anslöts våren 2021. Myndigheten tog kontakt med Försäkringskassan redan år 2018 i samband med att myndigheten utlokaliserades till Skellefteå. MFoF är en liten myndighet med få anställda och en samordning med Försäkringskassan sågs som ett lämpligt sätt att övergå från befintlig privat it-driftslösning och stärka kompetensen på området. Anslutningen av myndigheten har av olika skäl dragit ut på tiden, bl.a. har frågan om MFoF är en lämplig kandidat i uppdraget påverkat tidplanen. Försäkringskassan har också arbetat parallellt med andra anslutningar, vilket enligt företrädare för MFoF också har påverkat myndighetens anslutning.
Myndigheten för delaktighet gick över i köra-fasen våren 2021 och är fram t.om. juni 2021 den senaste myndigheten som anslutits. Myndigheten har hanterat sin it-drift i egen regi och såg ett behov av att höja säkerheten och minska sårbarheten inom it och tog därför kontakt med Försäkringskassan. Genom den kommande anslutningen har antalet anställda som arbetar med it-drift minskats från tre till en.
Myndigheter i bygga-fasen
Två myndigheter befinner sig i juni 2021 i bygga-fasen. Samtliga avser att ansluta hela sin it-drift till Försäkringskassan.
Tabell 6.3 Myndigheten i Bygga-fasen inom ramen för Försäkringskassans uppdrag (juni 2021)
Myndighet Storlekskategori Departement
E-hälsomyndigheten
Medelstor Socialdepartementet
Statens Tjänstepensionsverk Medelstor Finansdepartementet
Källa: Egen sammanställning.
E-hälsomyndigheten tog de första kontakterna med Försäkringskassan under 2018 och befinner sig nu i bygga-fasen för en del av itdriften och planera-fasen för en annan del. Det finns flera skäl till att myndigheten valt att gå in i Försäkringskassans uppdrag. Man såg ett behov av att gå över från befintlig privat leverantör till en säkrare, mer stabil och långsiktig lösning. Dessutom fanns synergieffekter genom att E-hälsomyndigheten och Försäkringskassan hanterar likartad information, har liknande behov och likartad syn kring arkitektur. E-hälsomyndigheten blir den första kundmyndigheten med ett 24/7-åtagande som ansluts till Försäkringskassan.
Även Statens Tjänstepensionsverk (SPV) är i bygga-fasen och påbörjade sin anslutningsprocess 2019. Myndigheten har i dag en privat it-driftslösning. Anslutningen till Försäkringskassan motiveras av att SPV vill säkerställa en hög säkerhetsnivå för it-driften och att informationen hanteras på ett tryggt och säkert sätt. Kostnadseffektivitet är också en viktig aspekt i valet av it-driftslösning. Planen är att Försäkringskassan ska ta över myndighetens it-drift from 2023.
6.3.5. Hur tycker kundmyndigheterna och Försäkringskassan att anslutningarna har fungerat?
Som framkommit har den korta tidplanen inför och under uppdraget inneburit att Försäkringskassan har fått utveckla processer, rutiner och checklistor för anslutning parallellt med faktisk anslutning av kundmyndigheter. Vissa frågeställningar har därmed fått hanteras löpande och när kundmyndigheterna har tagit upp dem. Det har exempelvis handlat om ansvarsfördelning mellan parterna, utformning av överenskommelse, säkerhetsfrågor, arbetsformer i anslutningen och styrformer. Försäkringskassan framhåller att de senare anslutningarna har varit bättre förberedda än de tidiga anslutningarna.
Av våra intervjuer med företrädare för kundmyndigheterna framkommer att myndigheterna ändå tycker att anslutningen till Försäkringskassans it-drift på det stora hela har fungerat väl. Försäkringskassan upplevs som en stabil och säker it-organisation. Anslutningarna har i regel löpt på enligt tidplan. I vissa fall har det tagit tid från första kontakt till faktisk anslutning, vilket berott på både Försäkringskassan och enskilda kundmyndigheter. I två fall har anslutningen försenats på grund av att Försäkringskassan har genomfört parallella anslutningar. En synpunkt som lyfts fram är att kundmyndigheterna
får information om kostnaden för it-driften först i ett sent skede i processen då det kan upplevas som svårt att avbryta och hitta en ny leverantör.
Företrädare för it-avdelningen inom Försäkringskassan konstaterar att anslutningsmodellen är anpassad för anslutning för helhetsåtaganden vilket gör den relativt krävande både för kundmyndigheter och för Försäkringskassan. Man behöver därför titta på vilka förändringar som behöver göras när man ansluter kundmyndigheter som efterfrågar enstaka tjänster. Försäkringskassan menar också att man hittills har lagt mycket tid på initiera- och planeringsfaserna. Mer tid behöver läggas på att utveckla och standardisera även bygga- och köra-faserna där en viktig fråga är hur själva leveransen ska realiseras på bästa sätt.
6.3.6. Uppdragsrelationen dokumenteras i överenskommelser
Försäkringskassan sluter en överenskommelse med varje myndighet som ansluts. I flera av överenskommelserna för kundmyndigheter i köra-fasen används formuleringar som exempelvis att överenskommelsen ”reglerar” bl.a. villkor för Försäkringskassans it-drift, att överenskommelsen är ”giltig” under vissa angivna förutsättningar och att den kan sägas upp. Vidare finns skrivningar om tolkning av överenskommelsen. Man är dock hos Försäkringskassan medveten om att överenskommelserna inte har någon rättslig status. Det är också tydligt att överenskommelserna utvecklats över tid – i senare tillkomna överenskommelser anges uttryckligen att överenskommelsen som sådan inte har några rättsverkningar.
Innehållet i överenskommelserna med olika kundmyndigheter är inte helt identiska men de flesta överenskommelser innehåller ett avsnitt där syftet med överenskommelsen beskrivs. I senare tillkomna överenskommelser beskrivs i stället syftet med samverkan. Flera överenskommelser innehåller en skrivning om att Försäkringskassan enbart får hantera uppgifter som ett led i teknisk bearbetning och teknisk lagring för annans räkning. I en överenskommelse anges hur intressekonflikter, som kan uppstå på grund av att Försäkringskassan levererar it-drift till flera myndigheter, ska hanteras av Försäkringskassan.
I de flesta överenskommelser finns avsnitt om hur ändringar och tillägg kommer till stånd, om hävning, om force majeure och om tvister. När det gäller tvister så anges att dessa ska lösas genom förhandling och i vissa fall att tvister som inte kan lösas inom ramen för samverkansmodellen eskaleras vidare till respektive myndighetschef att gemensamt hantera. I några överenskommelser anges att tvister i sista hand avgörs genom att de hänskjuts till regeringen.
Till överenskommelserna finns flera bilagor, bl.a. rörande hur samverkan ska ske, beräkningsmodeller för kostnader, administrativa rutiner och villkor för behandling av personuppgifter (personuppgiftbiträdesavtal) inklusive instruktioner för personuppgiftsbiträdets behandling. Vilka bilagor som finns skiljer sig i viss utsträckning från överenskommelse till överenskommelse. Samtliga kundmyndigheter har dock tecknat personuppgiftsbiträdesavtal med Försäkringskassan. Dessutom finns till samtliga träffade överenskommelser för myndigheter i köra-fasen en bilaga om servicenivåer och leveransuppföljning.
6.3.7. Otydligt i överenskommelserna vilka förutsättningar som finns för insyn i Försäkringskassans hantering
När det gäller kundmyndigheternas möjlighet till insyn i Försäkringskassans informationshantering så regleras det uttryckligen i personuppgiftsbiträdesavtalen att den personuppgiftsansvarige har rätt att kontrollera att de säkerhetsrelaterade bestämmelserna avseende behandling av personuppgifter följs och att Försäkringskassans personuppgiftsbehandling i övrigt sker i enlighet med vad som anges i avtalet. Vidare anges att granskning av personuppgiftsbehandlingen kan ske med bistånd från tredje part samt att personuppgiftsbiträdet ska ge den personuppgiftsansvarige tillgång till all nödvändig information samt möjliggöra och bidra till granskningen.
När det gäller möjligheter till insyn och kontroll av att villkoren för samverkan i övrigt är uppfyllda avseende bl.a. säkerhetsnivåer så finns det inte något skrivet om detta i överenskommelserna. Av våra intervjuer har vi förstått att kundmyndigheterna även sluter säkerhetsöverenskommelser med Försäkringskassan. Vi har dock inte fått ta del av dessa. I våra intervjuer har det också framgått att det i praktiken visat sig svårt för kundmyndigheter att få insyn i Försäkringskassans hantering med avseende på bl.a. säkerhetsnivåer (se avsnitt 6.7.4).
6.4. Styrning och organisering
6.4.1. It-avdelningen har haft stort eget mandat att styra uppdraget
Regeringsuppdraget delegerades till it-avdelningen på Försäkringskassan och avdelningen har haft stort eget mandat att styra uppdraget. It-avdelningen har haft löpande kontakter med företrädare för Enheten för digital förvaltning och det är primärt här som den löpande dialogen har skett.
Genom våra intervjuer med företrädare på Försäkringskassan har vi förstått att myndighetsledningen har följ uppdraget i enlighet med gängse interna rutiner för regeringsuppdrag. Uppdraget har inte prioriterats högre än övriga regeringsuppdrag eller hanterats som ett principiellt viktigt eller strategiskt projekt. Myndighetsledningen har agerat på frågor som lyfts från it-avdelningen och när det funnits behov fört dialog med kundmyndigheter. Överlag tycks den här uppdelningen ha fungerat väl, men under ett antal intervjuer med företrädare för olika delar av Försäkringskassan har det framgått att man ser ett behov av att ledningen engagerar sig ytterligare i uppdraget i händelse av att det skulle förlängas eller utvidgas. Försäkringskassans styrelse har fått information om uppdraget vid ett antal tillfällen antingen via it-chefen eller generaldirektören.
Försäkringskassan har därutöver på eget initiativ tagit kontakt med företrädare för ett antal myndigheter för att undersöka möjligheten att fler skulle kunna erbjuda it-driftstjänster till de kundmyndigheter som kommit i kontakt med Försäkringskassan. Med utgångspunkt i detta har ett myndighetsövergripande program bildats under namnet Säkra it-tjänster i statlig samverkan (SITSSAM). Under samma period bildades även ett myndighetsövergripande program under namnet Program 2032 där ingående myndigheter ämnar ta vidare de förslag som PTS 2018 lämnade i sitt regeringsuppdrag Förslag till
en förvaltningsmodell för skyddade it-utrymmen. Vi beskriver de två
initiativen närmare under avsnitt 7.4.
6.4.2. Internrevisionen har granskat uppdraget
Internrevisionen genomförde i enlighet med 2019 års revisionsplan ett uppdrag som handlade om att bevaka myndighetens arbete med regeringsuppdraget. Syftet var att under hösten 2019 följa de aktiviteter som pågick inom regeringsuppdraget och identifiera eventuella utmaningar och riskområden. Uppdraget har således inte utgjort en traditionell internrevisionsgranskning.
Internrevisionen pekade redan då på behovet av att; – definiera begreppet ”säker” it-drift tillsammans med Regerings-
kansliet, – diskutera Försäkringskassans strategiska roll och vilka risker och
konsekvenser som kan uppstå på lång sikt, – klargöra beslutsordningen, – förbättra återrapportering av risker, – tydliggöra prioriteringsordning vid ett eventuellt driftsstopp.
Under 2020 genomförde internrevisionen på uppdrag av myndighetens styrelse en granskning med syfte att bedöma om den interna styrningen och kontrollen kopplat till regeringsuppdraget har varit ändamålsenlig och effektiv för att leva upp till verksamhetskraven i myndighetsförordningen. Granskningen avrapporterades till styrelsen i april 2021.
Internrevisionen lämnade i sin granskning iakttagelser inom följande sex huvudområden:
1. Nedbrytning av mål från extern styrning till intern styrning.
2. Prioritering av kundmyndigheter.
3. Förankring av leveransförmåga och tidplan inför anslutning.
4. Bemanning av uppdraget med samtliga nödvändiga specialistkompetenser.
5. Fördelning av ansvar för att leverera tjänster till kundmyndigheter.
6. Identifiering av risker och hinder.
Internrevisionen redogör i sin granskning för två övergripande omständigheter som har påverkat deras bedömning. För det första lyfter
de fram det faktum att uppdraget delegerades till it-avdelningen avseende ansvar för såväl styrning som uppföljning. De anger vidare att det tyder på att myndigheten sett uppdraget mer som ett operativt it-driftsuppdrag än ett uppdrag av strategisk betydelse med konsekvenser på myndighetsnivå på kort och lång sikt. För det andra lyfter de fram att det i stor utsträckning saknas spårbarhet och dokumentation eftersom avstämningar genomförts muntligt med Regeringskansliet avseende bland annat identifierade risker, tolkning av uppdragets intentioner samt tolkning av Försäkringskassans roll och ansvar. Detta har enligt deras beskrivning sammantaget försvårat deras granskning.
6.4.3. Regeringsuppdraget har organiserats som ett projekt inom it-avdelningen
Regeringsuppdraget har organiserats i form av ett projekt inom itavdelningen under verksamhetsområdet it-produktion. Myndigheten har tillämpat projektstyrning inom linjeorganisationen med bemanning från it-avdelningen. Projektet har i sin tur avropat stöd vid behov från andra avdelningar inom myndigheten bl.a. rättsavdelningen och ledningsstaben (ekonomi- och säkerhetsstaben). Projektet överlämnar successivt till linjeorganisationen i samband med respektive anslutning och vartefter organisationen börjar etablera permanenta rutiner och processer.
It-avdelningen inrättade ett huvudprojekt vid årsskiftet 2017–2018. Inom huvudprojektet har det över tid bildats tillfälliga delprojekt för att hantera till exempel anslutningen av respektive kundmyndighet. Delprojekten för anslutning bildas i bygga-fasen i anslutningsprocessen (vi har beskrivit anslutningsprocessen i avsnitt 6.3) och bedrivs helt i linjen. Den leverans som ges i köra-fasen hanteras av samma personal som för övriga delar av Försäkringskassans verksamhet.
Av våra intervjuer med företrädare från projektet och från linjeorganisationen framgår att det fortsatt kvarstår en del arbete med att strukturera mottagandet i linjeorganisationen. Projektet har lagt mycket tid på de initiala stegen av anslutningsprocessen och det finns en medvetenhet om att det kvarstår en del arbete med att etablera effektiva arbetssätt vid överlämning till linjen. Man ser även ett behov av att strukturera och standardisera leveransen i köra-fasen på ett så-
dant sätt att man redan i de tidiga skedena av en anslutning kan ge kundmyndigheterna en bild av hur processen kommer se ut. Av våra intervjuer framgår samtidigt att vissa delar av organisationen har kommit längre, t.ex. för tjänster som rör it-arbetsplats där man har strukturerat mottagandet på ett sätt som har fungerat väl i dialogen med kundmyndigheterna.
Vid årsskiftet 2020–2021 implementerade it-produktion en ny organisation som flera av de som vi har intervjuat inom olika delar av it-avdelningen bedömer kommer underlätta mottagandet. Den nya organisationen hämtar inspiration från it-branschen som allt mer rör sig mot den produktcentriska modellen, där man skapar förutsättningar för en produkt och hela dess livscykel från utveckling-drift och förvaltning-avveckling. Försäkringskassan har fått stöd av Gartner att ta fram ett produktramverk och en ny portföljstyrning som löper från översta strategiska nivån utifrån kundernas behov och ner till ett enskilt teams backlog. Genom den nya organisationen är förhoppningen att linjeorganisationens roll och ansvar för leveransen till kundmyndigheterna ska bli tydligare. Det är däremot för tidigt att kunna avgöra om den nya organisationen har fått avsedd effekt.
6.4.4. En ny roll för it-avdelningen
Regeringsuppdraget innebar en stor förändring för den personal inom it-produktion som berörs av regeringsuppdraget som på kort tid fick ställa om för en flerkundsleverans. Även om Försäkringskassan har tidigare erfarenhet av att tillhandahålla tjänster till Pensionsmyndigheten så berördes inte personalen inom it-produktion av leveransen, eftersom Försäkringskassan till en början inte tillhandahöll datacentertjänster (tillkom under 2018). Den samverkan som bedrivits med Pensionsmyndigheten har dessutom i stor utsträckning präglats av myndigheternas gemensamma historik samt gemensamma kompetensområde kring socialförsäkringen. Det innebar därför en stor omställning och förändring för personalen att gå från ett tidigare internt perspektiv som stödfunktion till Försäkringskassans medarbetare till ett externt kundorienterat perspektiv. Huvudprojektet fokuserade därför tidigt på att upparbeta kanaler, roller och funktioner för att skapa förutsättningar för en mer kundorienterad organisation.
Kundmyndigheterna bekräftar i våra intervjuer bilden av att Försäkringskassan har genomgått en kulturell resa och att det fortsatt kvarstår en del arbete. De beskriver även att Försäkringskassan till en början hade svårt att anpassa sig till en leverantörsroll. Samtidigt beskriver såväl kundmyndigheter som Försäkringskassan att det är viktigt att undvika en allt för utpräglad kund- och leverantörsrelation. Samtliga kundmyndigheter lyfter fram de fördelar som följer av att etablera en samverkan med en annan statlig myndighet jämfört med att köpa tjänster från en privat leverantör. Såväl kundmyndigheter som Försäkringskassan upplever att det är mer fördelaktigt att etablera en öppen och transparent dialog jämfört med att distansera sig genom ett beställar- och utförarperspektiv. Flera av dem vi har intervjuat anger även att de upplever att det är mer fördelaktigt att fokusera på att gemensamt hitta lösningar på de problem som uppstår än att lägga över ansvaret på den ena eller den andra parten.
6.4.5. Stöd till kundmyndigheter – roller och samverkansmodell
För att ge stöd till kundmyndigheterna har projektet organiserat sig utifrån olika roller på operativ, taktisk och strategisk nivå med utgångspunkt i de olika faserna i anslutningsprocessen. Vid den första kontakten med kundmyndigheten är Customer Coordinator (CC) ansvarig. När avsiktsförklaringen har tecknats involveras även Service Delivery Manager (SDM) och Key Account Manager (KAM) som kontakt i arbetet med att planera för kommande anslutning av kundmyndigheten. När kundmyndigheten kommer in i bygga-fasen involveras även en styrgrupp och en projektledare utses. Slutligen, under köra-fasen, lämnar projektledaren över till linjeorganisationen med två veckors överlappning för att hantera eventuella problem som kvarstår i restlistan. Samtidigt sköter Service Level Manager (SLM) den löpande dialogen på operativ nivå, Service Delivery Manager (SDM) på den taktiska nivån och Key Account Manager (KAM) för dialog på den strategiska nivån.
Figur 6.1 Roller i samspel
Källa: Rolltillsättningar, Försäkringskassan 2020.
För att strukturera dialogen med kundmyndigheterna under körafasen har Försäkringskassan etablerat en samverkansmodell som är indelad på tre nivåer: operativ, taktisk och strategisk nivå. Syftet med indelningen i olika nivåer är att säkerställa att ärenden hanteras på rätt ansvarsnivå och av mest lämpade roller och kompetenser baserat på ärendets karaktär. Samverkan på de olika nivåerna har olika syfte. På varje nivå finns ett samverkansforum där frågor med ett angivet innehåll behandlas. Som komplement till samverkansmodellen har man även tagit fram en eskaleringsmodell som kortfattat beskriver hur ärenden flyttas mellan olika beslutsnivåer. Man har gjort vissa anpassningar där t.ex. flera av de mindre myndigheterna har valt att slå ihop det taktiska och det strategiska forumet. Därutöver anordnar Försäkringskassan en gång om året ett kundråd där samtliga kundmyndigheter deltar för att utbyta erfarenheter och ta del av information om kommande förändringar.
Operativ nivå
På den operativa nivån sköts den löpande dialogen för att säkerställa att Försäkringskassan och kundmyndigheterna har den information som behövs. Man hanterar till exempel avvikelser, efterlevnad av
CC
KAM KAM KAM
SDM
PL
SLM
SDM
Styrgrupp
SDM
Initiera Planera
Bygga
Köra
KMY-Arkitekt
E sk al er in g in om p ro du kt io n
SDM OC / VOC
processer och rutiner samt tittar på hur man gemensamt kan lösa problem som uppstått. På denna nivå anordnas strukturerade forum fyra till tio gånger per år beroende på kundmyndighet. Därutöver hanteras frågor löpande bilateralt mellan enskilda parter.
Taktisk nivå
På den taktiska nivån utgår man från den framtagna samverkansöverenskommelsen och följer upp leveransen på en övergripande nivå. Eventuella förändringar i leveransen som skulle påverka överenskommelsen lyfts till den taktiska nivån för hantering, till exempel justering av priser. Precis som på operativ nivå anordnas ett forum, men endast fyra till sex gånger per år.
Det taktiska forumet hanterar även frågor som eskalerats från den operativa nivån och finns för beredning av ärenden som ska eskaleras till det strategiska forumet.
Strategisk nivå
På den strategiska nivån diskuteras den generella inriktningen för samordningen och hur behovet av utveckling av samarbetet ser ut på lång sikt. Man anordnar ett forum en till fyra gånger per år.
Här följs även kritiska incidenter upp och eskalerade frågor från den taktiska nivån. Frågor som kan komma att ha stor påverkan på samarbetet och/eller överenskommelsen tas också upp.
6.4.6. Försäkringskassans organisation upplevs i delar som ineffektiv
I vissa delar upplever kundmyndigheterna Försäkringskassans organisation som trögrörlig och ineffektiv. Flera beskriver Försäkringskassans storlek som en utmaning, särskilt i relation till den egna myndighetens storlek. Perspektiven på frågeställningar kan av den anledningen skilja sig mycket åt. En fråga som för en liten myndighet kan tyckas enkel att besvara kräver omfattande processer inom Försäkringskassan. Det uppstår därför emellanåt ledtider som kan vara svåra för kundmyndigheterna att förstå. Särskilt på den operativa
nivån har Försäkringskassans storlek och organisering blivit påtaglig för kundmyndigheterna. Kring vissa frågor kan det bli många kontakter som till del upplevs betungande för de mindre myndigheterna. Några kundmyndigheter upplever även att det kan råda viss osäkerhet kring vem som äger ansvar för olika frågor och anger att de i vissa delar saknar inblick i Försäkringskassans interna processer.
Myndighetens storlek har även lyfts fram som en utmaning när det gäller hur effektivt Försäkringskassan organiserar sig för att möta kundmyndigheterna. Några kundmyndigheter beskriver att de uppleverar att Försäkringskassan i vissa frågor inte fullt ut förstått de ekonomiska konsekvenserna av att involvera allt för mycket personal. Kundmyndigheterna anger att de med utgångspunkt i detta har sett en risk för att Försäkringskassans bemanning kan ha inneburit onödiga kostnader. Samtliga kundmyndigheter är däremot eniga om att det finns en stark vilja inom Försäkringskassan att utvecklas och förbättra sig och de upplever att Försäkringskassan är mottagliga för konstruktiv kritik och strävar efter att hitta lösningar.
6.4.7. Rutiner och processer för att omhänderta förbättringsförslag behöver utvecklas
Försäkringskassan ser ett behov av att ytterligare utveckla processer och rutiner för att omhänderta förslag på tekniska lösningar som kan komma in från kundmyndigheterna. Företrädare för projektet beskriver att organisationen är väloljad kring befintliga leveranser, men att de upplever att organisationen inte är förberedd på att omhänderta förfrågningar om behov och tjänster som Försäkringskassan saknar erfarenhet av. Företrädare för projektet beskriver att det har kommit in förslag på lösningar från kundmyndigheterna som skulle kunna nyttjas även av andra kundmyndigheter, men att det i dag saknas en plats inom myndigheten där man kan lämna förslaget.
6.5. Tjänsteutbud
Försäkringskassan ska enligt uppdraget identifiera och erbjuda lämpliga funktioner för samordnad och säker it-drift. Som exempel på funktioner nämns gemensamma fysiska säkra ytor för it-drift, viss eller mer omfattande gemensam it-drift eller applikationsdrift. Någon
närmare beskrivning eller definition av it-drift framgår inte av uppdraget. När Försäkringskassan fick uppdraget var man till en början osäker på vad regeringen avsåg med it-drift. Myndigheten sökte därför stöd hos Enheten för digital förvaltning för att få vägledning i hur tjänsteutbudet skulle avgränsas. Enheten gav myndigheten fria händer att själv göra en avgränsning. Försäkringskassan valde därför att inledningsvis utgå från de behov myndigheterna gav uttryck för och försöka matcha efterfrågan mot myndighetens interna förmåga.
Sedan Försäkringskassan fick regeringsuppdraget under 2017 har 56 myndigheter hört av sig och efterfrågat totalt 58 tjänster och 6 myndigheter har efterfrågat allmän information om uppdraget. Myndigheterna har efterfrågat allt från ett helhetsåtagande till mer specifika tjänster (se tabell 6.4 nedan). Merparten av myndigheterna (30 myndigheter) har efterfrågat ett helhetsåtagande. Därefter följer tjänsten E-identitet för offentlig sektor (EFOS) som 17 myndigheter har efterfrågat. Försäkringskassan har jobbat med certifikat, likt EFOS, under en lång tid och etablerade den första myndighetsöverskridande certifikatslösningen redan 2007. EFOS har en separat hantering och en fristående anslutningsprocess eftersom Försäkringskassan har erbjudit tjänsten redan innan regeringsuppdraget. Sedan etableringen 2007 har 18 myndigheter anslutits till tjänsten. I dag inkluderar Försäkringskassan tjänsten som en del av sitt erbjudande inom regeringsuppdraget.
Tabell 6.4 Behovet av samordnad it-drift
Inkomna förfrågningar (t.o.m. juni 2021) till Försäkringskassan angående samordnad it-drift
Typ av tjänster Efterfrågade tjänster
Helhetsåtagande
30
E-identitet för offentlig sektor (EFOS)
17
Specifika tjänster (virtuellt datacenter, objektsbaserad lagring och webbtjänst)
11
Allmän info (antal kontakter där inget anges)
6 (4)
Totalt
64 (68)
Källa: Försäkringskassan.
Samtliga fem myndigheter som t.o.m. juni 2021 är anslutna till Försäkringskassans samordnade it-drift har i dag ett helhetsåtagande. Vad som avses med ett helhetsåtagande varierar däremot från myn-
dighet till myndighet utifrån de behov som finns. Några av myndigheterna är till exempel enbart i behov av ett standardutbud medan andra myndigheter även efterfrågar instruktionsbaserad drift av mer specifika applikationer.
6.5.1. Avgränsningar i Försäkringskassans tjänsteutbud
Merparten av myndigheterna anger till utredningen att de har fått de tjänster som de har efterfrågat med vissa justeringar för att passa Försäkringskassans driftsorganisation. Några av myndigheterna har däremot efterfrågat tjänster som Försäkringskassan eller kundmyndigheten av olika skäl varit tvungna att neka till, det rör sig t.ex. om telefoni samt drift av utvecklingsplattformar och ärendehanteringssystem.
Det har även förekommit vissa utmaningar för Försäkringskassan att överta system som inte matchar Försäkringskassans befintliga utbud där kundmyndigheterna har fått välja om de vill gå över till det system som Försäkringskassan kan erbjuda. I ett fall har det bidragit till att Försäkringskassan har varit tvungna att neka till anslutningen av en kundmyndighet. Den myndighet som berördes var Transportstyrelsen som hanterade sin it-drift på en annan teknisk plattform än Försäkringskassan. För att kunna ta sig an myndigheten skulle Försäkringskassan vara tvungen att bygga upp helt ny förmåga, antingen genom kompetensutveckling av befintlig personal eller genom nyrekrytering. Av olika skäl bedömde man det inte som lämpligt, bl.a. med utgångspunkt i Försäkringskassans reviderade uppdrag där det framgick att myndigheten skulle ”bibehålla upparbetad förmåga”. Försäkringskassan valde att tolka revideringen som att det inte var aktuellt att ansluta myndigheter som skulle kräva uppbyggandet av nya förmågor än de som redan fanns tillgängliga. Detta var också en av anledningarna till att Försäkringskassans generaldirektör tog initiativ till samverkansprojektet SITSSAM, där även Transportstyrelsen deltar som potentiell kundmyndighet, se avsnitt 7.4.
Försäkringskassan anger i sin delredovisning för 2019 att de ser det som nödvändigt att använda generella funktioner för lösningarnas skalbarhet och för resurseffektivitet. De erbjuder därför datacenter som molntjänst (senare kallat Virtuellt datacenter) som generella tjänster till potentiella kundmyndigheter. Samtidigt beskriver Försäkrings-
kassan redan i sin delredovisning för 2018 att myndigheternas behov av och mognad för att kunna tillgodose sig datacenter som molntjänst samt behovet av standardisering för att uppnå skalfördelar visat sig vara lägre än vad tidigare utredningar uppskattat. Myndigheten ser därför en risk för att förväntningarna hos statsförvaltningen inte kan mötas och att myndigheternas förflyttning blir långsammare och mer resurskrävande än väntat. För kundmyndigheter kan den ökade standardiseringen innebära att kravbilden kan behöva anpassas. Detta menar Försäkringskassan inte heller återspeglats i tidigare utredningar vilket därför kan leda till att förväntningar inte kan mötas.
6.5.2. Paketering av tjänsteutbud
Försäkringskassan erbjöd inte ett på förhand paketerat tjänsteutbud, utan utgick i första hand från de behov som myndigheterna gav uttryck för och undersökte hur det matchade med den förmåga som fanns inom myndigheten. Flera kundmyndigheter uppger till utredningen att de till en början upplevde att det var svårt att förstå vad Försäkringskassan kunde erbjuda och hur det förhöll sig till de behov kundmyndigheterna hade. En nackdel som flera kundmyndigheter lyfter fram med att tjänsteutbudet inte paketerades på förhand är att bristen på standardisering inte möjliggjorde den mest kostnadseffektiva lösningen. Det har även påverkat möjligheten att på förhand kunna ta del av vilka kostnader som följer av en tjänst. Samtidigt anger samtliga kundmyndigheter att de upplever att Försäkringskassan har varit lyhörda för deras behov och att dialogen har fungerat väldigt väl.
Försäkringskassan har själva sett ett behov av att tydliggöra vad som ingår i deras leverans, inte minst för att underlätta dialogen med nya kundmyndigheter. Under det senaste året har Försäkringskassan därför tagit fram en tjänsteportfölj där de sammanfattar vilka tjänster som erbjuds. Av portföljen framgår att Försäkringskassan kan erbjuda tio övergripande tjänster (se figur 6.2). Än så länge har arbetet bara påbörjats och den text som vi tagit del av sammanfattar tjänsterna på en övergripande nivå. Av våra intervjuer framgår däremot att myndigheten har kommit längre med paketeringen av tjänster som ingår i tjänsteområdet it-arbetsplats där tjänsteinnehåll, leverans och prismodell har specificerats.
Figur 6.2 It-tjänsteportfölj
Källa: Försäkringskassan.
6.5.3. Snabba anslutningar har lett till viss teknikskuld
Vid vissa anslutningar har Försäkringskassan varit tvungna att ta fram temporära lösningar som inte är hållbara över tid, vilket blir en skuld som måste hanteras senare. Några av de företrädare för projektet som utredningen intervjuat menar att en bidragande faktor har varit den tidspress som varit förenad med flera av de anslutningar som genomförts. Deras bild är att problemet kommer bli mindre i samband med att de standardiserar anslutningarna, men de tror samtidigt att det alltid kommer kunna uppstå en skuld när man t.ex. måste ta hänsyn till kundmyndigheters unika behov.
6.5.4. Pensionsmyndigheten kritisk mot Försäkringskassans nya leveransmodell
Även om samverkan med Pensionsmyndigheten inte ingår i regeringsuppdraget så framgår det av våra intervjuer att myndigheternas samverkan har påverkats på olika sätt. I samband med att Pensionsmyndigheten valde att även inkludera datacentertjänster i sin samverkan med Försäkringskassan fick Försäkringskassan sitt regeringsuppdrag. Samverkan med Pensionsmyndigheten hanterades separerat från uppdraget, men av våra intervjuer framgår det att Försäkringskassan har ambitionen att Pensionsmyndigheten ska ingå i samma koncept som övriga kundmyndigheter. Pensionsmyndigheten har bett om att få dokumentation och tjänstebeskrivningar för att kunna bilda sig en uppfattning om vad den nya leveransorganisationen innebär för deras
EFOS
E-identitet för offentlig sektor
SFOS
Samarbetsplattform för
offentlig sektor
IT Arbetsplats Webbtjänst Webbanalys
Utskick Kapacitetstjänst CAP Virtuellt datacenter Objektsbaserad
lagring
Applikations-
åtagande
leverans. Eftersom Pensionsmyndigheten inte ansett att dokumentationen man fått del av varit tillräcklig att fatta beslut utifrån, beslutades det gemensamt av båda myndigheterna att tillsätta en utredning via en extern konsult. Utvärderingen skulle syfta till att få en förståelse för vilka konsekvenser det skulle innebära för Pensionsmyndigheten att ansluta sig Försäkringskassan modell.
Av våra intervjuer med företrädare för Pensionsmyndigheten framgår det att myndigheten är oroad över hur myndigheternas samverkan kan komma att påverkas om Försäkringskassan skulle inkludera deras leverans i uppdraget. Pensionsmyndigheten menar att den modell som Försäkringskassan har byggt upp fungerar bra för vissa myndigheter, men att Försäkringskassan inte har utvecklat tjänster med hänsyn till andra myndigheters mer komplexa behov av datacentertjänster. Pensionsmyndigheten har t.ex. i dagsläget inte behov av de tjänster som ingår i tjänsteområdet it-arbetsplats och man efterlyser vissa möjligheter till kundanpassade tjänster inom specifika områden. Pensionsmyndigheten upplever sig inte heller ha fått tillräcklig information om den molnbaserade datacentertjänst som Försäkringskassan vill tillhandahålla.
Pensionsmyndigheten upplever vidare att det finns ett antal förbättringsområden i Försäkringskassans paketering av tjänster, liksom att en högre mognadsgrad i kundgränssnittet/kundrelationen skulle vara gynnsam för samverkan kring datacentertjänster.
6.6. Finansiering
Finansieringen av Försäkringskassans uppdrag bygger i huvudsak på avgifter med det ekonomiska målet full kostnadstäckning. En viss del av finansieringen fick under de första åren även bekostas med bidragsmedel som rekvireras från Kammarkollegiet. Medlen fick användas för att finansiera Försäkringskassans egna kostnader för planering av uppdrag samt för att bekosta uppbyggnad av standardlösningar, aktiviteter och infrastruktur som kan tillgodoses av fler än en myndighet. Sedan uppdraget ändrades i september 2019 ska uppdraget enbart finansieras genom avgifter.
Under 2020 uppgick avgiftsintäkterna till 77 miljoner kronor och kostnaderna uppgick till cirka 72 miljoner kronor. Utöver avgiftsintäkterna har Försäkringskassan för åren 2017–2020 tagit del av
totalt 31,5 miljoner kronor i bidragsmedel. Försäkringskassan anger att uppskattningsvis 52 årsarbetskrafter (inklusive overheadresurser) har varit involverade i leveransen till kundmyndigheterna under 2020. Långt många fler har däremot varit involverade sedan start. Enbart för anslutningen av Statens servicecenter involverades cirka 80 personer och som mest har cirka 100 personer varit knutna till projektet. Detta gäller enbart personal som ingått i projektet, därutöver tillkommer personal från linjeorganisationen i den dagliga it-produktionen.
Verksamheten hade vid utgången av 2020 ett ackumulerat underskott om cirka 15 miljoner kronor. Försäkringskassan anger att ett skäl till underskottet är att serverplattformar och andra anskaffningar debiteras först när tjänsterna konsumeras, vilket leder till en viss eftersläpning på intäkterna. Ett annat skäl är att Försäkringskassan till en början underskattade de totala kostnaderna för anslutna myndigheter. Försäkringskassan räknar med att nå det ekonomiska målet om full kostnadstäckning på några års sikt.
Tabell 6.5 Samordnad och säker statlig it-drift, tusen kronor
Avgiftsintäkter och kostnader
2018
2019
2020
Ingående balans
–
–
-19 467
Avgiftsintäkter
13 168
27 043
77 051
Kostnader
-13 168
-46 510
-72 517
Årets resultat
–
-19 467
4 534
Utgående balans
–
-19 467
-14 933
Källa: Försäkringskassans årsredovisning 2020.
Merparten av avgiftsintäkterna kommer från Statens servicecenter som under 2020 stod för cirka 66 miljoner kronor av intäkterna. Långt därefter kommer DIGG som under 2020 stod för cirka 4 miljoner kronor av intäkterna. Avgifterna kan jämföras med avgifterna för samverkan med Pensionsmyndigheten som under 2020 uppgick till cirka 272 miljoner kronor. Tjänsteleveransen till Pensionsmyndigheten omfattar bl.a. it, kundmöten och administration. Av våra intervjuer framgår att 135 miljoner kronor av dessa står för tekniska tjänster och att 25 miljoner kronor av dessa står för datacentertjänster.
Tabell 6.6 Avgiftsintäkter per kundmyndighet, tusen kronor
Under perioden 2018–2020
Kundmyndighet
2018 2019 2020 2018–2020
Statens tjänstepensionsverk
0
0
327
327
Statens haverikommission
0
0 2 750 2 750
Barnombudsmannen
0 1 129 1 335 2 464
Myndigheten för familjerätt och föräldraskapsstöd
0
0 1 745 1 745
Statens servicecenter
1 743 32 156 66 146 100 045
E-hälsomyndigheten
0
0
565
565
Myndigheten för digital förvaltning 581 4 603 4 184 9 368
Totalt
2 324 37 888 77 052 117 264
Källa: Försäkringskassan.
Företrädare för projektet anger att Försäkringskassan inte har gjort några detaljerade beräkningar över vad som krävs för att uppnå stordriftsfördelar, men deras bedömning är att de kan uppnå en kritisk massa när de har anslutit SPV och E-hälsomyndigheten, som planeras under 2021–2023.
6.6.1. Modell för kostnadsberäkning och avgiftssättning avseende samordnad och säker statlig it-drift
Enligt direktiven för Försäkringskassans regeringsuppdrag får myndigheten ”… ta ut avgifter för de erbjudna tjänsterna, inledningsvis i enlighet med den modell som myndigheten tillämpar för befintlig samverkan med Pensionsmyndigheten”. Den modell som upparbetats med Pensionsmyndigheten baserades på full kostnadstäckning för innevarande år.
Försäkringskassan och Pensionsmyndigheten var inte riktigt nöjda med hur modellen fungerade eftersom den slutliga avgiften blev klar först sent på året. När Försäkringskassan fick regeringsuppdraget bestämde man sig därför för att utveckla modellen. Avgifterna tas nu fram genom att beräkna Försäkringskassans långsiktiga självkostnader utifrån en årlig genomsnittskostnad under en treårsperiod. Den utvecklade modellen används i dag både för regeringsuppdraget och vid samverkan med Pensionsmyndigheten. Av våra intervjuer med såväl företrädare för Försäkringskassan som kundmyndigheter fram-
går det att inblandade parter är nöjda med modellen. Vi har även förstått att andra myndigheter har låtit sig inspireras av Försäkringskassans initiativ, till exempel Skatteverket som tittar på möjligheten att införa ett treårigt perspektiv på avgiftsuttaget i sin samordning med Kronofogdemyndigheten.
Försäkringskassan har jobbat med TBM (Technology Business Management) sedan 2017. TBM är ett ramverk som innehåller metoder för att fördela it-kostnader på olika tjänster. I början deltog de som en pilotmyndighet i det regeringsuppdrag som Ekonomistyrningsverket (ESV) ansvarade för. När uppdraget avslutades 2018 var Försäkringskassan en av de myndigheter som valde att frivilligt fortsätta använda ramverket. Ramverket implementerades i organisationen under 2020 i samverkan mellan ekonomistaben och it-avdelningen. TBM användes för första gången i regeringsuppdraget under hösten 2020 och påverkade då i vissa delar anslutna kundmyndigheters avgiftsuttag. I samband med implementeringen av den nya ekonomiska modellen genomfördes beräkningarna av kostnader på ett annat sätt vilket medförde att kundmyndigheterna fick betala mer än föregående år. Några av de mindre kundmyndigheterna hade vissa utmaningar att hantera förändringen, då deras budgetar inte medgav förändringar med så kort framförhållning.
6.6.2. Svårt att förutsäga kostnader under planering och uppbyggnad
En konsekvens av att det inte har funnits standardiserade och paketerade tjänsteerbjudanden är att det blivit svårare för Försäkringskassan att uppskatta och förutsäga hur stora kostnaderna kommer bli. I vår dialog med företrädare för Försäkringskassan bedömer man att det kommer bli lättare framöver, inte minst i samband med implementeringen av TBM-ramverket. Samtidigt konstaterar man att vissa tjänster alltid kommer vara svåra att ge en rättvisande schablon över eftersom mycket beror på vilka behov kundmyndigheterna har. Det kan till exempel röra sig om olika datortyper, möjlighet till fjärråtkomst och telefoni där ingen kundmyndighets behov är identisk med någon annans. Däremot har Försäkringskassan infört standardiserade kostnadsberäkningar för de ingående deltjänsterna (t.ex. styckpris för en bärbar dator samt schablonpris för ett supportärende).
Svårigheten att ta del av kostnadsuppskattningar har påverkat kundmyndigheternas möjlighet att välja det mest kostnadseffektiva alternativet. Flera kundmyndigheter beskriver under våra intervjuer att de fick en uppfattning om kostnaderna i ett så pass sent skede i anslutningsprocessen att det upplevdes svårt att backa från en anslutning. I några fall anger man att man är tveksam till om man hade gått vidare med anslutningen om man hade förstått tidigare i processen hur stora kostnaderna skulle bli. Samtidigt visar kundmyndigheterna förståelse för att de har varit pilotmyndigheter och visar tilltro till att Försäkringskassan kommer kunna ta fram mer träffsäkra prognoser framöver.
6.6.3. Små myndigheter har svårt att själva bekosta anslutningen
Kundmyndigheterna upplever att det är bra att avgifterna sätts på treårs-basis. Samtidigt har det varit svårt för små myndigheter att själva bekosta planering och uppbyggnad inför en anslutning. Vissa myndigheter har därför initialt fått planeringsfasen finansierad via Försäkringskassans bidragsmedel. Två av de myndigheter som anslutits efter 2020, som inte fått samma ekonomiska stöd för planering och uppbyggnad som de tidigare myndigheterna, menar att de enbart tack vare minskade kostnader för resande på grund av pandemin klarade av att betala avgiften.
Försäkringskassan har vid flera tillfällen uppmärksammat regeringen om utmaningarna med att bekosta uppbyggnad av uppdraget. I sin första delredovisning från 2017 rapporterar de att mindre myndigheter i regel har en begränsad it-budget och att de inledande faserna i samverkan kan få relativt sett orimliga kostnader. De bedömer däremot att kostnaderna per myndighet kommer minska allteftersom automatiserade funktioner för att förenkla anslutningsprocessen färdigställs.
6.6.4. Merparten av kundmyndigheterna ser fortsatt avgiftsfinansiering som huvudsaklig finansiering, men flera förordar anslag som komplement
Merparten av kundmyndigheterna ser fortsatt att avgifter är en bra finansieringsmodell för kostnader som varierar beroende på t.ex. nyttjandegrad. Flera förordar däremot att man skulle komplettera avgiftsfinansieringen med anslag för att hantera vissa övergripande kostnader så som overhead, där kundmyndigheterna inte kan styra nivån på samma sätt. Några kundmyndigheter kan även se vissa fördelar med en anslagsfinansiering för att få ett tydligare effektiviseringstryck genom pris- och löneomräkningen (PLO) samt bättre uppföljning från regeringen.
Flera myndigheter har under våra intervjuer särskilt lyft fram de utmaningar som finns för små myndigheter att hantera variationer i avgifterna över åren. Det uppstår utmaningar i samverkan när kostnader för satsningar och investeringar ska fördelas på samtliga myndigheter trots att förutsättningarna ser olika ut. Detta innebär inte bara utmaningar för små myndigheter, utan även för större myndigheter som kan bli tvungna att låta utvecklingsinsatser stå tillbaka.
6.7. Säkerhet
Av Försäkringskassans regeringsuppdrag framgår bland annat att säkerhet särskilt ska beaktas och att myndigheter där åtgärder bedöms leda till högre informationssäkerhet ska stå i fokus. Bakgrunden till uppdraget anges vara att ge ökad tillgång till säkra funktioner och en ökad kompetens avseende it-drift i offentlig sektor, för att möjliggöra en effektivare och säkrare digitalisering av statsförvaltningen.
Företrädare för säkerhetsstaben och området för cybersäker på it-avdelningen inom Försäkringskassan menar att det har varit viktigt att använda de riktlinjer och processer som redan finns etablerade inom Försäkringskassan och att inte bygga upp något parallellt för respektive kundmyndighet. Regeringsuppdraget har därför integrerats i myndighetens övriga säkerhetsarbete där säkerhetsstaben ansvarar för direktiv och riktlinjer (vad) och området för cybersäkerhet på it-avdelningen ansvarar för den operativa leveransen (hur). De har däremot gjort några särskilda bedömningar specifikt för uppdraget. Det rör till exempel hur kundmyndigheter kan komma att påverka
Försäkringskassans verksamhet samt hur man bör omhänderta kundmyndigheternas specifika säkerhetsbehov.
6.7.1. Säkerhet diskuteras tidigt i anslutningsprocessen
Säkerhetsstaben har inte varit involverade i projektet utan hänvisar till sin normerande roll för hela myndigheten. Området för cybersäkerhet involveras däremot tidigt vid anslutningen av en kundmyndighet. Med utgångspunkt i ett antal checklistor stämmer de av med kundmyndigheterna hur långt de har kommit i sitt säkerhetsarbete samt vilka säkerhetskrav de har. För varje steg kundmyndigheten tar i anslutningsprocessen inhämtar Försäkringskassan ytterligare information. När man kommit till planera-fasen tittar Försäkringskassan på de tekniknära säkerhetsfrågorna och ju längre fram i processen de kommit desto mer konkreta blir frågeställningarna. När myndigheterna har skrivit på säkerhetsöverenskommelsen formaliseras dialogen. Även i köra-fasen finns området för cybersäkerhet tillgänglig för kundmyndigheterna som ”speaking partner”.
6.7.2. Incident- och felhantering
I samband med anslutningen tar Försäkringskassan fram en samverkanshandbok där man kommer överens om t.ex. hur incident- och felhantering ska gå till. Om kundmyndigheten uppmärksammar en incident så rapporteras den i ”Min support” där frågan tas vidare till rätt funktion. Försäkringskassan sköter driften för alla system på samma sätt, så den personal som bemannar driften ser inte skillnad på vilken kund det rör sig om. Om det sker en attack eller liknande så sker incidentrapportering oavsett till MSB.
Kundmyndigheterna är överlag nöjda med hur incidentrapporteringen fungerar. Även om det funnits incidenter som eskalerats till beredskapsläget varningsläge (gult läge) på it-avdelningen har det inte inneburit några allvarliga konsekvenser för kundmyndigheterna. Flera lyfter däremot upp utmaningar och risker med prioritering mellan myndigheter vid ett eventuellt driftsstopp. En kundmyndighet lyfter till utredningen att de vid ett tillfälle upplevt ett driftstopp på myndigheten som inte uppmärksammades av Försäkringskassan. Orsaken till att driftstoppet inte uppmärksammades anges vara för
att det berörde så få. För den myndighet som drabbades berördes däremot hela myndigheten, vilket i relation till Försäkringskassans totala organisation är väldigt lite. Även frågor om hur Försäkringskassans krisorganisation är uppsatt både avseende kriterier för beredskapslägen och ansvarsfördelningen mellan it-avdelningen och övriga stabs- och ledningsfunktioner har aktualiserats om krisen enbart ger effekt på leveranserna till kundmyndigheterna.
6.7.3. Ansvaret för säkerheten ligger fortfarande hos kundmyndigheten
Med utgångspunkt i att varje enskild myndighet själv äger ansvaret för sin informationssäkerhet har Försäkringskassan valt att avgränsa sitt uppdrag gentemot kundmyndigheterna till it-säkerhet. Försäkringskassan har inte heller ställt några krav på kundmyndigheternas informationssäkerhetsarbete. Av våra intervjuer har det däremot framgått att personal på it-avdelningen i sin dialog med kundmyndigheterna har gett vägledning, delat med sig av sina egna erfarenheter och de ställningstaganden som Försäkringskassan har gjort i olika säkerhetsfrågor. Det har även framgått att man genom att ställa frågor kring kundmyndighetens befintliga it-säkerhet kunnat identifiera områden med brister.
Regeringsuppdraget har gett Försäkringskassan nya infallsvinklar på säkerhet, t.ex. om mognaden hos små myndigheter i säkerhetsrelaterade frågor. Försäkringskassan insåg tidigt att det fanns ett behov av att avsätta resurser för kompetenshöjande insatser. Man har kunnat se att små myndigheter var i behov av stöd i bl.a. hur man bör resonera och ta sig an ett systematiskt informationssäkerhetsarbete. För att diskutera säkerhetsrelaterade frågor och erbjuda kompetenshöjande insatser erbjuder Försäkringskassan även ett säkerhetsforum. Försäkringskassan framhåller att man i sin dialog med kundmyndigheterna har försökt vara tydliga med att myndigheten enbart kan agera rådgivande och att det i slutändan är kundmyndigheterna som äger ansvaret för sin informationshantering.
6.7.4. Bristande transparens och insyn i dokumentation gällande säkerhetsnivåer
Försäkringskassan menar att myndighetens säkerhetsnivåer har varit dimensionerande för samtliga kundmyndigheter. Några kundmyndigheter har lyft att säkerhetsnivåerna i vissa delar upplevs vara för höga utifrån myndighetens behov. Samtidigt anger samtliga kundmyndigheter att de känner sig trygga med den säkerhet som Försäkringskassan levererar. Flera har även fått möjlighet att efterhand lätta på säkerhetsrestriktioner och anpassa säkerhetsnivåerna utifrån de behov som myndigheten har.
Försäkringskassan menar att det har varit viktigt för dem att vara transparenta med vilken säkerhetsnivå myndigheten erbjuder så att kundmyndigheterna kan bedöma om det är tillräckligt. Samtidigt anger två kundmyndigheter till utredningen att de upplever brist på transparens och en otydlighet när det gäller säkerhet. Det gäller dels beskrivningar i avtal och överenskommelser, dels att få tillgång till system för att kunna övervaka t.ex. support, logg och drift. Enligt kundmyndigheterna har detta gjort det svårt att bedöma om leveransen uppfyller kundmyndighetens krav och behov. Även Pensionsmyndigheten förmedlar till utredningen att det finns en osäkerhet kring vilka säkerhetsnivåer som gäller på grund av bristande transparens och insyn.
6.7.5. Uppdraget har i dagsläget inte bedömts vara säkerhetskänslig verksamhet
Försäkringskassan har på eget initiativ tagit kontakt med Säkerhetspolisen för att inhämta mer kunskap inför myndighetens beslut av om uppdraget är säkerhetskänsligt. Säkerhetspolisen har i huvudsak framfört att projektet inte är säkerhetskänsligt med avseende på genomförande (tillgänglighet) men att det mycket väl kan inkludera hantering av säkerhetsskyddsklassificerade uppgifter och att den verksamhet som blir resultatet av projektet kan vara säkerhetskänslig. Försäkringskassan har landat i att uppdraget inte ska ses som säkerhetskänsligt i sig, men att kundmyndigheter kan föra med sig den typen av verksamhet vilket i förlängningen kan leda till att åtgärder behöver vidtas utifrån vad som föreskrivs i säkerhetsskyddslagen. Försäkringskassan bedömer att frågan om it-drift åt andra myndigheter ska
anses vara säkerhetskänslig bör hållas levande då kan finnas skäl att ändra bedömningen om omständigheterna förändras.
6.8. Juridiska frågor
6.8.1. Projektet har identifierat behov av rättsligt stöd
Det har inte funnits med någon jurist som formell deltagare i projektet, varken i styrgruppen eller som projektdeltagare. Ansvaret för att identifiera vilka rättsliga frågor som behöver tas omhand under genomförandet har legat på projektet. De rättsliga frågorna har hanterats genom att projektet har avropat rättsligt stöd från rättsavdelningen när man identifierat behov av sådant stöd. Det är framför allt affärsjuristerna inom rättsavdelningen som varit inkopplade i frågor.
Det fanns inledningsvis inte någon särskild rutin eller process för hur rättsavdelningen skulle involveras i genomförandet av regeringsuppdraget, utan man använde sig av etablerade kanaler såsom funktionsbrevlåda eller direktkontakt med någon av juristerna inom enheten myndighetsjuridik. Numera kopplas rättsavdelningen regelmässigt in för att granska villkor i avtal och överenskommelser. Det har även införts en formell rutin som innebär att personuppgiftsbiträdesavtal ska granskas av rättsavdelningen innan de tecknas.
Av våra intervjuer framgår det att rättsavdelningen sedan 2017 strävar efter en ökad bemanning i it- och digitaliseringsfrågor. Rättsavdelningen har i dag mer kontakt med it-avdelningen och övriga avdelningar när det gäller digitaliseringsfrågor och har utsedda kontaktpersoner för olika avdelningar. Man är ”med från början” i större utsträckning än tidigare.
6.8.2. Rättsliga bedömningar har inte dokumenterats
Återkoppling i de frågor som ställts till rättsavdelningen har skett genom mailsvar, telefonsamtal eller muntligen vid möten. Rättsliga bedömningar och ställningstaganden har inte diarieförts eller dokumenterats. Under våra intervjuer framgår det att rättsavdelningen anser att det är projektet som ansvarat för att dokumentera de rättsliga bedömningar och ställningstaganden som man utgått från igenom-
förandet av projektet. Från projektets sida anser man däremot att det är rättsavdelningen som haft ansvar för dokumentationen.
6.8.3. Upphandlingsplikt en viktig fråga inledningsvis
Den viktigaste rättsliga frågan vid uppstarten av uppdraget rörde huruvida reglerna om offentlig upphandling ska tillämpas vid köp mellan statliga myndigheter i kölvattnet av den s.k. Depona-domen.8Frågan diskuterades internt, i dialog med vissa anslutande myndigheter och togs även upp med Regeringskansliet. I slutändan, efter tydliggörandet från Konkurrensverket9, landade Försäkringskassan i ett ställningstagande att det inte rådde någon upphandlingsplikt vid anslutning till Försäkringskassans it-drift. Försäkringskassan framhåller dock att det inte är Försäkringskassan som eventuellt gör sig skyldig till ett brott mot upphandlingslagstiftningen om tjänsterna som Försäkringskassan erbjuder inte upphandlas, utan att det är kundmyndigheterna som måste göra bedömningen om tjänsterna ska upphandlas när de går från att anlita en privat, upphandlad leverantör till att i stället köpa tjänster av Försäkringskassan.
6.8.4. Undantaget i 2 kap. 13 § första stycket TF har bedömts tillämpligt på ett övergripande plan, men har inte varit föremål för utredning på tjänstenivå
Det har enligt rättsavdelningen även funnits en fråga om räckvidden av tillämpligheten av undantaget i TF för enbart teknisk bearbetning och teknisk lagring för annans räkning (2 kap. 13 § första stycket TF). Myndigheten har bedömt att undantaget är tillämpligt på ett övergripande plan avseende de uppgifter som hanteras för kundmyndigheternas räkning. Man har dock inte utrett i vilken omfattning undantaget är tillämpligt i förhållande till de enskilda tjänster som ingår i leveransen till respektive kundmyndighet.
I en av de överenskommelser som slutits med kundmyndigheterna finns det en skrivning om att Försäkringskassan måste behandla uppgifter ”enbart som ett led i teknisk bearbetning och teknisk lagring
8 Kammarrätten i Stockholms avgörande den 21 juni 2017 i mål nummer 7355-16. 9 Konkurrensverkets ställningstagande den 19 december 2018, 2018:1, Omfattas en statlig myndighets anskaffningar från en annan statlig myndighet av upphandlingsskyldighet?
för kundmyndighetens räkning”. I samband med anslutningen genomförde kundmyndigheten en fördjupad utredning av förutsättningarna för överföring av sekretess. Någon bedömning i förhållande till de specifika tjänster som nyttjas finns dock inte dokumenterad, varken från kundmyndighetens eller Försäkringskassans sida.
6.8.5. Rättsavdelningen har framför allt lämnat stöd avseende villkor i överenskommelser
I övrigt har de frågor som hanterats av rättsavdelningen främst rört villkor i enskilda överenskommelser och det har ställts ett begränsat antal sådana frågor till rättsavdelningens medarbetare. I avsnitt 6.3.6 ovan finns en redogörelse för innehållet i de överenskommelser som slutits avseende it-drift.
Några överväganden i förhållande till konkurrensregleringen har inte gjorts.
6.8.6. Dataskyddsfrågor har inte övervägts i särskild ordning
Försäkringskassan är personuppgiftsbiträde i förhållande till sina kundmyndigheter. Med varje kundmyndighet sluts ett personuppgiftsbiträdesavtal avseende den personuppgiftsbehandling som Försäkringskassan utför för kundmyndighetens räkning.
Det finns inte några dokumenterade bedömningar av roller, ansvar och skyldigheter enligt dataskyddsregleringen i förhållande till Försäkringskassans personuppgiftsbehandling inom ramen för uppdraget. Det har inte heller genomförts någon konsekvensbedömning avseende dataskydd rörande hur regeringsuppdraget påverkar den behandling av personuppgifter som Försäkringskassan utför i egenskap av personuppgiftsansvarig. Försäkringskassans skyldigheter enligt dataskyddsregleringen i rollen som personuppgiftsbiträde, exempelvis att rapportera incidenter, hanteras i befintliga processer.
Försäkringskassan har inte utsett något särskilt dataskyddsombud för den personuppgiftsbehandling som utförs i myndighetens roll som personuppgiftsbiträde, utan utgått från att det befintliga dataskyddsombudets uppdrag även omfattar den verksamhet som är kopplad till regeringsuppdraget. Dataskyddsombudet har inte kopplats in
i någon fråga rörande genomförandet av regeringsuppdraget och har inte genomfört någon granskning kopplad till den verksamheten.
6.9. Mål, resultat och effekter
6.9.1. Försäkringskassan har inte gjort mätningar av resultat och effekter i uppdraget
Regeringen har inte pekat ut några mål, förväntade resultat eller effekter i uppdraget. Enheten för digital förvaltning har inte heller efterfrågat någon redovisning eller uppföljning av vilka effekter som uppnåtts i uppdraget. Företrädare för Enheten för digital förvaltning menar att det hade varit bra om det funnits tydligare målsättningar i uppdraget.
Försäkringskassan har inte heller satt upp effektmål, följt upp effekter eller gjort mätningar av kundnytta. Detta trots att de i sin återrapportering till regeringen satt upp som mål att de ska kunna visa på positiva effekter i kundmyndigheternas it-drift utifrån gemensamma överenskomna mätkriterier. Fokus har i stället legat på ett antal produktmål med inriktning på antal anslutna myndigheter, uppbyggnad av förmåga och utveckling av processer. Det är också detta som har återrapporterats till regeringen. Försäkringskassan beslutade i maj 2021 om att förtydliga målen för arbetet med regeringsuppdraget för perioden 2021–2023. Detta bland annat med anledning av de iakttagelser som Internrevisionen och It-driftsutredningen har gjort av hur Försäkringskassan genomför sitt uppdrag med samordnad säker statlig it-drift.
Försäkringskassan genomförde i enlighet med uppdragsbeskrivningen en extern utvärdering av uppdraget 2019. I utvärderingen konstaterades att det inte gick att dra några slutsatser om vilka resultat och effekter som hade uppnåtts och att Försäkringskassan i större utsträckning bör arbeta med att följa upp nyttorealiseringen. Även i våra intervjuer med företrädare för Försäkringskassan framkommer att man inte skapat förutsättningar för att mäta resultat och effekter från start i uppdraget och att detta borde ha gjorts. Det förutsätter dock att det finns ett nolläge att utgå ifrån för respektive kundmyndighet. Både Försäkringskassan och kundmyndigheterna framhåller att det är svårt att få fram sådana uppgifter. Kundmyndigheterna upplever inte att Försäkringskassan ställt sådana krav medan Försäkrings-
kassan menar att kundmyndigheterna inte varit fullt ut villiga att dela med sig av kostnader för befintlig it-driftsleverans.
Kundmyndigheterna skiljer sig åt i vad de själva gjort eller förväntar sig vad gäller uppföljning av resultat och effekter. En myndighet menar att de inte sett behov av att ta fram några specifika indikatorer för den samordnade it-driften eftersom det är svårt att mäta effekter av en säker, trygg och stabil drift. En annan myndighet tycker att det räcker att följa upp genom incidentrapporteringen. En kundmyndighet efterfrågar en mer utvecklad uppföljning genom nyckeltal för bl.a. kostnader.
Flertalet kundmyndigheter bedömer att leveransen via Försäkringskassan ger en ökad säkerhet i it-driften. En myndighet påpekar att säkerheten möjligen är för hög för deras egentliga behov. Flertalet kundmyndigheter framhåller i våra intervjuer att deras kostnader är desamma som tidigare eller har ökat i samband med anslutningen till Försäkringskassan. Samtidigt poängterar alla att tjänsteinnehållet har förändrats och att kostnaderna framför allt har höjts på grund av högre säkerhetskrav. Flera menar även att deras kostnader troligen hade ökat ändå eftersom de stod inför en ny upphandling med ändrade krav. Några kundmyndigheter har även i samband med sin anslutning till Försäkringskassan fått förändrat uppdrag vilket också påverkat kostnaderna. Det har med anledning av dessa faktorer varit svårt för kundmyndigheterna att svara på frågan om varför kostnaderna har ökat. Försäkringskassan bedömer att de uppfyllt produktmålen vad gäller antal anslutna myndigheter. Det är dock stor skillnad i anslutningstakt beroende på om det är ett helhetsåtagande eller enskild tjänst. Om man ansluter myndigheter som vill ha enstaka tjänster så kan anslutningstakten öka.
Försäkringskassan har under 2021 utvecklat en kundenkät tillsammans med några kundmyndigheter. Syftet är att mer löpande kunna följa upp arbetet och hur väl samverkan fungerar. Därutöver finns s.k. kundforum med möjlighet att lämna synpunkter och förbättringsförslag.
6.9.2. Påverkan på Försäkringskassans kärnverksamhet
Enligt det reviderade regeringsuppdraget ska Försäkringskassan utföra uppdraget så att negativ påverkan på möjligheten att utföra myndighetens kärnuppgifter undviks. Någon motsvarande skrivning finns inte i det ursprungliga uppdraget. Företrädare för såväl Enheten för digital förvaltning som Socialdepartementet framhåller dock att det var ett viktigt medskick till Försäkringskassan redan i de tidiga uppdragsdialogerna.
Den externa utvärderingen av uppdraget som Försäkringskassan lät göra 2019 pekade på att internt utvecklingsarbete inom Försäkringskassan har fått stå tillbaka p.g.a. uppdraget, men att kärnverksamheten inte bedöms ha påverkats.
I våra intervjuer med företrädare för såväl projektet, it-avdelningen och myndighetsledningen på Försäkringskassan framkommer att det är svårt att kunna bedöma uppdragets påverkan på kärnverksamheten. Den allmänna uppfattningen är dock att det inte fått någon påverkan eftersom uppdraget är litet i förhållande till Försäkringskassans kärnverksamhet. Uppdraget rör it-produktionen, hade det omfattat även it-utveckling hade det fått större konsekvenser på kärnverksamheten menar man.
De företrädare för kärnverksamheten inom Försäkringskassan som vi intervjuat menar att uppdraget hittills inte påverkat Försäkringskassans kärnverksamhet. Däremot kommer uppdraget påverka det interna arbetssättet mellan it-avdelningen och kärnverksamheten eftersom it-produktion vill standardisera det produktinriktade arbetssätt som man har gentemot kundmyndigheterna i uppdraget och använda det även internt inom Försäkringskassan. Det ger en mer kostnadseffektiv men mindre flexibel it-verksamhet. De bedömer att påverkan på kärnverksamheten blir större om uppdraget skulle utökas och det skulle förutsätta tydligare prioriteringar både inom Försäkringskassan och av regeringen. Skulle Försäkringskassan få ett utökat uppdrag kan det finnas anledning att se över Försäkringskassans organisation så att man säkerställer både uppdraget och kärnverksamheten menar de.
6.10. Analys och slutsatser
Försäkringskassan har utifrån givna förutsättningar; med kort tid för förberedelser och uppbyggnad klarat uppdraget väl. Såväl kundmyndigheterna som Regeringskansliet anger att de är nöjda med hur Försäkringskassan har tagit sig an uppdraget. Försäkringskassan har även visat intresse för att arbeta med ständiga förbättringar och utveckla verksamheten i den riktning som uppdraget kräver. Det är dock svårt att på en övergripande nivå uttala sig om samordningsvinster, resultat och effekter av uppdraget eftersom det saknas uttalade mål och Försäkringskassan inte gjort några specifika resultat- och effektmätningar.
I det följande avsnittet redogör vi för ett antal slutsatser samt analyserar vilka lärdomar, erfarenheter och investeringar som är relevanta att vidareutveckla inom ramen för våra förslag till mer varaktiga former för samordnad statlig it-drift.
Uppdraget är formulerat som en försöksverksamhet men i praktiken rör det sig om en faktisk överföring av it-drift
Försäkringskassan har sedan 2017 haft i uppdrag att pröva och utvärdera former för samordnad och säker it-drift för lämpliga myndigheter. I praktiken har inte Försäkringskassan bedrivit uppdraget som en försöksverksamhet. Myndigheter har sagt upp gällande avtal eller avvaktat med upphandling av nya avtal för att kunna ansluta sig till Försäkringskassans it-drift. Det rör sig med andra ord om ett långsiktigt åtagande för kundmyndigheterna och Försäkringskassan. Det saknas en långsiktig strategisk plan för hur Försäkringskassan planerar att hantera uppdraget framöver.
Av vår utvärdering har vi förstått att en migrering av en myndighets it-drift tar både tid och resurser i anspråk. I våra kontakter med kundmyndigheterna har det framgått att det finns en oro för hur de kan komma att påverkas av en eventuell förändring av Försäkringskassans uppdrag och prioriteringar. Flera har även angett att de inte skulle ha råd med en ytterligare migrering på kort sikt.
Försöksverksamheter kan generellt vara ett bra sätt att pröva nya former i staten, men lämpar sig inte för verksamheter som omfattar långsiktiga investeringar och överenskommelser mellan myndigheter. Det skapar också en osäkerhet för de myndigheter som har anslutit sig. Myndigheter som ingår i Försäkringskassans samordnade it-drift
har investerat tid och resurser på att ansluta sig, vilket innebär att det hade inneburit stora risker att avbryta sin samverkan om Försäkringskassan hade kommit fram till att försöksverksamheten inte fungerar väl. Det är av denna anledning viktigt att se över formerna för uppdraget framåt för att säkerställa mer varaktiga former genom t.ex. författningsreglering i stället för ett tidsbegränsat regeringsuppdrag. Det är även viktigt att analysera på vilket sätt myndigheter som i dag är anslutna till Försäkringskassans samordnade it-drift kan omhändertas framöver.
Det är oklart i vilken utsträckning Försäkringskassan har bidragit till att öka myndigheternas informationssäkerhet
Av vår utvärdering framgår det tydligt att säkerhet har varit en viktig parameter i Försäkringskassans uppdrag. Vad som avses med säkerhet har däremot inte tydliggjorts. I direktiven till Försäkringskassan lyfter regeringen fram att fokus i uppdraget ska ligga på funktioner och myndigheter där åtgärder bedöms leda till högre informationssäkerhet. Samtidigt konstaterar Försäkringskassan att myndigheten har avgränsat sitt åtagande till it-säkerhet. Det är därför oklart i vilka utsträckning Försäkringskassan har bidragit till att öka myndigheternas samlade informationssäkerhet och inte enbart it-säkerhet.
För att säkerställa att regeringens intentioner fullföljs vore det lämpligt att tydliggöra på vilket sätt Försäkringskassan inom ramen för sitt uppdrag kan bidra till att öka myndigheternas informationssäkerhet. Det vore även önskvärt att tydliggöra på vilket sätt det stöd Försäkringskassan givit inom området it-säkerhet kan tänkas påverka eller påverkas av kundmyndigheternas systematiska informationssäkerhetsarbete.
Försäkringskassan erbjuder tjänster som levereras internt inom myndigheten men de har inte paketerats för externt bruk
Vad som avses med kostnadseffektivitet enligt direktiven till Försäkringskassan är diffust. Det har inte framgått vilka tjänster som ska erbjudas eller hur myndigheternas olika behov ska hanteras. Försäkringskassan har därför valt att utgå från de behov som matchar
Försäkringskassans befintliga tjänsteutbud. Tjänsteutbudet paketerades däremot inte på förhand för externt bruk.
De kundmyndigheter som har anslutits har överlag fått de tjänster som de har efterfrågat med mindre justeringar för att passa Försäkringskassans driftsorganisation. I ett fall har Försäkringskassan i samförstånd med en kundmyndighet valt att inte gå vidare med en anslutning eftersom myndigheterna har haft olika tekniska plattformar. Flera kundmyndigheter uppger till utredningen att de till en början upplevde att det var svårt att förstå vad Försäkringskassan kunde erbjuda och hur det förhöll sig till de behov kundmyndigheterna hade. Det har även påverkat möjligheten att på förhand kunna få information om kostnaderna för en tjänst.
Genom att utgå från den leverans som Försäkringskassan redan ger internt har myndigheten kunnat undvika kostnader för att bygga upp ny förmåga. Eftersom merparten av kundmyndigheterna har fått de tjänster som de har efterfrågat så bedömer vi att det har varit en klok avvägning. Det finns däremot ett behov av att tydliggöra hur man omhändertar behov som avviker från det befintliga tjänsteutbudet och hur man kan identifiera de fall där det vore skäligt och motiverat utifrån ett kostnadsperspektiv att utveckla ny förmåga. Det skulle t.ex. kunna vara om tillräckligt många myndigheter är intresserade av samma tjänst. För att säkerställa transparens och så kostnadseffektiva lösningar som möjligt bör tjänsteutbudet paketeras och standardiseras i de delar det är möjligt.
Det har inte varit tydligt på vilka grunder vissa myndigheter har prioriterats för anslutning
Försäkringskassan har tagit fram en modell för prioritering mellan myndigheter inför anslutning. I praktiken har modellen däremot inte använts systematiskt. Det har inte heller ställts skarpa krav på prioritering eftersom myndigheterna kommit in med sina förfrågningar allteftersom och då bedömts i varje enskilt fall. Försäkringskassan har alltså i liten grad behövt prioritera mellan flera myndigheter vid ett och samma tillfälle.
För att säkerställa en ordnad, rättvis och träffsäker anslutning av kundmyndigheter borde det tydligare ha framgått av vilka skäl myndigheter skulle ansluta sig till Försäkringskassan med angivna kriterier för vilka myndigheter som skulle prioriteras.
Försäkringskassans modell för anslutning och samverkan fungerar överlag bra men behöver utvecklas
Försäkringskassan har byggt upp förmåga och anslutit ett antal myndigheter sedan uppdraget startade 2017. Försäkringskassan har tagit fram en modell för anslutning som består av fyra steg samt för samverkan på tre nivåer.
Kundmyndigheterna är till stor del nöjda med sin samverkan med Försäkringskassan och med Försäkringskassans leverans. Det har däremot framkommit att vissa kundmyndigheter upplever att Försäkringskassans organisation delvis är ineffektiv och att det finns brister vad gäller insyn och transparens. Försäkringskassan lyfter fram att det finns ett behov av att fortsatt utveckla överlämningen till produktionen samt tydliggöra på vilket sätt Försäkringskassan tar om hand löpande förändringar och förslag till förbättringar.
För att kundmyndigheterna ska kunna ta ansvar för hela sin itdrift är det viktigt att de har god insyn och förståelse både för hur processen för en anslutning ser ut, hur deras behov omhändertas och hur utveckling förväntas hanteras. Som vi tidigare nämnt ser vi även ett behov av att tydliggöra hur behov som avviker från Försäkringskassan leverans ska hanteras.
Juridisk kompetens borde ha ingått i projektorganisationen
Försäkringskassan har i sitt regeringsuppdrag avropat juridisk kompetens vid behov men det har inte ingått någon permanent juridisk kompetens i projektorganisationen. Bedömningen av vilka rättsliga frågor som bör analyseras har därmed i stor utsträckning gjorts av den projektgrupp som ansvarat för genomförandet. Det har även varit otydligt vem som har ansvarat för att rättsliga analyser och ställningstaganden dokumenteras och diarieförs.
Samordning mellan statliga myndigheter är ett komplext område, inte minst ur ett juridiskt perspektiv. Flera rättsliga utmaningar aktualiseras när myndigheter ska samordna sig, vilket kan vara svårt att navigera i om man saknar rätt juridisk kompetens. Det finns en risk att Försäkringskassan har missat viktiga rättsliga avvägningar på grund av bristande juridisk kompetens direkt i projektorganisationen. Det hade därför varit lämpligt att Försäkringskassan hade involverat juridisk kompetens direkt i projektet.
Försäkringskassans kärnuppdrag sätter gränser för deras roll i en samordnad statlig it-drift
Försäkringskassan har ett stort kärnuppdrag där it är en stödfunktion. Av våra intervjuer med dels företrädare för Socialdepartementet, dels företrädare för Försäkringskassans myndighetsledning framgår att det finns ett tak för hur många myndigheter Försäkringskassan skulle kunna ansluta. Vi ser även att det finns risker förenade med att it-driftsuppdraget hanteras inom en myndighet som har ett i övrigt omfattande kärnuppdrag. Om den samordnade statliga it-driften är för liten i relation till kärnuppdraget så riskerar den att nedprioriteras, men om den blir för omfattande riskerar den att få negativ påverkan på kärnuppdraget.
För att värna om Försäkringskassans kärnuppdrag samtidigt som kundmyndigheternas behov och förutsättningar omhändertas är det viktigt att se över organiseringen av den samordnade statliga itdriften. Det kan till exempel finnas anledning att undersöka på vilket sätt andra myndigheter kan bidra och komplettera Försäkringskassan i den samordnade statliga it-driften. Även Försäkringskassan har lyft fram ett behov av att involvera fler myndigheter som kan erbjuda itdrift till andra myndigheter, vilket bl.a. är bakgrunden till att det myndighetsövergripande programmet SITSSAM bildades.
Det är viktigt att samverkan präglas av transparens och ett partnerskap
Försäkringskassan och kundmyndigheterna framhåller att en viktig framgångsfaktor med en statligt tillhandahållen it-drift är att den utgår från samverkan och ett partnerskap mellan myndigheter. Försäkringskassan har lyft fram ett behov av att frångå ett allt för utpräglat leverantörs- och kundförhållande. Även kundmyndigheterna önskar en transparent och tillitsfull samverkan där myndigheterna gemensamt hittar lösningar på de utmaningar som uppstår. Samtidigt lyfter flera kundmyndigheter att Försäkringskassan skulle behöva utvecklas i sin roll som leverantör. Det har även framgått att Försäkringskassan inte alltid är transparent i delar som ligger inom kundmyndighetens ansvarsområden, exempelvis när det gäller säkerhet.
Det är viktigt att bygga vidare på det som upplevs som positiva erfarenheter av Försäkringskassans uppdrag om samordnad och säker
statlig it-drift och som kan skapa det partnerskap som förordas. Det gäller t.ex. att skapa transparens och insyn och att vara tydlig med att myndigheterna inte kan ingå civilrättsligt bindande avtal med varandra. Samtidigt behöver det vara tydligt vad som ingår i rollen för den myndighet som tillhandahåller it-drift vad gäller ansvar och förpliktelser gentemot kundmyndigheterna.
Svårt att förutsäga kostnaderna för den samordnade it-driften
Flera kundmyndigheter har lyft att besked om kostnaderna för anslutning till Försäkringskassans it-drift har kommit i ett så pass sent skede av anslutningsprocessen att myndigheterna har upplevt det svårt att avbryta anslutningen. Bristen på standardisering och paketering är enligt Försäkringskassan en anledning till att det varit svårt att presentera kostnader i ett tidigare skede. Samtidigt anger Försäkringskassan att det alltid kommer vara svårt att ge en fullständig prognos av kostnaderna eftersom mycket beror på de val som kundmyndigheten gör.
För att kundmyndigheterna ska kunna bedöma om det är lämpligt och kostnadseffektivt att ansluta sig till en samordnad lösning är det viktigt att det finns förutsättningar för att tidigt få information om kostnaderna, helst innan parterna tecknar en överenskommelse. Genom att standardisera och paketera tjänsteutbudet samt använda en enhetlig och transparent modell för kostnadsredovisning, t.ex. TBM, torde förutsättningar för det finnas. Samtidigt är det viktigt att modellen är flexibel för kundmyndigheternas specifika behov.
Avgiftsfinansiering fungerar i huvudsak bra men det kan finnas behov av anslagsfinansiering i vissa delar
Merparten av de som vi har intervjuat ser fortsatt att avgifter bör användas som huvudsaklig finansiering. Kundmyndigheterna har även uppskattat den modell för avgiftsuttag som Försäkringskassan utvecklat som utgår från myndighetens långsiktiga självkostnader utifrån en årlig genomsnittskostnad under en treårsperiod. Det finns däremot särskilda utmaningar både vad gäller kostnader för anslutning och för att få en långsiktigt kostnadseffektiv leverans.
Flera kundmyndigheter anger att de utan finansiellt stöd hade haft svårt att ansluta sig till Försäkringskassan. Två av de myndigheter som varit tvungna att själva finansiera kostnaderna för anslutning anger att de inte hade haft möjlighet att bekosta avgifterna om det inte vore för minskade kostnader med anledning av pandemin. Försäkringskassan har även varit tydlig med att de ser ett fortsatt behov av anslagsfinansiering av de delar som rör utveckling av gemensamma tjänster.
Det finns anledning att titta närmare på hur en avgiftsfinansierad modell kan kompletteras med anslag i de delar som rör uppstart och uppbyggnad av en samordnad statlig it-drift, kostnader för små myndigheter i initiera-fasen samt vid utveckling av gemensamma behov.
7. Andra exempel på samordnad it-drift
Myndigheter samordnar sin it-drift redan i dag. Vi kan inte uttala oss om den totala omfattningen, men av vår enkät till 200 statliga myndigheter framgår att det förekommer samordning i större utsträckning än vad man skulle kunna tro. Nästan var tredje myndighet (50 myndigheter) anger att de i dag samordnar sin it-drift med en annan myndighet. Av dessa är 36 myndigheter mottagare och 14 myndigheter tillhandahållare av it-drift. Myndigheterna utbyter allt från specifika tjänster, såsom de HR- och lönerelaterade tjänster som Statens servicecenter tillhandahåller, till ett helhetsåtagande. Det förekommer även exempel där en myndighet får hyra in sig i en annan myndighets datacenter och att myndigheter sköter drift och förvaltning av tjänster för hela förvaltningen, såsom digital post. Därutöver vet vi att Domstolsverket erbjuder it-drift till samtliga Sveriges domstolar, Domarnämnden, Rättshjälpsmyndigheten samt Lagrådet. I antalet mottagande myndigheter inkluderas inte heller de 20 länsstyrelser som tar emot it-drift från länsstyrelsen i Västra Götalands län.
För att ytterligare förstå hur myndigheter samordnar sin it-drift i dag och vilka lärdomar och erfarenheter som är viktiga att ta med sig vid en eventuell utveckling av samordnad it-drift har vi fördjupat oss i ett antal av dessa exempel. Vi har valt att titta närmare på följande tre exempel:
1. Länsstyrelsernas samordnade it-drift som tillhandahålls via Länsstyrelsen i Västra Götalands län.
2. Skatteverket som tillhandahåller it-drift till bl.a. Kronofogden och Valmyndigheten.
3. Sunet (Swedish University Computer Network) vid Vetenskapsrådet som har till uppgift att tillgodose behovet av datakommunikation hos svenska lärosäten och andra offentliga organisationer med koppling till forskning eller högre utbildning.
7.1. Länsstyrelsernas samordnade it-drift
Länsstyrelserna har en lång tradition av att samordna flera av sina administrativa tjänster sinsemellan. I regleringsbreven för åren 2007–2008 fick länsstyrelserna i uppdrag att utveckla en gemensam it-organisation. Uppdraget baserades bl.a. på en förstudie som länsstyrelserna genomförde 2006. I januari 2009 genomfördes en verksamhetsövergång från samtliga län av personal som jobbade minst 50 procent inom it-verksamheten till it-avdelningen hos Länsstyrelsen i Västra Götalands län. Samtidigt upphörde verksamheten vid samtliga länsstyrelsers it-avdelningar. All it-personal fördes över till Länsstyrelsen i Västra Götalands län men fick sitta kvar geografiskt på den länsstyrelse som personalen tidigare tillhört.
Genom att dra nytta av det som Länsstyrelsen i Västra Götalands län hade byggt upp kunde länsstyrelserna höja den lägsta säkerhetsnivån på ett smidigt sätt. Genom att samla all it-verksamhet hos Länsstyrelsen i Västra Götalands län kunde de även ta ett helhetsgrepp om samtliga avtal och likrikta it-verksamheten och på så vis minska länsstyrelsernas samlade it-kostnader.
7.1.1. Samverkan och organisering
Länsstyrelsen i Västra Götalands län ansvarar för it-försörjningen till samtliga länsstyrelser. Myndigheten äger alla it-tillgångar (personal, hårdvara, mjukvara, tjänster, konsulter) som nyttjas av länsstyrelserna och är också avtalspart när det gäller anskaffning av produkter och tjänster inom it-området. Grundläggande ansvarsförhållanden mellan Länsstyrelsen i Västra Götalands län och de övriga 20 länsstyrelserna regleras i en överenskommelse. Överenskommelsen har ingåtts mellan Länsstyrelsen i Västra Götalands län och respektive länsstyrelse. Vid sidan av överenskommelsen finns också ett ägardirektiv för it, där länsstyrelserna redogör för en flerårig strategisk inriktning för it-verksamheten.
Landshövdingemötet beslutar om och äger såväl överenskommelsen som ägardirektivet. Det är också landshövdingemötet som beslutar om årliga kostnadsramar för it-verksamheten. Därutöver har länsrådsmötet ett särskilt utskott med samordningsansvar för it, som också – tillsammans med länsstyrelsernas it-chef – agerar portföljstyrgrupp för it-relaterade projekt och förvaltningsåtaganden. Organisationen har byggts upp över tid och även justerats vartefter samverkan har etablerats och utvecklats. Till en början byggdes organisationen upp utifrån en ekonomistyrning med styrning och kontroll i fokus, men successivt har man övergått till en organisation som allt mer präglas av samverkan och partnerskap mellan länsstyrelserna och it-avdelningen.
Länsstyrelsernas samordnade it-drift präglades länge av en beställar- och utförarrelation vilket Länsstyrelsen i Västra Götaland i efterhand kan se var skadligt för relationen och på många sätt hämmade länsstyrelsernas digitala utveckling. Det ledde till att man inte kunde satsa på de goda idéer som fanns inom kärnverksamheten. För att lyckas har man insett att det är viktigt att it-avdelningen har ett förtroende hos de myndigheter som man samordnar sig med.
7.1.2. Tjänsteutbud
I Länsstyrelsens i Västra Götaland leverans till länsstyrelserna ingår såväl utveckling som drift. Tjänsteutbudet har utvecklats successivt, till en början ingick enbart drift och support. I dag står driften för ungefär 50 procent av den totala it-verksamheten.
Tjänsteutbudet inkluderar tjänster inom följande områden:
- Arbetsplats, vilket omfattar hårdvara för klienter och telefoni, konferensutrustning, på-platsen-support, servicedesk, skrivare och utbildning.
- Stödjande, vilket omfattar arkitektur, information och kommunikation, it-tjänstestyrning, processledning, projektledning, säkerhet samt upphandling och inköp.
- Infrastruktur, vilket omfattar bl.a. databas, datahall, access, fillagring, katalogtjänster och identitetshantering, LAN, WAN, meddelandehantering, servrar, säkerhetskopiering och återläsning, övervakning.
- Applikation, vilket omfattar applikationsutveckling och underhåll,
GIS-plattform, integrationsplattform, samarbetsplattform, sambands- och informationssystem och ärendeplattform.
7.1.3. Finansiering
Verksamheten inom it-avdelningen bedrivs som en avgiftsfinansierad resurssamverkan mellan länsstyrelserna. I princip alla it-kostnader samlas hos den verksamhet som bedrivs hos Länsstyrelsen i Västra Götalands län. På så vis får länsstyrelserna en samlad bild av de totala it-kostnaderna, som därefter debiteras respektive länsstyrelse.
Avgifterna sätts baserat på en grundavgift som står för den gemensamma it-förmågan och baseras på en fast avgift per it-användare inom respektive länsstyrelse. Därutöver sätter man avgifter enligt en prislista för kontinuerligt innehav av standardiserade beställningstjänster, för engångsbeställningar (kringutrustning och tillbehör) samt för utvecklingsuppdrag eller särskilt beställda insatser (projekt/ offert). Under 2020 uppgick avgiftsintäkterna för it-avdelningen hos Länsstyrelsen i Västra Götalands län till cirka 299 miljoner kronor. För 2020 gick verksamheten med ett överskott om cirka 6,7 miljoner kronor, med ett ackumulerat överskott om 20 miljoner kronor.
Länsstyrelsen i Västra Götalands län kan se att betydelsen av en avgiftsfinansiering har minskat vartefter samverkan mellan länsstyrelserna har utvecklats. Eventuellt skulle det vara lämpligt med en direkt finansiering av it, t.ex. genom anslag för bastjänster. Myndigheten ser ett behov av att komma bort från rundgången på pengar och den interna administration som uppstår kring hanteringen av förvaltningskostnader.
Länsstyrelserna genomför en översyn av den ekonomiska modellen
Överlag upplever företrädare för Länsstyrelsen i Västra Götalands län att den ekonomiska modell som tillämpas fungerar väl. Den upplevs som väl inarbetad och det uppstår sällan frågor från kundmyndigheterna. I dialog med ekonomicheferna inom respektive länsstyrelse har man däremot kommit överens om att göra en översyn av
modellen för att dels minska antalet debiteringar per år, dels förbättra kommunikation och dialog kring utfall tidigare i processen.
Historiskt har länsstyrelserna debiterats månadsvis, men man har nu gått över till en halvårsvis debitering. Ursprungligen fanns det en tanke om att länsstyrelserna kortsiktigt skulle kunna påverka sina kostnader och att det därmed fanns ett behov av att se hur kostnaderna varierade över året. Vartefter samverkan har utvecklats har kostnaderna blivit allt mer förutsägbara. Ambitionen är att på sikt gå över till en årsvis debitering.
Länsstyrelsernas samordnade it-drift har bidragit till en effektivisering
Företrädare för Länsstyrelsen i Västra Götalands län bedömer att organisationen har blivit mer effektiv jämfört med när respektive länsstyrelse själv hanterade sin it-drift. De direkta kostnaderna för it-driften har kunnat minskas framför allt genom mer effektiva inköp och avtal. Samtidigt har man byggt upp en förbättrad servicenivå som gett besparingar i kärnverksamheten. Det har däremot varit svårt att följa upp och mäta de exakta värdena eftersom så mycket annat påverkar kostnadsutvecklingen. Det saknas även en korrekt baslinje över hur kostnaderna såg ut under 2008 att utgå från.
7.1.4. Juridik
Uppdraget till Länsstyrelsen i Västra Götaland att tillhandahålla itdrift åt övriga länsstyrelser framgår av regleringsbrev. Samverkan avseende it-drift med andra kommunala och statliga myndigheter har inte sin grund i författning eller regeringsbeslut. Rättsligt stöd lämnas av jurister vid rättsenheten. Gemensamma informationssäkerhets- och dataskyddsfrågor hanteras i en separat organisation placerad hos Länsstyrelsen i Stockholms län, där länsstyrelsernas gemensamma dataskyddsombud ingår.
Länsstyrelsernas samverkan kring it-drift har dokumenterats i en överenskommelse. Länsstyrelsen i Västra Götaland utför inte behandling av personuppgifter i egenskap av personuppgiftsbiträde åt övriga länsstyrelser, utan länsstyrelserna har bedömt att det är fråga
om ett gemensamt personuppgiftsansvar, som finns dokumenterat i ett skriftligt arrangemang.
Länsstyrelserna gjorde en generell bedömning att den samordnade it-driften var begränsad till teknisk bearbetning och teknisk lagring i enlighet med 2 kap. 13 § första stycket TF i samband med att it-överenskommelsen slöts. Länsstyrelserna har inte gjort någon separat bedömning per tjänst om uppgiftshanteringen är begränsad till enbart teknisk bearbetning och teknisk lagring för annans räkning.
Länsstyrelsen i Västra Götaland har bedömt att it-driftstjänsterna som tillhandahålls andra länsstyrelser inte behöver upphandlas. Man har också gjort bedömningen att man som leverantör inte har blivit så stor att konkurrensen hämmas.
7.1.5. Säkerhet
Varje länsstyrelse ansvarar för sin egen information och att de skyldigheter som finns avseende behandling av personuppgifter, krav på säkerhetsskydd och krav på informationssäkerhet efterlevs. Eftersom samtliga länsstyrelser har en gemensam it-miljö och en gemensam it-försörjare så hanteras personuppgifter och dataskydd genom ett så kallat arrangemang mellan myndigheter. Man har även gemensamma användarriktlinjer för arbete i it-miljön.
Varje länsstyrelse har en informationssäkerhetssamordnare och en säkerhetsskyddschef, men man har också valt att etablera gemensamma stödfunktioner för hantering av dataskydd och informationssäkerhet; Nationell organisation för dataskydd samt Gemensam funk-
tion för informationssäkerhet. De gemensamma funktionerna bedrivs
i regi av länsstyrelsen i Stockholm.
It-avdelningen ansvarar för it-säkerheten för samtliga länsstyrelser
It-avdelningen ansvarar för länsstyrelsernas hantering av it-säkerheten, vilket regleras i överenskommelsen mellan länsstyrelserna och omsätts bl.a. via särskilda riktlinjer för it-säkerhet. Det finns också en befattning som it-säkerhetsansvarig, som rapporterar direkt till itchefen. It-avdelningen styr vilka tekniska lösningar som ska tillämpas för att möta länsstyrelsernas behov av it och har rätt att neka lös-
ningar som inte följer riktlinjer för it-säkerhet samt arkitekturramverk. It-säkerhetsansvarig kan besluta om att stänga av applikationer som medför säkerhetsrisker. It-chefen kan också, efter samråd med it-säkerhetsansvarig, besluta om att koppla bort någon av länsstyrelserna från den gemensamma it-miljön, om allvarliga säkerhets- eller kontinuitetshot föreligger för verksamheten.
Länsstyrelsen i Västra Götalands län jobbar kontinuerligt riskbaserat med att hitta rätt säkerhetsnivåer i sina leveranser och vart annat år görs omfattande GAP-analyser mot riktlinjerna för it-säkerhet. Utmaningen ligger inte i att tekniskt skilja den del av verksamheten som omfattas av säkerhetsskyddslagstiftningen från övrig verksamhet. En utmaning är att verksamheten vid en kris även behöver tillgång till stödsystem både regionalt och nationellt, även system som inte innehåller känsliga uppgifter. Detta innebär att även dessa måste fungera vid en krissituation och under höjd beredskap.
7.2. Skatteverkets samordnade it-drift
Skatteverket tillhandahåller i dag it-drift åt två myndigheter: Kronofogden och Myndigheten för digital förvaltning (DIGG) och agerar även värdmyndighet åt flera nämndmyndigheter: Valmyndigheten, Skatterättsnämnden och Forskarrättsnämnden. Vi kommer i detta avsnitt fokusera på samordningen med Kronofogden, men i vissa delar berör vi även Skatteverkets samordning med Valmyndigheten.
7.2.1. Samverkan och organisering
Skatteverkets samordning med Kronofogden har sitt ursprung från att myndigheten under 2008 bröts loss från Skatteverket och blev en egen myndighet. I båda myndigheternas instruktioner uttrycks samordningen som att de båda myndigheterna ”tillsammans [ska] bestämma den gemensamma utvecklingen och användningen av administrativt och tekniskt stöd inom Skatteverket”.
Samverkan dokumenteras i en överenskommelse
Efter att myndigheternas samverkan under en tid präglats av konflikt och oenighet fattade dåvarande generaldirektören på Skatteverket tillsammans med dåvarande rikskronofogden under 2017 beslut om att förnya myndigheternas samverkan. Från och med 2018 bedrivs samverkan enligt en ny struktur. Myndigheternas samverkan har dokumenterats i en tjänsteöverenskommelse med tillhörande bilagor som bl.a. beskriver vad som överenskommits vad gäller kostnader och betalning, ansvar och användning av underleverantörer.
Företrädare för Skatteverket beskriver att processen för att ta fram, underhålla och uppdatera överenskommelserna kräver mycket arbete. Det har varit viktigt att hitta rätt former i samverkan för att tydliggöra att det rör sig om en överenskommelse om samverkan och inte ett avtal som beskriver en kund- och leverantörsrelation. Det har varit viktigt att etablera en samverkan som präglas av ett partnerskap där myndigheterna gemensamt hittar lösningar på de problem som uppstår.
Myndigheterna har tagit fram en samverkansmodell
Som en bilaga till tjänsteöverenskommelsen beskrivs även den samverkansmodell som myndigheterna tillämpar. Modellen är uppdelad på strategisk, taktisk och operativ nivå. På respektive nivå finns ett eller flera forum där syfte, frågor, förväntat resultat och deltagare specificeras. Utöver detta sker det enligt modellen ett löpande operativt samarbete och informationsutbyte mellan olika funktioner och kontaktpersoner hos de båda myndigheterna på daglig basis och utifrån behov.
I våra intervjuer med såväl Skatteverket som Kronofogden framgår att samverkan överlag fungerar väl. Inom vissa områden kan det däremot uppstå utmaningar. Skatteverket upplever att modellens komplexitet i vissa fall kan leda till förvirring och att frågor riskerar att gå i flera led och parallellt med varandra. Det kan även vara svårt att överföra information från den strategiska till den operativa nivån, eftersom det saknas bra kanaler för kommunikation mellan nivåerna. Modellen är inte heller anpassad för mindre kundmyndigheter. En mindre myndighet har inte alltid personal för att bemanna upp respek-
tive forum, vilket innebär att enskilda individer kan behöva ta flera olika roller för att möta upp mot Skatteverkets organisation.
Skatteverket ser prioriteringen mellan myndigheter som en särskilt stor utmaning vid samordnad it-drift
En risk och utmaning som Skatteverket har uppmärksammat gäller hur myndighetens driftsorganisation ska prioritera mellan den egna myndigheten och kundmyndigheterna vid ett eventuellt driftsstopp eller i händelse av en krissituation. I samverkan med Kronofogden har det inte varit något problem då båda parter varit överens om att grad av samhällskritisk verksamhet bör styra, men i relation till andra mer jämbördiga parter ser de att det kan uppstå problem. Ett exempel som företrädare för Skatteverket nämner rör myndighetens samverkan med Valmyndigheten, en myndighet vars verksamhet också betecknas som samhällskritisk. Under regeringskrisen hösten 2018 riskerade ett extraval sammanfalla med Skatteverkets intensiva arbete med deklarationer, vilket kunde ha lett till svåra prioriteringar av tillgängliga resurser. Eftersom extraval aldrig hölls så tvingades Skatteverket aldrig fatta några beslut om prioritering mellan myndigheternas verksamhet, men Skatteverket ser att det är en utmaning som kommer att behöva hanteras och lösas framöver.
7.2.2. Tjänsteutbud
Skatteverket har tagit fram en tjänsteportfölj som beskriver ett antal olika tjänsteområden med underliggande tjänster. För att på sikt kunna följa kostnader per tjänst är de strukturerade enligt den tjänstestruktur som ingår i Technology Business Management (TBM), ett ramverk för beräkningar av it-kostnader. Tjänsterna är fördelade enligt TBM:s fyra så kallade Service Types:
- Infrastructure Services, som omfattar bl.a. tjänsterna datacenter, datacenternätverk, fast telefoni, backup, lagring, långtidslagring, fysisk server, virtuell server med och utan OS.
- Platform Services, som omfattar bl.a. drift av applikationsservar, integrationsplattformar och databasservrar.
- Delivery Services, som omfattar de gemensamma delarna i den tekniknära leveransen såsom drift, övervakning, support, säkerhet och administration.
- End User Services, som omfattar sådant som brukar känneteckna en it-arbetsplats så som klienthantering, klientprogramvara, e-post, video- och konferenssamtal, konferensrumsutrustning, utskrift (lokal), mobil telefoni
Skatteverket uppger att det finns paketerade tjänster för infrastruktur och it-arbetsplats. Det kvarstår arbete främst på applikationssidan där det saknas en paketering av standardtjänster eftersom de är ingående tjänster i det som levereras till kundmyndigheterna. Det pågår däremot ett arbete att se över paketeringen av tjänster inom myndigheten som beräknas vara klar under 2021.
Livscykelhantering särskilt utmanande i relation till kundmyndigheter
Skatteverket lyfter fram livscykelhantering och teknisk skuld hos kundmyndigheterna som en särskilt stor utmaning. Eftersom Skatteverket saknar möjlighet att styra över hur kundmyndigheterna prioriterar sin it-utveckling riskerar den tekniska skulden för kundmyndigheterna att öka. Detta är en generell utmaning för Skatteverkets it-avdelning i relation till den interna verksamheten, men i relation till kundmyndigheter menar myndigheten att det blir ännu svårare eftersom den inte har möjlighet att styra över en annan myndighet.
7.2.3. Finansiering
Samverkan mellan Skatteverket och Kronofogden finansieras genom avgifter. Full kostnadstäckning gäller för avgiftsuttaget vilket innebär att avgifterna ska beräknas så att intäkterna täcker samtliga kostnader som är förenade med verksamheten. För att härleda kostnader för leveransen till Kronofogden använder Skatteverket bl.a. TBM. TBM-ramverket är däremot inte fullt ut implementerat ännu. Under 2020 uppgick Skatteverkets avgiftsintäkter från Kronofogden till cirka
212 miljoner kronor men omfattar då hela tjänsteleveransen där itdrift är en delmängd.
För att beräkna kostnaderna för majoriteten av tjänsterna utgår Skatteverket från t.ex. antal virtuella servrar, antal licenser och antal ärenden. För vissa relaterade kostnader t.ex. datacenter används andelen servrar en myndighet använder som fördelningsnyckel för att räkna ut en så rättvisande kostnad som möjligt. För vissa mer övergripande generella tjänster kan kostnaden fördelas relaterat till antal anställda.
Skatteverket lämnar prognoser över hur kostnaderna kommer se ut under året och mot slutet av året görs en avräkning för att jämna ut eventuella avvikelser. Än så länge görs avräkningen på årsbasis, men Skatteverket har intresserat sig för den modell som Försäkringskassan tillämpar i sitt regeringsuppdrag om säker och samordnad statlig itdrift som innebär att utgifterna fördelas över en treårsperiod.
Skatteverket bedömer att det bl.a. krävs förbättringar och förändringar i fördelningsnycklar, tjänsteerbjudande och av datakvaliteten i systemen för att möjliggöra en bättre sortering av kostnaderna. Det pågår ett förbättringsarbete inom området som förväntas vara klart under 2021. Myndigheten hoppas även att det fortsatta arbetet med att implementera TBM kommer underlätta.
Kronofogden bidrar med ett kostnadstryck som Skatteverket annars hade saknat
Skatteverket upplever att det finns fördelar med att ha Kronofogden som kundmyndighet eftersom det sätter press på myndigheten att löpande se över sina kostnader. Det faktum att Kronofogden är en mindre myndighet med snävare budget uppfattar Skatteverket är en fördel eftersom myndigheterna tillsammans ständigt tvingas hitta smartare lösningar. Skatteverket ser samtidigt att allt för stora skillnader i ekonomi kan vara en utmaning när det gäller myndigheternas it-utveckling. Det kan leda till låsta positioner där den ena parten ser ett behov av utveckling och har förutsättningar att investera medan den andra parten helt enkelt inte har råd.
Skatteverket ser också att det finns en risk att relationen mellan myndigheterna påverkas negativt om dialogen mellan myndigheterna fokuserar allt för mycket på kostnader. Skatteverket har dock en för-
hoppning om att TBM-ramverket kan underlätta dialogen genom att redovisningen blir mer transparent och enhetlig.
7.2.4. Juridik
Rättsavdelningen lämnar rättsligt stöd i frågor som är kopplade till den it-drift som tillhandahålls åt Kronofogden på begäran från verksamheten. Överväganden som gjorts kring den informationshantering som sker för Kronofogdens räkning finns dokumenterade i överenskommelsen mellan de båda myndigheterna. Samma sak gäller överväganden avseende dataskydd. Myndigheterna har slutit ett personuppgiftsbiträdesavtal.
Det har inte utretts i vilken omfattning undantaget i 2 kap. 13 § första stycket TF är tillämpligt i förhållande till de enskilda tjänster som ingår i leveransen till respektive kundmyndighet, dvs. i vilken utsträckning uppgiftshanteringen är begränsad till enbart teknisk bearbetning och teknisk lagring för annans räkning.
Skatteverkets uppdrag att tillhandahålla it-drift åt andra myndigheter regleras i myndighetens instruktion. Företrädare för rättsavdelningen bedömer att den nuvarande regleringen av Skatteverkets uppdrag inte ger stöd för att tillhandahålla it-drift i större utsträckning än vad som nu sker.
7.2.5. Säkerhet
Skatteverkets säkerhet står för basnivån i leveransen till kundmyndigheterna och i de fall en kundmyndighet har ställt ytterligare säkerhetskrav har myndigheterna haft en dialog om hur det bäst ska hanteras.
Både Skatteverket och Valmyndigheten hanterar säkerhetsskyddsklassificerade uppgifter vilket ställer höga krav på Skatteverkets driftsorganisation. Skatteverkets erfarenhet är att allt blir mer komplext vid samverkan med en annan myndighet när det förekommer information som är säkerhetsskyddsklassificerad. Det kräver mycket resurser och kompetens för att landa på en bra nivå.
När det gäller samordningen med Kronofogden har skillnaden på säkerhetskrav framför allt berott på olika tolkningar och syn på gällande lagstiftning. Myndigheterna har därför, med utgångspunkt i Myndigheten för samhällsskydd och beredskaps (MSB) föreskrifter,
genomfört ett arbete för att hitta gemensamma nämnare för uppföljning inom respektive myndighets informationssäkerhetsarbete.
Skatteverket har påbörjat ett arbete med att implementera så kallad
multitenancy i sin hantering av kundmyndigheterna, vilket innebär
att flera verksamheter samtidigt, men oberoende av varandra, kan dela samma it-miljö utan att exponeras för varandra. Myndigheten menar att det kan ge goda förutsättningar för att underlätta t.ex. skillnader i säkerhetskrav.
En säker samordnad it-drift förutsätter att kundmyndigheten är tydlig med vilken information som hanteras
En förutsättning för att Skatteverket ska kunna erbjuda en säker itdrift är att kundmyndigheterna är tydliga med vilken typ av information som hanteras så att driftsorganisationen kan säkerställa att den lever upp till aktuella säkerhetskrav utifrån angiven informationsklass. Skatteverket har i regel inte agerat som stödjande funktion åt sina kundmyndigheter. Men för Valmyndigheten har Skatteverket engagerat sig ytterligare för att täcka upp för de brister som Skatteverket har identifierat. Skatteverket menar samtidigt att det inte ligger i deras roll att ge stöd i kundmyndigheternas informationssäkerhetsarbete eftersom myndigheten saknar den verksamhetskunskap som krävs för att göra en adekvat bedömning.
7.3. Samordnad it-drift genom Sunet
Sunet etablerades i början på 1980-talet. Från början var det ett projekt som sponsrades av dåvarande Styrelsen för teknisk utveckling (STU) och Forskningsrådsnämndens (FRN). Syftet med projektet var att koppla samman de sex universitetsregionernas datacentraler och nätverk. Sedan bildandet har Sunet tillhört olika värdmyndigheter, men ingår sedan 2001 i Vetenskapsrådet.
7.3.1. Samverkan och organisering
Av Vetenskapsrådets instruktion framgår att myndigheten ska ansvara för kommunikationssystemet Swedish University Computer
Network (SUNET). Sunet är i dag en avdelning inom Vetenskapsrådet och styrs av en kommitté med medlemmar från bl.a. Chalmers, Vetenskapsrådet, Karlstads universitet, Lunds universitet och Sveriges förenade studentkårer. Nomineringarna görs av Sveriges universitets- och högskoleförbund (SUHF), Kungliga biblioteket (KB) samt Sveriges Förenade Studentkårer (SFS). Sunets kommitté har mandat att ta beslut i frågor som rör utveckling av verksamheten. Vetenskapsrådet ansvarar för att Sunet administreras och drivs enligt regeringens fastlagda riktlinjer.
Anslutna organisationer
Från början försåg Sunet enbart svenska universitet och högskolor med datakommunikation och tjänster via ett gemensamt nät, men vartefter har även andra organisationer tagit del av tjänsterna. I dag är cirka 100 organisationer (universitet och högskolor, myndigheter med forskningsanknytning, museer och andra organisationer) anslutna till Sunets nät och tjänster.
Regeringen beslutar genom regleringsbrev om att universitet och högskolor samt vissa namngivna statliga centrala museer etc. ska anslutas till Sunets nät. Det finns även möjlighet för andra organisationer att ansluta sig, men de måste då genomgå ett ansökningsförfarande via Sunets kommitté som prövar om organisationen har tillräckliga skäl för att anslutas. Exempel på organisationer som Sunet bedömer lämpliga att ansluta är: lärosäten, forskningsråd, akademier, arkiv, statliga museer, nationella forskningsanläggningar och myndigheter och organisationer med tydlig anknytning till forskning. Företag, övriga myndigheter, föreningar med flera organisationer har normalt sett inte möjlighet att ansluta sig till Sunet. Vissa av dem har emellertid ett nära samarbete med högskolan och kan då tillåtas att ansluta.
Sunet sluter avtal med samtliga anslutna organisationer, förutom när det gäller universitet och högskolornas generella anslutning (basnätet) eftersom anslutningen framgår av regleringsbrev.
7.3.2. Tjänsteutbud
Sunet har som uppgift att tillgodose behovet av datakommunikation hos svenska lärosäten och andra offentliga organisationer med koppling till forskning eller högre utbildning. Sunet levererar även ett antal valbara tilläggstjänster till ett flertal anslutna organisationer.
Tjänsteutbudet inkluderar följande tjänsteområden: – Identifiering – olika typer av identifieringstjänster för studenter
eller forskare. – Molnbaserade tjänster – molnbaserad fillagring, virtuella servrar
(IaaS), säkerhetskopiering samt fildelning och samarbetsyta. – Nätverkstjänster – t.ex. nätverk som tjänst i samverkan med läro-
säten, trådlöst internet och Sunets rikstäckande nät. – Säkerhet – t.ex. säker digital underskrift, säkerhetscenter, certifikat
och mailfilter. – Samarbete – t.ex. digital tentamen, enkätverktyg, e-möte, lärplatt-
form och tjänst för video och ljud. – Sunet är även del av den tekniska förvaltningen av den nationella
eIDAS-noden som DIGG är nod-myndighet och ansvarar för. Sunet sköter driften av noden och bistår med tekniskt kunnande tillsammans med andra leverantörer.
Sunet erbjuder i dag enbart andralinjens support. Det har kommit förfrågningar om att även etablera förstalinjens support och helpdesk, men Sunet menar att det skulle kräva för mycket resurser. Företrädare för Sunet framhäver att Sunet har en väldigt liten organisation för det stora utbud som erbjuds. För att det ska fungera i praktiken har man därför inte haft möjlighet att hantera slutanvändare.
7.3.3. Finansiering
Verksamheten finansieras i första hand genom avgifter från de anslutna medlemmarna, men Sunet får även anslag från Utbildningsdepartementet via Vetenskapsrådet. Myndigheten får ta ut avgifter för grundanslutning och tilläggstjänster från anslutna organisationer. När det gäller universitet och högskolor ska avgifterna för grund-
anslutningen tas ut i proportion till respektive lärosätes andel av högskolesektorns totala intäkter. Myndigheten får disponera intäkterna i verksamheten.
För 2020 fick Vetenskapsrådet cirka 59 miljoner kronor i anslag för att finansiera Sunet varav 10 miljoner kronor var ett extra tillskott för att täcka extra kostnader på grund coronapandemin. Av Vetenskapsrådets regleringsbrev för 2020 framgår att anslaget får användas för kostnader avseende Sunet samt vissa andra organisationer. Det får även användas för kostnader för grundanslutning till Sunet för de konstnärliga högskolorna, statliga kulturarvsinstitutioner och Kungliga biblioteket samt för de specifika kostnader Sunet har för anslutning till internationella forskningsnät. Anslaget får även användas för finansiering av utveckling av gemensamma lösningar inom digital kommunikation och it-tjänster.
Därutöver mottog myndigheten cirka 190 miljoner kronor i avgiftsintäkter samt 23 miljoner kronor i bidrag. Totalt hade Vetenskapsrådet alltså under 2020 intäkter om cirka 273 miljoner kronor för den verksamhet som bedrivs inom Sunet. Kostnaderna för Sunet uppgick under 2020 till totalt cirka 274 miljoner kronor, varav cirka 118 miljoner kronor stod för driften av det nationella nätet. Verksamheten har ett ackumulerat överskott om cirka 8 miljoner kronor trots att myndigheten under 2020 gick med ett underskott om cirka 1 miljon kronor.
7.3.4. Juridik
Frågor kopplade till den samordnade it-driften som tillhandahålls genom Sunet har hanterats genom att de ställs till juristerna som stödfunktion. Samverkan med statliga myndigheter dokumenteras i överenskommelser och med andra anslutna aktörer träffas avtal. I de fall som Sunet inte står för någon ”förädling” av en tjänst sluts personuppgiftsbiträdesavtal direkt mellan kundmyndighet och underleverantör.
När det gäller informationshanteringen som sker vid nyttjande av Sunets tjänster så tillämpas inom Sunets verksamhet en bestämmelse om sekretess för uppgifter om innehållet i ett elektroniskt meddelande som förmedlas i ett elektroniskt kommunikationsnät eller en elektronisk kommunikationstjänst. Sunet vill därför inte ägna sig åt annat än enbart teknisk bearbetning och teknisk lagring för annans räkning.
Vetenskapsrådet har beslutat om att inrätta en inköpscentral för att kunna underlätta avrop av Sunets tjänster. Sunets tjänster får inte erbjudas till andra än offentliga aktörer.
7.3.5. Säkerhet
Sunet bedriver ett gemensamt it-säkerhetsarbete med sina kunder, framför allt universiteten. Under 2019–2021 har arbetet omstrukturerats inom ramen för ett projekt som Sunet drivit tillsammans med Post- och telestyrelsen (PTS) och MSB finansierat genom anslag 2:4 Krisberedskap för att stärka samhällets krisberedskap och försvarsförmåga. Syftet är att etablera ett så kallat SOC (Security Operations Center). Projektet har fokuserat på att etablera verktyg och metoder för att bedriva it-säkerhetsarbete i en distribuerad miljö, t.ex. mellan samverkande organisationer.
Säkerhetsarbetet fokuserar främst på förebyggande verksamhet vilket bl.a. involverar underrättelsearbete och arbete med arkitektur och säkra system. Inom projektet har Sunet etablerat relationer med bl.a. Polismyndigheten och andra statliga myndigheter som är verksamma inom it-säkerhetsområdet.
It-säkerhet tas i beaktande vid utformning av it-arkitektur. Detta medför bland annat att Sunets egna tjänster byggs på ett sätt som är uppdelade i delar som inte kommunicerar med varandra och i så stor
utsträckning som möjligt inte har externa beroenden som kan orsaka säkerhetsproblem. Sunet har av det skälet varit förskonade från flera av den senaste tidens så kallade supply-chain attacker.
När Sunet utvecklar egna tjänster arbetar avdelningen nästan uteslutande med system baserade på öppen källkod. Sunet har identifierat att en vinst med en sådan strategi är att undvika säkerhetsproblem som i större utsträckning drabbar system som inte är baserade på öppen källkod.
Sunet upplever att anslutna kunder implementerar egna modeller för att kunna utvärdera tjänster i stället för att använda ISO 27001
Sunet tar aldrig ansvar för informationssäkerhetsaspekterna i sina tjänster utan dessa frågor hanteras alltid av respektive kund. Tjänsterna är utformade så att det finns tekniskt stöd för att uppfylla olika krav på informationssäkerhet. Valet av tjänst ligger alltid på kunden och inom ramen för Sunets process för förvaltning av tjänster arbetar avdelningen tillsammans med sina kunder för att identifiera vilka behov (bl.a. informationssäkerhetsmässiga) som behöver uppfyllas.
Det är vanligt att Sunets kunder genomför interna genomgångar (antingen var och en för sig eller tillsammans med andra kunder) av tjänsternas stöd för deras informationssäkerhetsarbete. Sådana genomlysningar sker ofta av en intern informationssäkerhetsavdelning på lärosätet eller myndigheten.
Sunet menar att avdelningens angreppssätt, som alltså förutsätter att kunden till en tjänst tar ansvar för informationssäkerheten medan Sunet tar ansvar för it-säkerheten i tjänsten, förutsätter att kunden har tillräcklig kompetens för att genomlysa tjänstens förmågor samt att det finns strukturer och modeller för att utvärdera tjänsten. En sådan modell är t.ex. ISO 27001, men Sunet upplever att kunderna ofta uppfattar modellen som för komplicerad för att kunna användas. Sunets uppfattning är att det har medfört att många kunder tar fram och implementerar sina egna modeller för att utvärdera tjänster. Sunet menar att en förutsättning för att deras modell med uppdelat ansvar ska fungera på sikt är att MSB tar fram utvärderingsmodeller som myndigheter kan använda.
7.4. Pågående initiativ
Under utredningens arbete har vi haft möjlighet att följa den samverkan som bedrivs mellan Försäkringskassan, Lantmäteriet, Skatteverket, Trafikverket, Transportstyrelsen och Fortifikationsverket (deltar i Program 2032) genom de två myndighetsövergripande program som myndigheterna har initierat, Säkra it-tjänster i statlig samverkan (SITSSAM) och Program 2032.
Vi har även under utredningen följt Gaia-X som är ett europeiskt samarbetsprojekt för molninfrastruktur med syfte att öka Europas självförsörjning inom digital infrastruktur.
Nedan beskriver vi det arbete som hittills har bedrivits inom ramen för de tre pågående initiativen.
7.4.1. Säkra it-tjänster i statlig samverkan (SITSSAM)
Försäkringskassans generaldirektör kontaktade under 2019 generaldirektörerna för Lantmäteriet, Skatteverket och Trafikverket för att undersöka möjligheten för dessa fyra myndigheter att erbjuda it-drift till andra statliga myndigheter. Bakgrunden till Försäkringskassans initiativ var att myndigheten genom regeringsuppdraget om samordnad och säker statlig it-drift sett att behovet av säker statlig it-drift inom statsförvaltningen var större än vad Försäkringskassan hade kapacitet att omhänderta. Myndigheten konstaterade också att det fanns hinder för Försäkringskassan att ansluta vissa kundmyndigheter vars tekniska plattformar skiljde sig från den som används inom Försäkringskassan.
Försäkringskassan tillfrågade Lantmäteriet, Skatteverket och Trafikverket eftersom man ansåg att dessa myndigheter hade en väletablerad it-driftverksamhet med potential att hjälpa andra myndigheter. Även Transportstyrelsen deltar i samverkan för att bidra med sina erfarenheter som kundmyndighet. Transportstyrelsen var en av de myndigheter som hörde av sig till Försäkringskassan med önskemål om att ansluta sig till myndighetens it-drift. Försäkringskassan och Transportstyrelsen kom i samförstånd fram till att det, till följd av skillnader i teknisk plattform, inte fanns förutsättningar för att ansluta Transportstyrelsen till Försäkringskassan inom ramen för regeringsuppdraget om samordnad och säker statlig it-drift.
Syftet med samverkan är att utreda om och i sådant fall under vilka förutsättningar Lantmäteriet, Skatteverket och Trafikverket kan bli tjänsteproducerande myndigheter för att därigenom tillsammans med Försäkringskassan kunna hjälpa fler myndigheter med deras itdrift.
Organisering
Under 2020 ägnade myndigheterna sig åt ett erfarenhetsutbyte där framför allt Försäkringskassan delade med sig av sina erfarenheter från regeringsuppdraget om samordnad och säker statlig it-drift. Under hösten 2020 tog myndigheterna tillsammans fram en uppdragsbeskrivning som beslutades av myndigheternas generaldirektörer i december samma år. Myndigheterna etablerade i samband med beslutet ett myndighetsövergripande program under namnet Säkra it-
tjänster i statlig samverkan (SITSSAM).
Myndigheterna har sedan beslutet fattades tagit fram en programorganisation som består av en beställargrupp, styrgrupp, programledning samt funktioner för kommunikation, juridik och säkerhet. Programmet har även tagit fram ett antal produktmål med tillhörande arbetsgrupper. Styrgruppen anordnar möten löpande för att stämma av läget i arbetsgrupperna. Det finns även en ambition att etablera en referensgrupp, men den har inte formaliserats ännu.
Samverkansplan
Programmet har tagit fram en samverkansplan som beskriver fyra olika faser. Den första fasen genomfördes under 2020 och innefattade erfarenhetsutbyte mellan myndigheterna. Den andra fasen pågår sedan början på 2021 och planeras pågå fram till 2024. Syftet med den andra fasen är att utreda om det genom att skapa processer, ramverk och arbetssätt är möjligt att gå från en tjänsteproducerande myndighet (Försäkringskassan) till fyra. Enligt samverkansplanen är målsättningen att de nya tjänsteproducerande myndigheterna ska ha etablerat nödvändiga förmågor samt anslutit en konsumerande myndighet var fram till 2024. Målsättningen är beroende av om utredningen under den andra fasen visar att fler än Försäkringskassan kan bli tjänsteproducerande. Ambitionen är därefter att kunna ansluta två myndig-
heter per år. Myndigheterna har inte fastställt vad som ska göras under den tredje fasen eftersom de inväntar resultatet från den andra fasen samt vad It-driftsutredningen kommer fram till i sitt slutbetänkande.
Figur 7.1 SITSSAM samverkansplan
Källa: SITSSAM programledning.
Den främsta drivkraften för det myndighetsövergripande programmet är att höja säkerheten
Under våra möten med programledningen framhåller de att programmet tar sin utgångspunkt i det faktum att dagens säkerhetspolitiska läge ser annorlunda ut än för några år sedan. Det innebär att säkerheten behöver höjas och risken spridas, i såväl fredstid som vid krissituationer och höjd beredskap. Programledningen hänvisar även till att förändrad lagstiftning såsom säkerhetsskyddslagen och dataskyddsförordningen ställer andra krav på myndigheter. Kraven på kompetens inom säkerhetsskydd, cybersäkerhet och informationssäkerhet ökar, vilket de menar att staten måste kraftsamla kring. Programledningen ser även att de genom samverkan kan nyttja statens befintliga resurser på ett bättre sätt.
Programledningen menar att den främsta drivkraften för programmet är att höja säkerheten, även om hänsyn också tas till effektivitet och digitalisering. Programledningens uppfattning är att det finns många myndigheter som hanterar information som på olika sätt är känslig och är i behov av stöd för att säkerställa ett ändamålsenligt skydd.
Fas 1:
Erfarenhetsutbyte –
kring processer, roller och etablering av gemensamt forum för samverkan
Fas 2:
Utredning & etablering av förmågor –
om möjligt anslutning
Fas 3:
Ingående myndigheter konsumerar varandras it-tjänster
Fas 4:
Samordnad ittjänsteutveckling
Kriterier för urval av kundmyndigheter
SITSSAM bedriver inte någon uppsökande verksamhet, men ambitionen är att i framtiden kunna erbjuda tjänster till hela statsförvaltningen. Myndigheterna har till en början utgått från den lista av myndigheter som har hört av sig till Försäkringskassan för att se på vilket sätt övriga myndigheter kan hjälpa till. Myndigheterna har gjort en kartläggning av samtliga myndigheters departementstillhörighet samt vilka myndigheter som utövar tillsyn över respektive tjänsteproducerande myndighet.
När det gäller fördelning av kundmyndigheter mellan tjänsteproducerande myndigheter tänker sig myndigheterna att de ska utgå från olika kriterier som t.ex. vilken teknisk plattform myndigheterna använder, departementstillhörighet och kapacitet hos tjänsteproducerande myndighet. En arbetsgrupp har fått i uppdrag att ta sig an frågan men har inte landat i några slutsatser ännu.
SITSSAM är ett myndighetsinitiativ
Till skillnad från de övriga exempel på samordnad it-drift som vi beskrivit i detta kapitel så bygger den samverkan som sker inom SITSSAM inte på något särskilt uppdrag från regeringen. Myndigheterna hänvisar till 6 § myndighetsförordningen och 8 § förvaltningslagen där det framgår att myndigheter ska verka för att genom samarbete med andra myndigheter ta till vara de fördelar som kan vinnas för enskilda samt för staten som helhet.
7.4.2. Program 2032
Försäkringskassan och Fortifikationsverket initierade under 2018 en samverkan avseende säkra it-utrymmen som en del av Försäkringskassans regeringsuppdrag att erbjuda samordnad och säker statlig itdrift. Samverkan konkretiserades genom en överenskommelse under namnet Program 2032. Samverkan sker mellan de myndigheter som deltar i SITSSAM samt Fortifikationsverket.
Program 2032 syftar till att arbeta vidare med de förslag som PTS 2018 lämnade i sitt regeringsuppdrag Förslag till en förvaltningsmodell
för skyddade it-utrymmen. PTS föreslog att regeringen efter ytterli-
gare utredning skulle överväga att implementera en förvaltningsmodell med utgångspunkt i en aktörsmodell bestående av följande aktörer:
- En prioriteringsfunktion, som klassificerar och prioriterar ur ett övergripande samhällsperspektiv vilka behov av skydd för säkerhetskänsliga verksamheters it-tjänster som ska omhändertas enligt den föreslagna modellen och i vilken ordning det ska ske.
- En utrymmesförvaltare, som förvaltar beståndet av skyddade itutrymmen och hanterar de nyttjare av skyddade it-utrymmen som placerat hela eller delar av sina it-miljöer med säkerhetskänsliga it-tjänster i dessa. Utrymmesförvaltaren är hyresgäst hos anläggningsägaren.
- En anläggningsägare, som äger och förvaltar de anläggningar där skyddade it-utrymmen placeras.
- Nyttjare, offentliga och andra relevanta aktörer som har säkerhetskänslig verksamhet och som har behov av att kunna placera hela eller delar av sina it-miljöer i skyddade it-utrymmen.
Fortifikationsverket ingår i programmet utifrån sin potentiella roll som anläggningsägare enligt PTS förslag till förvaltningsmodell. Myndigheten har inom ramen för sitt uppdrag att tillhandahålla stöd till myndigheter som är i behov av fortifikatoriskt skydd fått in flera förfrågningar från myndigheter och andra samhällsviktiga aktörer om både förstudier till och tillhandahållande av utrymme i bergrum. Med utgångspunkt i detta tog myndigheten fram en förstudie i syfte att ge en balanserad bild av de begränsande faktorer, uppnådda skyddsnivåer, investeringskostnader och anskaffningstider som en etablering skulle medföra. Målgruppen för Fortifikationsverkets förslag är organisationer som hanterar samhällsviktig it-verksamhet. Enligt Fortifikationsverkets förstudie bedömer myndigheten att det skulle ta närmare 8–10 år att etablera ett statligt datacenterkoncept.
Program 2032 utgår från de ingående myndigheternas behov, men ser att programmet på lång sikt även skulle kunna bidra till att öka den samlade förmågan i försvaret av Sverige. Enligt programmet rör det sig om investeringar och förvaltningskostnader över lång tid, men man menar att det går att uppnå bättre kostnadseffektivitet för statsförvaltningen som helhet ju fler som är med och delar på kostnaderna.
Behoven hos de ingående myndigheterna skiljer sig något åt, men gemensamt för samtliga är att de ser ett behov av att öka säkerheten i sina datacenter för att leva upp till de krav som ställs på myndigheterna. Målet är att successivt kunna skapa säkra it-utrymmen, men med ett långsiktigt mål att vara klara 2032.
Inte heller den samverkan som sker inom ramen för Program 2032 bygger på något särskilt uppdrag från regeringen. Myndigheterna hänvisar till den generella reglering som framgår av 10 och 15 §§ förordning om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap, 8 § förvaltningslagen, 6 § myndighetsfördordningen, samt att myndigheternas uppdrag kräver att de säkrar sina tillgångar över tid.
7.4.3. Europeiska samarbetet Gaia-X
Den europeiska federerade molntjänstinfrastrukturen Gaia-X bildades i slutet av 2019 på initiativ av Tyskland och Frankrike som ett direkt svar på ett antal tunga industriföretags behov av alternativ till utomeuropeiska molntjänster för sin digitalisering. Gaia-X har därefter snabbt vuxit till ett europeiskt samarbetsprojekt. Europas behov av att stärka sin digitala suveränitet har även varit en viktig fråga för EU-kommissionen som ser en europeisk digital infrastruktur som avgörande för Europas långsiktiga konkurrenskraft. Gaia-X är däremot inte finansierat eller styrt genom EU, men EU-kommissionen deltar som intressent.
Gaia-X är en medlemsägd icke-vinstdrivande organisation med säte i Belgien med över 300 medlemmar. Projektets centrala del består av en digital marknadsplats där privat och offentlig sektor i Europa kan komma åt digitala tjänster inom åtta definierade delområden för innovation; industri 4.0/SME, smarta städer, finans, hälsa, offentlig sektor, mobilitet, lantbruk och energi. Alla tjänster under respektive delområde utvecklas för att kunna användas över landsgränser inom hela EU.
I april 2020 etablerade Gaia-X en organisation för samarbete i Sverige. Initiativtagarna till den svenska organisationen är Ericsson, Netnod och City Network. I dag har organisationen ett 60-tal medlemmar och nya medlemmar tillkommer löpande.1
1 Den svenska organisationen för Gaia-X, https://gaiax.se.
Skatteverket har på uppdrag av regeringen följt Gaia-X
Skatteverket har på uppdrag av regeringen följt Gaia-X sedan september 2020. Inom ramen för regeringsuppdraget har Skatteverket informerat, föreläst och utbytt erfarenheter med flertalet berörda aktörer. Sammanfattningsvis ser myndigheten stor potential för svenska företag, offentlig sektor, innovation och europeisk suveränitet till gagn för både leverantörer och kunder inom alla sektorer.
Skatteverket bedömer att Gaia-X borde kunna förenkla myndigheters anskaffningsprocesser av externa it-tjänster genom att specifikationerna är öppna för alla och tydliggör hur molntjänster uppfyller olika certifieringar, lagar och regler. Myndigheten ser även att det kan vara intressant att utreda på vilket sätt statlig it-drift kan använda sig av de specifikationer som tas fram inom Gaia-X för att ta tillvara marknadens innovationskraft. Det skulle också kunna förenkla för myndigheter att dynamiskt välja leveransform: antingen samordnad it-drift, it-drift som levereras av kommersiella aktörer eller en kombination av dessa två.2
Skatteverkets ska slutredovisa regeringsuppdraget senast 1 december 2021.
7.5. Analys och slutsatser
Myndigheter samordnar redan i dag sin it-drift. Av vår enkät framgår det att nästan var tredje myndighet (50 myndigheter) i dag samordnar sin it-drift med en annan myndighet. Av dessa är 36 myndigheter mottagare och 14 myndigheter tillhandahållare av it-drift. Det innebär i praktiken att samordnad it-drift inte är ett nytt fenomen. De exempel som finns är däremot separata från varandra och merparten präglas av en gemensam historik, gemensamt uppdrag eller geografisk närhet. Exemplen skiljer sig på så vis från Försäkringskassans uppdrag att erbjuda samordnad och säker statlig it-drift.
2 Skatteverket (2021), Delrapportering av regeringsuppdrag att bevaka Gaia-X.
Det finns kompetens, erfarenhet och intresse hos ett flertal myndigheter att ge stöd till andra myndigheter
Av vår kartläggning framgår att det finns flera myndigheter som har förmåga och kapacitet att leverera it-drift till potentiella kundmyndigheter. Det pågår även flera initiativ inom statsförvaltningen, nationellt och i Europa, inom it-driftsområdet. Sammantaget ser vi att det finns såväl kompetens, erfarenhet och intresse hos ett flertal myndigheter att tillhandahålla it-drift ge stöd till andra myndigheter.
Flera lyfter fram behovet av att etablera ett partnerskap
Likt vad som framkommit i vår utvärdering av Försäkringskassan har flera av de myndigheter vi intervjuat lyft fram att en viktig framgångsfaktor för att samordnad it-drift ska fungera är att samverkan mellan myndigheterna präglas av ett partnerskap. Flera myndigheter hänvisar till de risker som finns om samverkan i allt för stor utsträckning präglas av ett leverantörs- och kundförhållande. Eftersom myndigheter inte heller kan teckna civilrättsliga avtal med varandra är det viktigt att det av villkoren för samverkan framgår vad som kännetecknar en samverkan mellan myndigheter.
Avgifter fungerar överlag bra som finansieringsmodell
Av våra intervjuer framgår att avgifter överlag fungerar bra vid finansieringen av samordnad it-drift. Det framgår däremot att det finns vissa utmaningar när det gäller finansieringen av utveckling och investeringar. Särskilt Skatteverket lyfter fram sina erfarenheter av att finansiera gemensam utveckling genom avgifter där myndigheternas olika förutsättningar har påverkat möjligheten att finansiera den gemensamma utvecklingen. Allt för stora skillnader i ekonomi kan vara en utmaning och leda till låsta positioner där den ena parten ser ett behov av utveckling och har förutsättningar att investera medan den andra parten helt enkelt inte har råd.
Kundmyndigheterna ansvarar för sin informationssäkerhet
Samtliga myndigheter som vi talat med framhåller att kundmyndigheterna i den samordning som bedrivs ansvarar för sin egen information och att de skyldigheter som finns avseende behandling av personuppgifter, krav på säkerhetsskydd och krav på informationssäkerhet efterlevs. Två av myndigheterna anser inte heller att vore lämpligt att bistå med stöd i informationssäkerhetsfrågor eftersom det skulle kräva ingående kunskap om den verksamhet som bedrivs hos kundmyndigheten. Länsstyrelserna har erfarenhet av att samordna ett gemensamt stöd för bl.a. informationssäkerhet via Länsstyrelsen i Stockholm län. Samtidigt är it-driftsorganisationen inom Länsstyrelsen i Västra Götaland tydlig med att deras ansvar enbart ligger inom it-säkerhet.
8. Marknadsrättsliga förutsättningar för samordnad it-drift
8.1. Inledning
Det ingår vårt uppdrag att utreda om det finns konkurrens- och marknadsrättsliga förutsättningar för samordnad it-drift.
När det gäller det konkurrensrättsliga regelverket så är en grundläggande fråga att ta ställning till om regelverket över huvud taget ska tillämpas när en myndighet tillhandahåller tjänster åt en annan myndighet. Det kan vidare konstateras att regelverket i stor utsträckning riktar sig till verksamhetsutövare. Detta utesluter dock inte att staten genom utformningen av samordnad it-drift kan skapa så goda förutsättningar som möjligt för att verksamheten ska kunna bedrivas utan att konflikter uppstår med konkurrensregleringen.
I detta kapitel redogör vi för de grundläggande rättsliga förutsättningarna för konkurrensregleringens tillämplighet, med utgångspunkt i EU-rätten, nationell rätt, relevanta förarbeten samt praxis från EUdomstolen och Marknadsdomstolen. Vi berör också regler i EU-fördraget som särskilt riktar sig till offentliga företag. De konkurrensrättsliga överväganden vi gör redovisas i avsnitt 11.9.
Det ingår också i vårt uppdrag att utreda hur statligt tillhandahållen it-drift förhåller sig till regelverken om offentlig upphandling. Vi kan konstatera att frågan om den statliga it-driften som Försäkringskassan tillhandahåller måste upphandlas har varit en av de frågor som ägnats störst uppmärksamhet vid genomförande av regeringsuppdraget att erbjuda samordnad och säker statlig it-drift, i alla fall initialt. Samma fråga har av naturliga skäl varit viktig inom Statens servicecenters verksamhet.
Rättsläget får anses klargjort genom ett nyligen lämnat avgörande från HFD. Mot bakgrund av den osäkerhet som rått, att frågan haft stor betydelse både för Försäkringskassans och Statens servicecen-
ters respektive verksamhet och att det enligt våra direktiv ingår att analysera hur statligt tillhandahållen it-drift förhåller sig till regelverken om offentlig upphandling så ser vi anledning att redovisa vår analys – och inte enbart slutsatserna – av hur statligt tillhandahållen it-drift förhåller sig till upphandlingsregleringen.
Vi redogör därför i detta kapitel även för upphandlingsregelverken och ägnar frågan om deras tillämplighet särskild uppmärksamhet.
8.2. Konkurrensrätt
8.2.1. Inledning
Frågan om konkurrensregleringens tillämplighet vid statliga myndigheters samverkan avseende it-drift har såvitt vi känner till inte behandlats inom ramen för en offentlig utredning.
Konkurrensverket avstyrkte i sitt remissvar över E-delegationens betänkande Strategi för myndigheternas arbete med e-förvaltning (SOU 2009:86) ett förslag om samordning av tjänster för ekonomi- och personaladministration mot bakgrund av att myndigheten gjorde bedömningen att det skulle bli fråga om en ensamrätt att utföra tjänsterna om förslaget realiserades. Konkurrensverket poängterade att vid sådant förhållande kommer övriga myndigheters möjligheter att konkurrensutsätta tjänster för ekonomi- och personaladministration genom en upphandling i konkurrens enligt upphandlingslagstiftningen att omöjliggöras, vilket skulle minska förutsättningarna för en effektiv resursanvändning på området, till nackdel för det allmänna och medborgarna. Förslaget stred vidare enligt Konkurrensverket mot den förvaltningspolitiska inriktningen att konkurrensutsättningen av den svenska ekonomin ska öka (Konkurrensverkets yttrande den 15 februari 2010 Betänkandet Strategi för myndigheternas arbete med
e-förvaltning [SOU 2009:86], dnr 643/2009).
Frågan om ensamrätt och andra konkurrensmässiga aspekter på samordningen av ekonomi- och personaladministrativa tjänster berörs inte i betänkandet Ett myndighetsgemensamt servicecenter (SOU 2011:38) som föregick inrättandet av Statens servicecenter. De konkurrensmässiga aspekterna av samordning av it-drift berörs inte heller i regeringsuppdraget till Försäkringskassan att tillhandahålla samordnad och säker statlig it-drift.
Om samordnad it-drift erbjuds på ett sätt som gör att konkurrensregleringen blir tillämplig, måste den regleringen följas. I detta avsnitt redogörs dels för regleringens tillämplighet, dels översiktligt för relevanta delar av regleringens innehåll. I det följande görs dock inte någon fullständig genomgång av konkurrensreglerna.
8.2.2. Konkurrensregleringen
EU:s konkurrensrätt
Allmänt
Det konkurrensrättsliga regelverket utgörs i Sverige av dels unionsrätten, dels reglerna i konkurrenslagen (2008:579) (KL). I EU:s primärrätt finns två grundläggande konkurrensrättsliga regler: förbud mot konkurrensbegränsande avtal i artikel 101 i fördraget om Europeiska unionens funktionssätt (FEUF) och förbud mot missbruk av en dominerande ställning i artikel 102 FEUF. Reglerna kom till i och med det ursprungliga Romfördraget 1957 och är i sak oförändrade sedan tillkomsten.
Därefter har ett stort antal kompletterande rättsakter och en omfattande rättspraxis utvecklats. Artiklarna 101 och 102 FEUF har direkt effekt inom hela EU, Sverige inbegripet, som gäller även horisontellt. Det innebär att EU:s konkurrensrätt är direkt gällande för enskilda och företag i Sverige och skapar rättigheter och skyldigheter för dessa.
Förordningar, direktiv och kommissionens riktlinjer
Utöver de principiella förbuden finns två centrala EU-förordningar inom konkurrensområdet: rådets förordning (EG) nr 139/2004 av den 20 januari 2004 om kontroll av företagskoncentrationer (koncentrationsförordningen) och rådets förordning (EG) nr 1/2003 av den 16 december 2002 om tillämpning av konkurrensreglerna i artiklarna 81 och 82 i fördraget (tillämpningsförordningen). I koncentrationsförordningen finns regler om förprövning av företagsförvärv. I tilllämpningsförordningen finns regler om förfaranden och sanktioner.
Utöver bestämmelserna i FEUF och förordningar finns inom konkurrensområdet två direktiv: Europaparlamentets och rådets direktiv (EU) 2019/1 av den 11 december 2018 om att ge medlemsstaternas
konkurrensmyndigheter befogenhet att mer effektivt kontrollera efterlevnaden av konkurrensreglerna och om att säkerställa en väl fungerande inre marknad samt Europaparlamentets och rådets direktiv 2014/104/EU av den 26 november 2014 om vissa regler som styr skadeståndstalan enligt nationell rätt för överträdelser av medlemsstaternas och Europeiska unionens konkurrensrättsliga bestämmelser.
Fördragstexten och förordningarna kompletteras av riktlinjer från kommissionen där kommissionen klargör sina bedömningar i olika konkurrensrättsliga frågor, såsom relevant marknad, olika typer av avtal och handläggning av ärenden. Kommissionens vägledning bygger normalt på EU-domstolarnas praxis, men det förekommer också att man redogör för sin hållning i frågor som inte behandlats av domstolarna. EU-domstolen har slagit fast att kommissionens administrativa praxis inte är bindande för nationella konkurrensmyndigheter och domstolar (dom den 6 oktober 2015, Post Danmark, C-23/14, EU:C:2015:651, p. 52) men vägledningen verkar i praktiken i hög grad styrande.
Samhandelskriteriet
Generellt gäller att EU:s konkurrensrätt är begränsad till att gälla sådana konkurrensbegränsningar som påverkar samhandeln, dvs. påverkar handeln mellan medlemsstaterna genom att de har gränsöverskridande effekt.
Samhandelskriteriet får förstås utifrån att EU:s konkurrensregler, utöver att värna om konkurrensen på marknaden till förmån för konsumenterna, även fyller ett integrationssyfte. Ett av de övergripande målen med unionen är att underlätta för och främja den gränsöverskridande handeln och därigenom skapa en enhetlig marknad. För att nå detta övergripande mål fyller konkurrensreglerna en viktig funktion. I artikel 3 (b) FEUF anges således att unionen ska ha exklusiv kompetens att fastställa de konkurrensregler som är nödvändiga för den inre marknadens funktion.
EU:s regler om statsstöd
En annan central del av EU:s konkurrensrätt är reglerna om statsstöd, dvs. förbud mot offentliga stödåtgärder. EU-reglerna om statsstöd saknar motsvarighet inom svensk nationell konkurrensrätt. Unionsrätten har dock företräde i förhållande till svensk rätt som står i strid med unionsrätten och svenska författningsbestämmelser ska så långt möjligt tolkas i konformitet med unionsrätten.
Av artikel 107.1 FEUF framgår att om inte annat föreskrivs i fördragen, är stöd som ges av en medlemsstat eller med hjälp av statliga medel, av vilket slag det än är, som snedvrider eller hotar att snedvrida konkurrensen genom att gynna vissa företag eller viss produktion, oförenligt med den inre marknaden i den utsträckning det påverkar handeln mellan medlemsstaterna. Utgångspunkten enligt EU-rätten är således att statsstöd är förbjudet. Reglerna riktar sig mot medlemsstaterna och deras organ och har som huvudsyfte att hindra offentliga stödåtgärder som snedvrider konkurrensen på den inre marknaden och påverkar samhandeln genom att gynna vissa företag eller viss produktion.
Enligt huvudregeln är allt offentligt statsstöd som utgår selektivt, dvs. till visst eller vissa företag, förbjudet. Det gäller såväl direkta utbetalningar som indirekt stöd. Vad som utgör stöd tolkas vidsträckt och innefattar kapitaltillskott, avgiftsfavörer, kreditfavörer, betalningsgarantier, räntelättnader, borgensåtaganden, markförsäljning till underpris m.m. som inte kan motiveras på marknadsmässiga grunder. Också specifika skatte- och avgiftslättnader, som utgår selektivt, kan utgöra otillåtet statsstöd, t.ex. lättnader i skatter eller sociala avgifter till särskilda regioner eller typer av verksamhet.1
Vissa former av statsstöd är tillåtna. Det gäller stöd av social karaktär som ges till enskilda konsumenter, under förutsättning att stödet ges utan diskriminering med avseende på varornas ursprung, och stöd för att avhjälpa skador som orsakats av naturkatastrofer eller andra exceptionella händelser (artikel 107.2 FEUF). Även stöd som ges för att främja den ekonomiska utvecklingen i regioner där levnadsstandarden är onormalt låg eller där det råder allvarlig brist på sysselsättning, stöd för att främja genomförandet av viktiga projekt av gemensamt europeiskt intresse eller för att avhjälpa en allvarlig störning i en medlemsstats ekonomi, stöd för att underlätta utveck-
1 Bernitz U. (2019) Svensk och europeisk marknadsrätt I, JUNO version 5, s. 212, läst 2021-09-02.
ling av vissa näringsverksamheter eller vissa regioner och stöd för att främja kultur och bevara kulturarvet kan anses förenliga med den inre marknaden (artikel 107.3 FEUF).
Planerade eller förändrade stödåtgärder ska anmälas till och godkännas av kommissionen (artikel 108.3 FEUF). För statsstöd som av kommissionen inte bedöms som förenliga med den inre marknaden ska kommissionen besluta om att staten i fråga ska upphäva eller ändra stödåtgärderna inom en tidsfrist som kommissionen bestämmer (artikel 108.2 FEUF). Dessutom kan stöd som ges till offentliga företag under vissa förutsättningar inte vara att betrakta som statsstöd.2
Regeln om anmälningsskyldighet har direkt effekt och stöd som tillämpas utan föregående anmälan till kommissionen utgör olagligt stöd. Det kan angripas i nationell domstol av berörda konkurrenter m.fl. med yrkanden om vitesförbud och skadestånd, även om stödet sannolikt hade godtagits om det hade blivit korrekt anmält.
Det finns en möjlighet för rådet att på förslag från kommissionen bestämma att visst stöd ska anses förenligt med den inre marknaden (artikel 107.3 FEUF). Så har skett genom rådets förordning 105/1588 av den 13 juli 2015 om tillämpningen av artiklarna 107 och 108 i fördraget om Europeiska unionens funktionssätt på vissa slag av övergripande statligt stöd. Genom förordningen ges kommissionen möjlighet att meddela gruppundantag från anmälningsskyldigheten. Kommissionen ges också möjlighet att besluta om att stöd till ett och samma företag som under en viss period understiger ett visst belopp inte behöver anmälas.3
2 Rörande offentliga företag, se avsnittet ”Fördragsregleringen av offentliga företag”. Under vilka förutsättningar stöd kan ges för att finansiera tjänster av allmänt ekonomiskt intresse utan att utgöra statsstöd, se domstolens dom den 24 juli 2003, Altmark Trans och Regierungs-
präsidium Magdeburg, C-280-00, EU:C:2003:415, p. 95.
3 Kommissionen har beslutat följande förordningar inom området: kommissionens förordning (EU) nr 651/2014 av den 17 juni 2014 genom vilken vissa kategorier av stöd förklaras förenliga med den inre marknaden enligt artiklarna 107 och 108 i fördraget, kommissionens förordning (EU) nr 1407/2013 av den 18 december 2013 om tillämpningen av artiklarna 107 och 108 i fördraget om Europeiska unionens funktionssätt på stöd av mindre betydelse, kommissionens förordning (EU) 2017/1084 av den 14 juni 2017 om ändring av förordning (EU) nr 651/2014 vad gäller stöd till hamn- och flygplatsinfrastruktur, vad gäller tröskelvärden för anmälan av stöd till kultur och bevarande av kulturarvet och stöd till idrottsinfrastruktur och multifunktionell rekreationsinfrastruktur samt vad gäller stödordningar för regionalt driftstöd i de yttersta randområdena och om ändring av förordning (EU) nr 702/2014 vad gäller beräkningen av stödberättigande kostnader samt kommissionens förordning (EU) 2020/972 av den 2 juli 2020 om ändring av förordning (EU) nr 1407/2013 vad gäller dess förlängning och om ändring av förordning (EU) nr 651/2014 vad gäller dess förlängning och relevanta justeringar.
Statsstödsfrågor regleras inte i KL. Svenska ärenden om anmälningar av statsstöd till kommissionen handläggs i Regeringskansliet. Sverige har en särskild lag av 2013 om tillämpning av EU:s statsstödsregler. Den reglerar främst skyldigheten att återbetala olagligt stöd.
Ensamrätt
Legala, eller rättsliga, monopol är en ensamrätt som baseras på lagstiftning och innebär ett förbud mot konkurrens. Sådana monopol är i princip oförenliga med EU:s centrala syfte att ha en inre marknad baserad på fri rörlighet för varor och tjänster, etableringsfrihet och obunden konkurrens.
I Sveriges finns inte någon generell lagstiftning om rättsliga monopol. Varje sådant monopol har reglerats för sig efter vad som ansetts passa för den särskilda situationen.
Rättsliga handelsmonopol för varor reglerar i artikel 37 FEUF. Av artikeln framgår att medlemsstaterna ska säkerställa att statliga handelsmonopol anpassas på sådant sätt att ingen diskriminering med avseende på anskaffnings- och saluföringsvillkor föreligger mellan medlemsstaternas medborgare och att bestämmelserna i artikeln ska tillämpas på varje organ genom vilket en medlemsstat, rättsligt eller i praktiken, direkt eller indirekt kontrollerar, styr eller märkbart påverkar import eller export mellan medlemsstaterna. Sådana monopol kan med andra ord godtas förutsatt att de tillämpas på ett fullt ut icke-diskriminerande sätt och har en proportionerlig utformning i förhållande till sitt särskilda syfte.4 Medlemsstaterna får dock inte vidta några nya åtgärder som strider mot de principer som anges i artikeln eller som begränsar räckvidden av de artiklar som avser förbud mot tullar och kvantitativa restriktioner mellan medlemsstaterna (art. 37.2 FEUF). Det är med andra ord mycket svårt att införa nya handelsmonopol.
När det gäller tjänster så saknas motsvarighet till artikel 37 FEUF. EU-domstolen har i flera avgöranden uttalat följande. Nationell lagstiftning inom ett område som ännu inte har varit föremål för harmonisering på gemenskapsnivå, vilken tillämpas utan åtskillnad på alla personer eller företag som bedriver verksamhet på den berörda medlemsstatens territorium, kan trots sin restriktiva inverkan på fri-
4 Bernitz U. (2019) Svensk och europeisk marknadsrätt I, JUNO version 5, s. 202, läst 2021-09-03.
heten att tillhandahålla tjänster rättfärdigas i den mån som den grundas på tvingande hänsyn till ett allmänintresse som ännu inte säkerställts genom de bestämmelser som tjänsteleverantören måste följa i den medlemsstat där denne är etablerad och förutsatt att den är ägnad att säkerställa att det mål som eftersträvas med lagstiftningen uppnås och inte går utöver vad som är nödvändigt för att uppnå det målet (se bl.a. dom av den 31 mars 1993, Kraus mot Land Baden-
Württemberg, C-19/92, EU:C:1993:125, p. 32; dom av den 30 novem-
ber 1995, Gebhard mot Consiglio dell’Ordine degli Avvocati e Pro-
curatori di Milano, C-55/94, EU:C:1995:411, p. 37; dom av den
6 november 2003, Gambelli m.fl., C-243/01, EU:C:2003:597, p. 64; dom av den 21 september 2006, kommissionen mot Österrike, C-168/04, EU:C:2006:595, p. 37; dom av den 25 april 2013, Jyske Bank Gibraltar, C-212/11, EU:C:2013:270, p. 60; dom av den 10 mars 2016, Safe
Interenvios, C-235/14, EU:C:2016:154, p. 100).
I doktrinen framhålls att rättsliga monopol på tjänsteområdet endast kan upprätthållas om de kan stödjas på sådana tvingande hänsyn som kan motivera undantag från den fria tjänsterörligheten inom EU (se bl.a. art. 52 FEUF). Även om tvingande hänsyn i och för sig bedöms föreligga i ett visst fall måste sådana inskränkningar vara proportionerliga och inte sträcka sig längre än nödvändigt för att tillgodose det särskilda skyddssyftet.5
Fördragsregleringen av offentliga företag
I EU-fördraget finns en artikel om offentliga företag (för innebörden av begreppet företag inom konkurrensrätten, se följande avsnitt). Enligt den berörda artikeln ska medlemsstaterna beträffande offentliga företag och företag som de beviljar särskilda eller exklusiva rättigheter inte vidta och inte heller bibehålla någon åtgärd som strider mot reglerna i fördragen, i synnerhet reglerna i artiklarna 18 samt 101–109 (artikel 106.1 FEUF). Bestämmelsen är riktad till medlemsstaterna. Syftet med bestämmelsen är att hindra medlemsstaterna från att frånta fördragsreglerna om konkurrens genomslag genom åtgärder som vidtas rörande offentliga företag och företag som ges särskilda rättigheter.
5 Bernitz U. (2019) Svensk och europeisk marknadsrätt I, JUNO version 5, s. 202, läst 2021-09-03.
Med ”exklusiva rättigheter” avses ensamrätt. Begreppet ”speciella rättigheter” är vagare men kan beskrivas som rättigheter som en medlemsstat beviljar ett begränsat antal företag genom lag, annan författning eller beslut som, inom ett bestämt geografiskt område begränsar antalet företag som har tillstånd att tillhandahålla en tjänst eller bedriva en verksamhet till två eller flera, på annat sätt än utifrån objektiva, proportionerliga och icke-diskriminerande kriterier, eller ger företag författningsenliga fördelar som i väsentlig grad påverkar andra företags möjligheter att tillhandahålla samma tjänst eller bedriva samma verksamhet inom samma geografiska område på i allt väsentligt likvärdiga villkor.6
Vidare ska företag som anförtrotts att tillhandahålla tjänster av allmänt ekonomiskt intresse vara underkastade reglerna i fördragen, särskilt konkurrensreglerna, i den mån tillämpningen av dessa regler inte rättsligt eller i praktiken hindrar att de särskilda uppgifter som tilldelats dem fullgörs (artikel 106.2 FEUF). Bestämmelsen är riktad till verksamhet som bedrivs som företag. Sådana tjänster som inte skulle levereras av den privata marknaden av exempelvis ekonomiska skäl kan omfattas av bestämmelsen.7 Att ett företag ”anförtrotts” får utifrån enligt EU-domstolens praxis förstås som att det ska vara fråga om en tydlig skyldighet att tillhandahålla tjänsterna och att tillhandahållandet ska vara en följd av bestämmelser i författning eller ett myndighetsbeslut (jfr dom av den 12 februari 2008, BUPA m.fl. mot kom-
missionen, T-289/03, EU:T:2008:29, p. 181 där domstolen uttalar att
”den berörda aktören har anförtrotts ett uppdrag av allmänt ekonomiskt intresse genom en av en offentlig myndighet vidtagen åtgärd och att de aktuella skyldigheterna att tillhandahålla tjänster av allmänt ekonomiskt intresse klart definieras i denna” [vår kursivering]).
Medlemsstaterna har ett relativt omfattande utrymme för att själva definiera vad som utgör en tjänst av allmänt ekonomiskt intresse. Det följer dock av EU-domstolens praxis att vissa minimikriterier ska vara uppfylla. Utöver att uppdraget ska ha ”anförtrotts” företag på ett korrekt vis (jämför föregående avsnitt) så ska uppdraget vara ”samhällsomfattande och obligatoriskt” till sin karaktär (BUPA m.fl.
mot kommissionen, p. 172). Att uppdraget ska vara samhällsomfattande
6 Se Jones A. m.fl. (2016) Jones & Sufrin’s EU Competition Law Text, Cases and Materials, s. 591 f. med hänvisning till kommissionens direktiv 2002/77/EG av den 16 september 2002 om konkurrens på marknaderna för elektroniska kommunikationsnät och kommunikationstjänster, artikel 1.6. 7 Jfr Jones A. m.fl. (2016) Jones & Sufrin’s EU Competition Law Text, Cases and Materials, s. 622.
innebär inte att det måste fylla ett behov som är gemensamt för hela befolkningen eller tillhandahållas inom hela området (BUPA m.fl. mot
kommissionen, p. 186).8
EU-domstolen har uttalat rörande att uppdraget ska vara obligatoriskt till sin karaktär att de aktörer som har tilldelats uppdraget av allmänt ekonomiskt intresse genom en av en offentlig myndighet vidtagen åtgärd i princip ska vara skyldiga att tillhandahålla tjänsten på marknaden och iaktta de skyldigheter som reglerar tillhandahållandet av denna tjänst (BUPA m.fl. mot kommissionen, p. 188). Den tvingande karaktären hos ett uppdrag av allmänt ekonomiskt intresse förutsätter enligt EU-domstolens praxis dock inte att de offentliga myndigheterna ålägger den berörda aktören en skyldighet att tillhandahålla en tjänst med ett klart och på förhand fastställt innehåll, eller att aktören har en viss handlingsfrihet på marknaden, bland annat vad gäller innehållet i och prissättningen av de tjänster som aktören avser att tillhandahålla (BUPA m.fl. mot kommissionen, p. 189).
Bestämmelsen i artikel 106.2 FEUF är enbart tillämplig när en tillämpning av konkurrensreglerna omöjliggör utförandet av den uppgift som tilldelats (jfr domstolens dom av den 23 april 1991, Höfner
och Elser mot Macrotron, C-41/90, EU:C:1991:161, p. 24).
Avslutningsvis ges kommissionen en möjlighet att vidta åtgärder gentemot en medlemsstat för att säkerställa att bestämmelserna i artikel 106 följs (artikel 106.3 FEUF).
Den 1 november 2008 trädde en ny konkurrenslag i kraft och ersatte därmed 1993 års konkurrenslag. Den nu gällande konkurrenslagen bygger, liksom den tidigare, på EU:s konkurrensregler. Lagens regler utgår i huvudsak från den konkurrensrättsliga förbudsprincipen, som innebär att vissa konkurrensbegränsningar i sig är skadliga och därför ska vara förbjudna.
I lagen finns två centrala förbudsbestämmelser mot dels konkurrensbegränsande avtal, dels missbruk av dominerande ställning. Ut-
8 Domstolen uttalade vidare i p. 187 att ”[d]et förhållandet att de aktuella skyldigheterna att tillhandahålla tjänster av allmänt ekonomiskt intresse endast har ett begränsat geografiskt eller materiellt tillämpningsområde eller att en relativt begränsad grupp av användare drar fördel av de berörda tjänsterna medför inte med nödvändighet att det skall ifrågasättas att ett uppdrag av allmänt ekonomiskt intresse är samhällsomfattande i den mening som avses i gemenskapsrätten”.
över dessa två förbudsregler så finns av relevans för denna utredning en bestämmelse om konkurrensbegränsande offentlig säljverksamhet, som behandlas mer ingående i avsnitt 8.2.5 (den s.k. konfliktlösningsregeln). Konfliktlösningsregeln bygger till skillnad från de andra två förbuden på missbruksprincipen, det vill säga att ingripanden bara sker när ett konkurrensbegränsande beteende har bedömts få skadlig verkan i det enskilda fallet.
I konkurrensskadelagen (2016:964) finns bestämmelser om ersättning till följd av överträdelser av konkurrensrätten.
8.2.3. Konkurrensrättens tillämplighet
Företagsbegreppet
Konkurrensrätten gäller för företag
Det konkurrensrättsliga regelverket gäller enligt både unionsrätten och svensk rätt för all ekonomisk verksamhet som går ut på att erbjuda varor och tjänster i vid mening på en viss marknad. Reglerna gäller för sådan verksamhet som bedrivs som företag. I 1 kap. 5 § KL anges följaktligen att med företag avses en fysisk eller juridisk person som driver verksamhet av ekonomisk eller kommersiell natur, dock inte till den del verksamheten består i myndighetsutövning.
Av förarbetena till den svenska konkurrenslagstiftningen framgår bl.a. följande. Begreppet företag ska ha samma innebörd som i EUrätten. Det ska tolkas vidsträckt och omfattar i princip varje person som driver verksamhet av ekonomisk eller kommersiell natur som inte utgör myndighetsutövning. Det spelar ingen roll om verksamheten är inriktad på ekonomisk vinst eller inte, utan det avgörande är om någon form av ekonomisk eller kommersiell verksamhet bedrivs. Även statliga och kommunala organ som bedriver verksamhet av ekonomisk eller kommersiell natur räknas som företag av detta slag räknas som företag, utom när det är fråga om myndighetsutövning (prop. 1992/93:56, s. 66 f.).
Ekonomisk verksamhet
Enligt EU-domstolens praxis omfattar begreppet företag inom konkurrensrätten varje enhet som utövar ekonomisk verksamhet, oavsett enhetens rättsliga form och sättet för dess finansiering (Höfner och
Elser mot Macrotron p. 21).
Vidare framgår av domstolens praxis att all verksamhet som går ut på att erbjuda varor eller tjänster på en viss marknad utgör ekonomisk verksamhet samt att erbjuda tjänster mot betalning är verksamhet av ekonomisk art (dom av den 16 juni 1987, kommissionen
mot Italien, C-118/85, EU:C:1987:283, p. 7, dom av den 18 juni 1998, kommissionen mot Italien, C-35/96, EU:C:1998:303, p. 36–37). Det är
med andra ord på utbudssidan som fokus ligger vid bedömning av om en verksamhet är av ekonomisk art.
När det gäller verksamhet på inköpssidan så har EU-domstolen uttalat följande. Vid bedömningen av verksamhetens art finns inte någon anledning att särskilja den verksamhet som avser inköp av en produkt från den senare användningen av den produkt som köparen förvärvat, utan det är om den senare användningen av den köpta produkten är av ekonomisk karaktär eller inte som oundvikligen avgör inköpsverksamhetens art (dom av den 18 juli 2006, FENIN mot kom-
missionen, C-205/03, EU:C:2006:453, p. 26.).
Marknadsdomstolen har bedömt att två kommuner utgjorde företag när de köpte in nättjänster och elenergi till kommunernas gatu- och vägbelysning (frågan i målet rörde förhållandet mellan säljaren av nättjänster och elenergi respektive kommunerna). MD uttalade att i och med att kommunerna tillhandahåller Vägverket en belysningstjänst på den i målet relevanta marknaden, dvs. de bedriver ekonomisk verksamhet, blir även kommunernas inköp, såvitt avser de aktuella belysningspunkterna, att betrakta som ekonomisk verksamhet och företag (MD 2007:26).
Gränsdragningar inom offentlig verksamhet
EU-domstolen har i sin praxis uttalat att det går en grundläggande gräns mellan å ena sidan utövande av offentlig makt och å andra sidan ekonomisk verksamhet som innebär att varor eller tjänster erbjuds på en marknad. Bedömningen ska enligt domstolen göras i det enskilda fallet utifrån den aktivitet som utövas (kommissionen mot Italien,
C-118/85, p. 7). Det spelar ingen roll om verksamheten bedrivs i en separat juridisk person (kommissionen mot Italien, C-118/85, p. 11).
Domstolen har vidare uttalat att ett rättssubjekt, såsom till exempel en myndighet, kan anses utgöra ett företag med avseende på en del av verksamheten, om den delen av verksamheten ska kvalificeras som ekonomisk verksamhet (kommissionen mot Italien, C-118/85, p. 11).
Det framgår också av domstolens praxis att i den mån en myndighet bedriver en ekonomisk verksamhet som kan skiljas från dess myndighetsutövning, agerar myndigheten i egenskap av företag med avseende på den delen av verksamheten. Om den ekonomiska verksamheten i fråga inte kan skiljas från dess övriga verksamhet ska däremot hela myndighetens verksamhet anses vara knuten till utövandet av offentliga maktbefogenheter (kommissionen mot Italien, C-118/85, p. 11).
Offentlig verksamhet kan vara företag
EU-domstolen har i flera avgöranden tagit ställning till om en offentlig verksamhet utgör företag. I det följande berörs två avgöranden där domstolen gjort bedömningen att det varit fråga om ekonomisk verksamhet, trots att det rört sig om verksamhet som bedrivits i offentlig regi.
En av frågorna i Höfner och Elser mot Macatron gällde om det monopol i fråga om förmedling av chefer inom näringslivet som förbehållits en offentlig institution för sysselsättning utgjorde ett missbruk av en dominerande ställning enligt gemenskapsrätten. Domstolen konstaterade att arbetsförmedling är en ekonomisk verksamhet och uttalade bl.a. följande. Den omständigheten att arbetsförmedlingsverksamhet normalt överlämnas till offentliga institutioner kan inte inverka på verksamhetens ekonomiska karaktär. Arbetsförmedlingsverksamhet har inte alltid utövats av offentliga organisationer och behöver inte nödvändigtvis utövas av sådana organisationer (p. 22).
Domstolen gjorde i Ambulanz Glöckner (dom av den 25 oktober 2001, Ambulanz Glöckner, C475/99, EU:C:2001:577), som gällde sjuktransporttjänster, ett liknande konstaterande: Sådana tjänster hade inte alltid tillhandahållits och behövde inte nödvändigtvis tillhanda-
hållas av sjukvårdsorganisationer eller offentliga myndigheter, varför det bedömdes vara fråga om ekonomisk verksamhet (p. 20).
Offentlig maktutövning
EU-domstolen har uttalat att konkurrensreglerna inte ska tillämpas när en myndighet agerar i sin egenskap av just myndighet och i denna kapacitet utövar offentlig makt (dom av den 4 maj 1988, Corinne
Bodson v SA Pompes funèbres des régions libérées, C-30/87, EU:
C:1988:225, p. 18, se även dom av den 18 mars 1997, Calì & Figli
mot Servizi Ecologici Porto di Genova, C-343-95, EU:C:1997:160,
p. 16 och dom av den 12 juli 2012, Compass-Datenbank, C-138/11, EU:C:2012:449, p. 36 och där hänvisad praxis.).
I domstolens praxis har bl.a. beviljande av licenser för att utföra begravningstjänster (Corinne Bodson v SA Pompes funèbres des régions
libérées), övervakning av luftrum och upptagning av rutt-avgifter
(dom av den 19 januari 1994, SAT Fluggesellschaft mbH mot Euro-
control, C-364/92, EU:C:1994:7), miljötillsyn (Calì & Figli mot Servizi Ecologici Porto di Genova) och hållande av ett register över
företag enligt lagstadgad skyldighet (Compass-Datenbank) ansetts falla utanför konkurrensrättens tillämpningsområde på grund av att det inte varit fråga om ekonomisk verksamhet.
I Diego Calí & Figli, som gällde föroreningsövervakning, uttalade domstolen bl.a. följande. Den föroreningsövervakning som var föremål för prövning utgör en uppgift med syfte att tillgodose allmänintresset och hör till statens grundläggande uppgifter i fråga om skydd för havsmiljön (p. 22). Domstolen ansåg därmed att en sådan övervakningstjänst genom sin art, sitt syfte och de regler den var underkastad var nära förbunden med utövandet av befogenheter avseende miljöskydd vilka ”till sin karaktär typiskt sett utgör befogenheter för offentlig myndighetsutövning”. Det var därför inte fråga om verksamhet av en sådan ekonomisk karaktär som medförde att det var motiverat att tillämpa fördragets konkurrensregler på (p. 23).
I Compass-Datenbank var frågan om den verksamhet som en offentlig myndighet bedriver när den i en databas lagrar uppgifter vilka företag är skyldiga att anmäla enligt lag och låter intresserade personer ta del av dessa uppgifter och/eller lämnar ut pappersutskrifter med dessa uppgifter mot en avgift utgör sådan ekonomisk verksam-
het att myndigheten vid driften av denna verksamhet ska betraktas som ett företag. Domstolen uttalade bl.a. följande. Det förhållandet att en myndighet tillhandahåller en vara eller tjänst som ett led i dess myndighetsutövning mot en lagstadgad avgift och inte mot en av myndigheten direkt eller indirekt fastställd avgift, räcker inte i sig för att verksamheten ska kvalificeras som ekonomisk verksamhet eller att den myndighet som utövar verksamheten ska kvalificeras som företag (p. 39). En verksamhet som består i att lagra och tillgängliggöra uppgifter som insamlats med stöd av uppgiftsskyldighet till allmänheten, genom antingen en sökning på uppgifter eller genom att papperskopior av uppgifterna lämnas ut enligt gällande nationell rätt, ska inte heller den betraktas som ekonomisk verksamhet i den mån driften av databasen och tillgängliggörandet av dess uppgifter inte kan skiljas från insamlandet av dessa uppgifter (p. 41). Vidare uttalade domstolen, gällande uttag av avgifter för att ta del av uppgifter ur databasen, att i den mån de kostnader eller avgifter som tas ut för att tillgängliggöra uppgifterna i fråga för allmänheten inte fastställs direkt eller indirekt av den berörda myndigheten utan föreskrivs i lag, kan uttaget av en sådan avgift anses vara oskiljaktigt förbundet med tillgängliggörandet (p. 41). Det faktum att den offentliga myndigheten som tar ut avgifter av eller låter allmänheten stå för kostnaden för tillgängliggörandet av nämnda uppgifter är inte av den arten att det påverkar den rättsliga kvalificeringen av verksamheten, och verksamheten skulle därför inte anses utgöra en ekonomisk verksamhet (p. 41).
Ett funktionellt förhållningssätt
Det är tydligt att EU-domstolen i sin praxis antagit ett funktionellt förhållningssätt till företagsbegreppet och i sina bedömningar utgått från de faktiska omständigheter som kännetecknat den verksamhet som varit föremål för domstolens bedömning.9
De verksamheter som berörts ovan, som domstolen bedömt inte varit ekonomiska till sin natur utan ett uttryck för offentlig maktutövning, har kännetecknats av bl.a. att det varit fråga om verksam-
9 Domstolen uttalade t.ex. i Fluggesellschaft mbH mot Eurocontrol bl.a. följande: ”För att avgöra om Eurocontrols verksamhet är ett företag i den mening som avses i artiklarna 86 och 90 i fördraget måste man ta reda på vilket slag av verksamhet det är fråga om”, p. 19. Se även Jones A. m.fl. (2019) Jones and Sufrin’s EU Competition Law, s. 150 och E. Kloosterhuis (2017), Defining non-economic activities in competition Law i European Competition Journal, 13:1, 117–149, s. 123.
heter som i någon mån reglerats genom lag och bedrivits i allmänt intresse. De har, i den mån det inte varit fråga om myndighetsutövning, i alla fall varit nära förbundna med myndighetsutövning och legat nära statens ”kärnområde”, dvs. aktiviteter som typiskt sett utförs av det allmänna. Domstolen har också fäst avseende vid om de avgifter som tagits ut har fastställts av verksamhetsutövaren eller genom författning.
Åtgärder som är en följd av lag är undantagna från konkurrensrättens tillämpningsområde
Ibland uppstår effekter på konkurrensen som en följd av nationella lagbestämmelser, som exempelvis föreskriver ett visst förfarande. I dessa fall är det konkurrensbegränsande förfarandet inte en följd av en aktörs självständiga beteende, utan av nationell lagstiftning. Det följer av EU-domstolens praxis att konkurrensbestämmelserna i artikel 101 och 102 FEUF inte ska tillämpas i dessa situationer (se bl.a. dom den 14 oktober 2010, Deutsche Telekom mot kommissionen, C-280/08, EU:C:2010:603, p. 80). Detta utesluter dock inte att den nationella lagstiftningen i fråga strider mot en medlemsstats åtaganden gentemot unionen.10
Regeringen har uttalat bl.a. följande om konkurrenslagens tilllämplighet när konkurrenshämmande verkningar uppstår som ett resultat av en offentlig reglering. När riksdagen efter avvägning mellan olika allmänna intressen genom lag beslutat om offentliga regleringar som medför konkurrenshämmande verkningar kan den situationen uppkomma att konkurrenslagen inte alls ska tillämpas. Företagen kan då vara rättsligt förpliktade att handla på visst sätt. Konkurrensbegränsande avtal eller avtalsvillkor vilka sålunda inte ger uttryck för den fria partsviljan, utan är en direkt och avsedd effekt av lagstiftning eller en ofrånkomlig följd av denna, kan således inte angripas med stöd av konkurrenslagen (prop. 1992/93:56 s. 70).
En förutsättning för att ett förfarande ska undantas från konkurrensrättens tillämpningsområde är dock att den nationella regleringen inte lämnar något utrymme för en aktör att välja hur den ska agera. EU-domstolen uttalade bl.a. följande i Deutsche Telekom mot kommissionen: ”Enligt domstolens praxis är det endast om företagen åläggs
10 Se Jones A. m.fl., (2019) Jones and Sufrin’s EU Competition Law, s. 202, not 399 och där hänvisad praxis från EU-domstolen.
att agera på ett konkurrensbegränsande sätt i nationell lagstiftning, eller om denna lagstiftning ger upphov till ett rättsligt ramverk som
omöjliggör ett konkurrensmässigt beteende från företagens sida, som
artiklarna 81 EG och 82 EG inte är tillämpliga. Dessa bestämmelser utgår från att i en sådan situation orsakas inte konkurrensbegränsningen av företagens självständiga beteende. Däremot kan artiklarna 81 EG och 82 EG tillämpas om det visar sig att den nationella lagstiftningen ger utrymme för en konkurrens som kan hindras, begränsas eller snedvridas genom företagens självständiga beteende (dom av den 11 november 1997 i de förenade målen C-359/95 P och C-379/95 P,
kommissionen och Frankrike mot Ladbroke Racing, EU:C:1997:531,
p. 33 och 34 samt där angiven rättspraxis)” (p. 80, vår kursivering).
I flera fall som har prövats av EU-domstolen har företagen inte ansetts vara ålagda att handla på ett konkurrensbegränsande sätt eller saknat möjlighet att agera konkurrensmässigt och artikel 101 eller 102 FEUF har därför kunnat tillämpas.11
8.2.4. Förbudet mot konkurrensbegränsande samarbeten
Allmänt
Av 2 kap. 1 § KL följer att sådana avtal mellan företag som har till syfte eller resultat att hindra, begränsa eller snedvrida konkurrensen på marknaden på ett märkbart sätt är förbjudna. Förbudet i 2 kap. 1 § KL är endast tillämpligt på avtal mellan företag, och inte på ensidiga åtgärder som endast ett företag vidtar.
Ett samarbete som strider mot 2 kap. 1 § KL, och inte omfattas av något undantag, är således förbjudet. Konkurrensverket kan utfärda beslut och sanktioner för att upprätthålla förbudet. Om Konkurrensverket beslutar att inte ingripa mot ett påtalat konkurrensproblem i ett visst fall kan de företag som berörs av avtalet på egen hand väcka talan vid domstol för att få till stånd ett åläggande enligt 3 kap. 2 § KL.
11 Karlsson J. & Östman M., Konkurrensrätt – En handbok, (JUNO), under rubriken 6.2 Offentlig reglering och tillämpning av EU:s konkurrensregler, läst 2021-10-05.
Den ekonomiska enhetens princip
Förbudet mot konkurrensbegränsande samarbeten träffar enbart avtal mellan sinsemellan självständiga företag (se MD 2012:16 p. 124). Exempelvis anses normalt företag inom samma koncern tillhöra samma ekonomiska enhet, och ett avtal mellan ett moderbolag och ett dotterbolag är därför inte angripbart med stöd av 2 kap. 1 § KL. En förutsättning för att principen ska kunna tillämpas är dock att de inblandade företagen i praktiken inte har någon inbördes ekonomisk frihet (se prop. 1992/93:56 s. 86 och MD 1997:8).
MD har i ett mål som gällde en organisation med flera medlemsföreningar, mot bakgrund av att respektive medlemsförening hade sina egna stadgar, sin egen styrelse och sin egen ekonomi samt på egen hand bestämde i vilken utsträckning aktiviteter skulle arrangeras och hade möjligheten att begära utträde ur organisationen att de enskilda medlemsföreningarna inte var så osjälvständiga gentemot varandra och i förhållande till moderorganisationen, bedömt att den ekonomiska enhetens princip kunde tillämpas (MD 2012:16 p. 124).
Förfaranden inom en ekonomisk enhet kan alltjämt träffas av förbudet mot missbruk av dominerande ställning.12
8.2.5. Förbudet mot missbruk av dominerande ställning
Enligt 2 kap. 7 § KL är missbruk från ett eller flera företags sida av en dominerande ställning på marknaden förbjudet. Om ett företags agerande anses utgöra missbruk kan det ändå vara tillåtet om det förelegat objektivt godtagbara skäl för agerandet.
Förbudet i 2 kap. 7 § KL är, till skillnad från 2 kap. 1 § samma lag, tillämpligt på ett företags ensidiga agerande. På motsvarande sätt som för 2 kap. 1 § KL är ett missbruk förbjudet utan föregående beslut av Konkurrensverket eller domstol. Om Konkurrensverket beslutar att inte ingripa mot ett påtalat missbruk i ett visst fall kan de företag som berörs av förfarandet på egen hand väcka talan vid domstol för att få till stånd ett åläggande enligt 3 kap. 2 § KL.
12 Se Konkurrensverkets beslut i dnr 485/2005, i vilket verket fann att en enhet inom Banverket och Banverket utgjorde en gemensam ekonomisk enhet. Enligt beslutet kan ett förfarande som tillämpas inom samma ekonomiska enhet ha effekter på konkurrensen, varför förbudet mot missbruk av dominerande ställning ansågs tillämpligt.
8.2.6. Konkurrensbegränsande offentlig säljverksamhet
Inledning
I KL finns förbud mot konkurrensbegränsande samarbete (t.ex. karteller), missbruk av dominerande ställning och konkurrensbegränsande offentlig säljverksamhet. Alla förbuden kan teoretiskt drabba även offentliga aktörer som är aktiva på någon marknad. Bestämmelsen om konkurrensbegränsande offentlig säljverksamhet (konfliktlösningsregeln) gäller däremot bara offentliga aktörer och innebär att förfaranden och verksamheter i offentlig regi under vissa förutsättningar får förbjudas.
Förbuden mot konkurrensbegränsande avtal och missbruk av dominerande ställning är ständigt gällande mot var och en som träffas av dem, utan särskilt beslut om detta. Konfliktlösningsregeln utgör däremot en norm som enligt lagen får rättsverkan först då den sätts i tillämplighet genom ett särskilt beslut (prop. 2008/09:231, s. 46). Bestämmelsen benämns även konfliktlösningsregeln mot bakgrund av att den infördes för att komma till rätta med konkurrenssnedvridningar som kan uppstå när offentliga aktörer bedriver säljverksamhet i konkurrens med privata aktörer.
I förarbetena ges bl.a. följande motivering till bestämmelsens införande. Konkurrenssnedvridningar som följd av offentlig säljverksamhet har i allmänhet sin grund i att staten, kommunen eller landstinget kan bedriva sådan verksamhet utan några påtagliga risker för verksamhetens existens, eftersom dessa aktörer inte kan försättas i konkurs. Därmed verkar offentliga aktörer på marknaden under andra förutsättningar än vad privata företag gör (prop. 2008/09:231, s. 35).
Regelns materiella innehåll
Inledning
Konfliktlösningsregeln innebär att staten, en kommun eller en region får förbjudas att i en säljverksamhet som omfattas av 1 kap. 5 § första stycket KL (dvs. ”företag”) tillämpa ett visst förfarande, om förfarandet snedvrider, eller är ägnat att snedvrida, förutsättningarna för en effektiv konkurrens på marknaden, eller hämmar, eller är ägnat att hämma, förekomsten eller utvecklingen av en sådan konkurrens (3 kap. 27 § första stycket KL). Förbud får dock inte meddelas för
förfaranden som är försvarbara från allmän synpunkt (3 kap. 27 § andra stycket KL).
När det gäller kommuner och regioners säljverksamhet finns även en möjlighet att förbjuda säljverksamheten i sin helhet under samma förutsättningar som gäller för förfaranden. Förbud får dock inte meddelas om säljverksamheten är förenlig med lag.
För att konfliktlösningsregeln ska vara tillämplig måste det vara fråga om en säljverksamhet som utgör företag enligt definitionen i 1 kap. 5 § första stycket KL och som bedrivs i den juridiska personen staten, en kommun, en region eller i en särskild juridisk person i vilken staten, en kommun eller en region har ett dominerande inflytande.
Säljverksamhet
Företagsbegreppet i 1 kap. 5 § KL omfattar både inköps- och säljverksamhet varför förtydligande gjorts att 3 kap. 27 § KL endast omfattar säljverksamhet som består av utbud av varor eller tjänster i någon form, där även uthyrning ingår. Begreppet omfattar även försäljning eller uthyrning till andra offentliga aktörer. Däremot ingår inte inköp. Bestämmelsen i 3 kap. 27 § KL ska därför inte förväxlas med upphandlingsreglerna (prop. 2008/09:231 s. 34 ff.).
Förfarande
Med förfarande avses enligt författningskommentaren såväl ett faktiskt handlande som en underlåtenhet att vidta en viss åtgärd (prop. 2008/09:231, s. 57). I motiven till bestämmelsen anges som exempel på förfaranden av den offentlige aktören som kan omfattas av konfliktlösningsregeln förfaranden som innebär underprissättning, diskriminering, vägran att ge tillträde till viss infrastruktur eller som är selektiva. Det framhålls dock att varje fall måste prövas i sitt sammanhang (prop. 2008/09:231 s. 36).
Vid ett ensidigt agerande krävs inte att aktören har en dominerande ställning som vid tillämpningen av missbruksförbudet i 2 kap. 7 § KL. Konfliktlösningsregeln riktar sig mot varje offentlig aktör som agerar på ett sätt som äventyrar intresset av en effektiv konkur-
rens, oavsett om det sker i ett avtalsförhållande eller genom ett ensidigt handlande.13
Snedvridande eller hämmande av konkurrensen
Prövningen av en offentlig säljverksamhet ska ha sin utgångspunkt i beteendets långsiktiga verkningar på förutsättningarna för en effektiv konkurrens på den relevanta marknaden (se MD 2015:12 p. 60 och prop. 2008/09:231 s. 36 f.). Frågan är om konkurrenstrycket på marknaden ökar, eller är ägnat att öka, eller om det minskar, eller är ägnat att minska, genom det aktuella beteendet.
Konfliktlösningsregeln har som generell utgångspunkt att själva det offentliga inslaget i offentlig säljverksamhet i allmänhet kan vara ett ofrånkomligt och oundvikligt upphov till vissa marknadsstörningar, till följd av att det råder skilda grundförutsättningar i förhållande till privata företag. Bestämmelsen utgår således från att en grad av samband normalt finns mellan exempelvis offentligt ägande av aktören och dennes beteende på marknaden (prop. 2008/09:231, s. 35).
En grundförutsättning vid tillämpningen av konfliktlösningsregeln mellan offentliga och privata aktörer är förekomsten av, eller fara för, negativa effekter för konkurrensen. Regeln tar sikte på konkurrensbegränsningen som sådan, dvs. effekterna för själva konkurrensen. Den fråga som ska besvaras vid prövningen i det enskilda fallet är om det aktuella beteendet skadar drivkrafterna till konkurrens samt själva mekanismerna på marknadsplatsen (prop. 2008/09:231, s. 36).
Med snedvridning av konkurrensen avses situationer där det inte råder konkurrens på så lika villkor som möjligt, exempelvis som en följd av att en offentlig aktör behandlar andra företag lika utan saklig grund eller drar oberättigade fördelar av en myndighetsroll vid sidan av säljverksamheten (prop. 2008/09:231 s. 57). Med hämmande av konkurrensen avses situationer där privata alternativ faller bort eller att privata aktörer över huvud taget inte träder in på marknaden till följd av den offentlige aktörens förfarande. Det kan även vara så att de privata företagens tillväxt och utveckling i övrigt hejdas eller på annat sätt hålls tillbaka (prop. 2008/09:231 s. 57).
Det är effekterna av förfarandet eller säljverksamheten på konkurrensen på den relevanta marknaden som ska bedömas. Det inne-
13 Carlsson K. m.fl., Konkurrenslagen /2008:579/ 3 kap. 27 §, JUNO.
bär att en avgränsning behöver göras avseende dels produktmarknaden, dels den geografiska marknaden. I samma produktmarknad ingår bl.a. produkter som är inbördes utbytbara med hänsyn till egenskaper, pris, användning, konsumenters uppfattning och faktiska substitutionsmöjligheter. Den relevanta geografiska marknaden kan i sin tur vara område där de företag som utbjuder eller efterfrågar produkterna verkar, och i vilket konkurrensvillkoren är tillräckligt homogena för att området ska kunna särskiljas från näraliggande områden som har märkbart annorlunda konkurrensvillkor. Vid avgränsningen av den geografiska marknaden har bl.a. transportmöjligheter och transportkostnader betydelse (prop. 2008/09:231, s. 58).
Vid bedömningen av effekterna på konkurrensen så behöver ställning tas till om beteendet skadar drivkrafterna till konkurrens samt själva mekanismerna på marknadsplatsen. Prövningen tar sikte på beteendets långsiktiga verkningar på förutsättningarna för en effektiv konkurrens på den relevanta marknaden, inte vad som sker eller kan ske på kort sikt (prop. 2008/09:231, s. 36–37).
Om det framkommer att konkurrenstrycket minskar på grund av den offentliga aktörens agerande, föreligger en snedvridning eller ett hämmande av förutsättningarna för en effektiv konkurrens på marknaden. Ett sådant beteende omfattas av konfliktlösningsregeln och kan endast godtas om det tillgodoser några andra intressen som gör beteendet försvarbart från allmän synpunkt. Vissa beteenden kan också vara neutrala för konkurrensen på marknaden och bör därför inte omfattas av konfliktlösningsregeln (prop. 2008/09:231, s. 37).
Försvarbart från allmän synpunkt
I samband med införandet av konfliktslösningsregeln uttalade regeringen att en väsentlig utgångspunkt för förslaget var att det vid tilllämpningen av regeln måste vara möjligt att ta hänsyn till andra allmänna intressen än konkurrensintresset och att dessa allmänna intressen kan uppväga den konkurrenssnedvridning som beteendet kan ge upphov till (prop. 2008/09:231, s. 37). Beteenden som är försvarbara från allmän synpunkt ska alltså inte förbjudas med stöd av konfliktlösningsregeln.
Prövningen av om försvarbarhet föreligger ska göras med utgångspunkt i omständigheterna i det enskilda fallet. I specialmotiveringen
till bestämmelsen anges följande om ett förfarandes förenlighet med lag. Vid prövningen ska särskilt beaktas om förfarandet strider mot en lag, en annan författning eller något annat för staten, en kommun eller ett landsting bindande direktiv. Det kan vidare vara fråga om t.ex. ett regeringsbeslut utan samband med normgivning, samt en bolagsordning eller annat bindande ägardirektiv för en sådan juridisk person som avses i 3 kap. 28 §. Den principiella utgångspunkten är att ett förfarande som strider mot lag etc. saknar försvarbarhet från allmän synpunkt. Självfallet är det vidare så att om t.ex. en bolagsordning i sig är oförenlig med lag eller annan författning så kan denna inte åberopas till stöd för att ett visst förfarande är försvarbart (prop. 2008/09:231, s. 58).
När det gäller de allmänna intressen som kan motivera ett förfarande så uttalas bl.a. följande i förarbetena till bestämmelsen. Ibland kan en specialreglering ha till syfte att värna om särskilda intressen. De kan innebära att fri konkurrens inte ska gälla fullt ut på ett visst område, eller att speciella förutsättningar ska råda för konkurrensen på den aktuella marknaden. När ett beteende är en direkt och avsedd effekt av en specialreglering eller en ofrånkomlig följd av denna bör den inte omfattas av konfliktlösningsregeln. När så är fallet bör regeln alltså inte vara tillämplig (prop. 2008/09:231, s. 38).
Vidare uttalas att motiven för det konkurrenssnedvridande beteendet också bör vägas in i bedömningen, och om dessa i grunden är externa, eller i det väsentliga endast interna. Med externa behov avses vad som är det allmännas behov av att säljverksamheten bedrivs. Är motivet mer av intern karaktär, handlar det oftast om den offentlige aktörens egenintresse, exempelvis av att behålla personal. Externa motiv bör således kunna anses göra beteenden försvarbara. Interna motiv för ett konkurrenssnedvridande beteende bör däremot inte beaktas. När konkurrensintresset vägs mot ett belagt annat allmänt intresse, exempelvis ett kommunalt sådant, bör bl.a. beaktas om det föreligger någon annan väg att tillgodose det andra intresset än just det beteende som skadar konkurrensen. För det fall det finns andra möjligheter att tillgodose det allmänna intresset kan det aktuella beteendet inte anses försvarbart från allmän synpunkt (prop. 2008/09:231, s. 38).
Avslutningsvis anges att prövningen bör ha sin utgångspunkt i beteendets långsiktiga verkningar på förutsättningarna för en effektiv konkurrens på den relevanta marknaden, inte vad som sker på kort
sikt. Skadas konkurrensen, måste de skäl som åberopas för att låta beteendet fortgå ha en verklig tyngd och vara av en klart angelägen karaktär. Ju större skadorna för konkurrensen är, desto större styrka bör krävas i fråga om de nämnda skälen (prop. 2008/09:231, s. 38).
I praxis har skäl hänförliga till att vidmakthålla, utveckla och kontrollera kompetensnivån hos sin personal inte ansetts medföra att ett förfarande är försvarligt från allmän synpunkt (se MD 2014:1).
8.3. Upphandling
8.3.1. Inledning
Om ett köp omfattas av lagen (2016:1145) om offentlig upphandling (LOU) är utgångspunkten att tilldelning av kontrakt ska ske genom de förfaranden som regleras i den lagen, om inte något av de i lagen angivna undantagen är tillämpliga. Som huvudregel gäller med andra ord upphandlingsplikt vid sådana köp som omfattas av upphandlingsregleringen. Det finns flera lagar inom upphandlingsområdet, men principen om upphandlingsplikt är densamma inom samtliga regelverk.
Upphandling aktualiseras i huvudsakligen två hänseenden vid samordnad it-drift. För det första när en myndighet erhåller sin itdrift från en annan myndighet. Frågan uppkommer då om det är fråga om ett köp som omfattas av upphandlingsregleringen. För det andra så aktualiseras upphandlingsregleringen när en myndighet som tillhandahåller it-drift till andra myndigheter köper in utrustning, licenser och tjänster som ingår i eller ligger till grund för it-driften från en privat leverantör.
Det har fram till nyligen varit oklart om reglerna om offentlig upphandling ska tillämpas på köp mellan statliga myndigheter.14 Vad det i slutändan handlar om är om statliga myndigheter under EUrätten ska betraktas som sinsemellan fristående upphandlande myndigheter eller som en del av den upphandlande myndigheten staten. Efter ett avgörande i HFD får rättsläget anses klarlagt, i alla fall ur ett nationellt perspektiv.
14 För en översiktlig framställning av vilka olika bedömningar som gjorts av frågan, se Rosén Andersson H. m.fl. Lagen om offentlig upphandling En kommentar, Norstedts juridik 2020, kommentaren till 1 kap. 22 §.
Mot bakgrund av den osäkerhet som rått och den betydelse som frågan om upphandlingsplikt vid köp mellan statliga myndigheter har haft inom statlig verksamhet och att det enligt våra direktiv ingår att analysera hur statligt tillhandahållen it-drift förhåller sig till regelverken om offentlig upphandling så ser vi anledning att redovisa vår analys – och inte enbart slutsatserna – av hur statligt tillhandahållen it-drift förhåller sig till upphandlingsregleringen i detta kapitel.
I detta avsnitt kommer därför frågan om upphandlingsplikt vid köp mellan statliga myndigheter att belysas.
8.3.2. Upphandlingsregleringen
Det svenska upphandlingsregelverket utgår från ett antal EU-direktiv som reglerar anskaffning av varor och tjänster inom olika sektorer. Direktiven har genomförts i svensk rätt genom flera författningar, som berörs härnäst.
Lagen om offentlig upphandling gäller för upphandlande myndigheters anskaffning av varor, tjänster eller byggentreprenader (1 kap. 2 § LOU). Genom lagen genomförs Europaparlamentets och rådets direktiv 2014/24/EU av den 26 februari 2014 om offentlig upphandling och om upphävande av direktiv 2004/18/EG (upphandlingsdirektivet).
Inom områdena vatten, energi, transporter eller posttjänster tilllämpas lagen (2016:1146) om upphandling inom försörjningssektorerna (LUF) (1 kap. 2 § LUF). Lagen genomför Europaparlamentets och rådets direktiv 2014/25/EU av den 26 februari 2014 om upphandling av enheter som är verksamma på områdena vatten, energi, transporter och posttjänster och om upphävande av direktiv 2004/17/EG.
Vid upphandling av koncessioner tillämpas lagen (2016:1147) om upphandling av koncessioner (LUK) (1 kap. 2 § LUK). Genom lagen genomförs Europaparlamentets och rådets direktiv 2014/23/EU av den 26 februari 2014 om tilldelning av koncessioner.
Inom försvars- och säkerhetsområdet tillämpas lagen (2011:1029) om upphandling på försvars- och säkerhetsområdet (LUFS) vid upphandling av militär utrustning, utrustning av känslig karaktär samt vissa byggentreprenader, varor och tjänster som antingen hänför sig till sådan utrustning, eller som är avsedda för militära syften eller är av känslig karaktär (2 kap. 1 § LUFS). Lagen genomför huvudsak-
ligen Europaparlamentets och rådets direktiv 2009/81/EG av den 13 juli 2009 om samordning av förfarandena vid tilldelning av vissa kontrakt för byggentreprenader, varor och tjänster av upphandlande myndigheter och enheter på försvars- och säkerhetsområdet och om ändring av direktiven 2004/17/EG och 2004/18/EG.
Utgångspunkten för den följande framställningen är LOU, eftersom det är den lag som gäller för alla myndigheter inom den offentliga förvaltningen. När det gäller vissa verksamheter och anskaffning av vissa varor eller tjänster så kan även LUF och LUFS aktualiseras. Upphandlingsplikt är dock utgångspunkten för samtliga regelverk. Innebörden av de centrala begreppen upphandling, kontrakt och upphandlande myndighet är också densamma för samtliga regelverk.
8.3.3. Köp mellan statliga myndigheter
Bakgrund
Frågan om skyldigheten att upphandla vid köp mellan statliga myndigheter fick förnyad kraft i och med ett avgörande från Kammarrätten i Stockholm, där domstolen bedömde att den av Riksarkivet tillhandahållna tjänsten att digitalisera dagstidningar för Kungliga bibliotekets räkning borde ha varit föremål för upphandling (Kammarrätten i Stockholms dom den 21 juni 2017 i mål nr 7355-16). Som skäl för sin bedömning angav kammarrätten bl.a. följande. Den omständigheten att de båda myndigheterna är del av den juridiska personen staten medför inte automatiskt att överenskommelsen mellan myndigheterna inte kan utgöra ett kontrakt enligt LOU. De båda myndigheterna tillhör olika departement, har olika budget, olika regleringsbrev och olika myndighetsinstruktioner, varför de måste betraktas som formellt fristående från varandra. Överenskommelsen uppfyller därför förutsättningarna för att vara ett kontrakt, och LOU är därmed tillämplig.
I kölvattnet av kammarrättens avgörande publicerade Konkurrensverket ett rättsligt ställningstagande om anskaffningar mellan statliga myndigheter.15 I ställningstagande gör Konkurrensverket bedömningen att anskaffningar mellan statliga myndigheter inte omfattas av upphandlingslagstiftningen om de båda myndigheterna ingår i samma
15 Konkurrensverkets ställningstagande Omfattas en statlig myndighets anskaffningar från en
annan statlig myndighet av upphandlingsskyldighet? 2018:1, 2018-12-19.
juridiska person. Detta beror på att det inte uppstår något upphandlingspliktigt kontrakt, eftersom det inte kan uppstå rättsligt bindande skyldigheter av ömsesidig karaktär mellan två sådana myndigheter.
Även om Konkurrensverkets ställningstagande bidrog till ett klargörande av frågan om upphandlingsplikt vid köp mellan statliga myndigheter så har rättsläget även efter ställningstagandet präglats av viss osäkerhet.
Tillämpningsområdet och upphandlingsdefinitionen
LOU ska enligt 1 kap. 2 § tillämpas av upphandlande myndigheter vid upphandling. Med upphandling avses enligt samma lagrum ”åtgärder som vidtas i syfte att anskaffa varor, tjänster eller byggentreprenader genom tilldelning av kontrakt”.
Definitionen av upphandling regleras i artikel 1.2 upphandlingsdirektivet. Där anges att med upphandling avses en eller flera upphandlande myndigheters anskaffning genom ett offentligt kontrakt av byggentreprenader, varor eller tjänster från ekonomiska aktörer som utvalts av dessa upphandlande myndigheter oberoende av om byggentreprenaderna, varorna eller tjänsterna är avsedda för ett offentligt ändamål eller inte.
Av specialmotiveringen till 1 kap. 2 § LOU framgår bl.a. följande. Begreppet anskaffa ska förstås i vid mening som att få tillgång till fördelarna av varorna, tjänsterna eller byggentreprenaderna, vilket inte nödvändigtvis kräver att äganderätten överlåts. Även hyra omfattas således. Vidare brukar inte enbart finansieringen, särskilt genom bidrag, av en verksamhet, som ofta är knuten till skyldigheten att återbetala de mottagna beloppen om de inte används för de avsedda ändamålen, omfattas av reglerna om offentlig upphandling (se skäl 4 i upphandlingsdirektivet). Det måste alltså röra sig om mer än bara en utbetalning av allmänna medel. Det är fråga om upphandling i de fall en leverantör, i utbyte mot ersättning, tillhandahåller varor, tjänster eller byggentreprenader som är av direkt ekonomiskt intresse för den upphandlande myndigheten (se t.ex. EU-domstolens dom av den 25 mars 2010, Helmut Müller, C-451/08, EU:C:2010:168, p. 49) (prop. 2015/16:195, s. 933).
När det gäller tilldelning av kontrakt sägs bl.a. följande i specialmotiveringen. Vad som avses med termen tilldelning av kontrakt
definieras inte i upphandlingsdirektivet. Med tilldelning av kontrakt avses i detta sammanhang myndighetens eller enhetens beslut i fråga om val av leverantör. För att det ska vara fråga om upphandling krävs det alltså ett inslag av selektivitet, dvs. att en eller flera leverantörer väljs ut av den upphandlande myndigheten (prop. 2015/16:195 s. 933 f.).
Avslutningsvis förtydligas i specialmotiveringen att det är fråga om upphandling oavsett om det som anskaffas är avsett för ett offentligt ändamål eller inte, med en hänvisning till upphandlingsdefinitionen i upphandlingsdirektivet. Skälet till anskaffningen är således inte avgörande för om det är fråga om upphandling eller inte. Det saknar även betydelse om leverantörens motprestation kommer den upphandlande myndigheten eller tredje man till godo (prop. 2015/16:195 s. 934).
En sista, central del i upphandlingsdefinitionen avser innebörden av ”kontrakt”. LOU utgår från förutsättningen att en upphandling normalt avslutas genom ett kontrakt. Därför ingår också tilldelning av kontrakt som ett centralt moment i den beskrivande definitionen av vad som avses med upphandling. Detta begrepp behandlas under en separat rubrik nedan.
Leverantör och ekonomisk aktör
I upphandlingsdirektivet används begreppet ekonomisk aktör, som i svensk rätt ersatts med begreppet leverantör (jfr 2015/16:195 s. 942 och prop. 2006/07:128 s. 302). Med leverantör avses enligt LOU den som på marknaden tillhandahåller varor eller tjänster eller utför byggentreprenader (1 kap. 16 § LOU).
I upphandlingsdirektivet finns inte någon definition av vad som avses med ekonomisk aktör. Av EU-domstolens praxis framgår dock att det saknar betydelse om en anbudsgivare huvudsakligen bedriver verksamhet i syfte att skapa vinst, är organiserad som ett företag eller är stadigvarande verksam på marknaden. Begreppet ekonomisk aktör omfattar även offentliga enheter (jfr dom av den 23 december 2009,
CoNISMa, C-305/08, EU:C:2009:807, p. 30, 35 och 45).
EU-domstolen har uttalat att en restriktiv tolkning av begreppet ekonomisk aktör skulle få till följd att de kontrakt som sluts mellan upphandlande myndigheter och organ som inte huvudsakligen bedriver verksamhet i syfte att skapa vinst inte skulle ha ansetts utgöra offentliga kontrakt, och att de upphandlande myndigheterna därmed
skulle kunna tilldela dem efter ömsesidig överenskommelse avseende likabehandling och insyn, i strid med syftet med dessa överenskommelser (CoNISMa, p. 43). Av skäl 14 i upphandlingsdirektivet framgår dessutom att begreppet ekonomisk aktör bör ges en vid tolkning. Detsamma gäller därmed begreppet leverantör i LOU (jfr prop. 2015/16:195 s. 942).
Upphandlande myndighet och separata operativa enheter
Med upphandlande myndighet avses en statlig eller kommunal myndighet (1 kap. 22 § LOU).
Enligt upphandlingsdirektivet avses med upphandlande myndighet ”statliga, regionala eller lokala myndigheter, offentligrättsliga organ eller sammanslutningar av en eller flera sådana myndigheter eller ett eller flera sådana organ” (artikel 2.1). Definitionen av upphandlande myndighet i direktivet innehåller ingen hänvisning till nationell rätt. Det innebär att de begrepp som används i direktivbestämmelsen som utgångspunkt är unionsbegrepp som ska ges en unionsrättslig tolkning (se t.ex. EU-domstolens dom av den 27 februari 2003, Adolf
Truley, C-373/00, EU:C:2003:110, p. 35). Den svenska bestämmelsen
ska sedan så långt det är möjligt tolkas i ljuset av direktivbestämmelsen.
Frågan är om en del av en offentlig juridisk person kan utgöra en egen upphandlande myndighet i lagens mening. Det finns flera bestämmelser i LOU som rör avgränsningen av en upphandlande myndighet. Vid beräkning av tröskelvärden gäller exempelvis att om en upphandlande myndighet består av separata operativa enheter, ska värdet av en upphandling uppskattas till det samlade värdet för alla sådana enheter. Värdet får dock uppskattas särskilt för en sådan enhet, om den ansvarar självständigt för sin upphandling eller för vissa kategorier av upphandlingar (5 kap. 4 § LOU).
I upphandlingsdirektivet anges att om en upphandlande myndighet består av ett antal separata operativa enheter ska som utgångspunkt det uppskattade totala värdet för alla enskilda operativa enheter beaktas. Värdena får dock uppskattas för den berörda separata operativa enheten under förutsättning att denna självständigt ansvarar för sin upphandling (artikel 5.2).
När det gäller upphandlingsskadeavgift ska särskild hänsyn tas till hur allvarlig överträdelsen är (21 kap. 5 § LOU). I specialmotiveringen
till bestämmelsen hänvisas till specialmotiveringen i motsvarande bestämmelse i den numera upphävda lagen (2007:1091) om offentlig upphandling där det bl.a. uttalas att upprepade överträdelser bör ses som en försvårande omständighet (prop. 2009/10:180 s. 370).
Kontrakt
Med kontrakt avses i LOU ett skriftligt avtal med ekonomiska villkor som ingås mellan en eller flera upphandlande myndigheter och en eller flera leverantörer, och avser leverans av varor, tillhandahållande av tjänster eller utförande av byggentreprenad (1 kap. 15 §).
I direktivet används begreppet ”offentligt kontrakt” som enligt definitionen avser ”ett skriftligt kontrakt med ekonomiska villkor som ingås mellan en eller flera ekonomiska aktörer och en eller flera upphandlande myndigheter och som avser utförande av byggentreprenad, leverans av varor eller tillhandahållande av tjänster” (artikel 2.1).
Av specialmotiveringen till bestämmelsen i LOU framgår att det saknar betydelse om leverantören själv är en upphandlande myndighet (jfr EU-domstolens dom av den 18 november 1999, Teckal, C-107/98, EU:C:1999:562, p. 51) (prop. 2015/16:195 s. 941). Av förarbetena framgår vidare att definitionen av vad som utgör ett kontrakt i direktivens mening är en EU-rättslig fråga och att enligt EUdomstolens praxis är den rättsliga kvalificeringen av ett avtal i medlemsstaternas rätt inte relevant för att avgöra huruvida detta omfattas av tillämpningsområdet för upphandlingsdirektiven (se dom av den 18 januari 2007, Auroux m.fl., C-220/05, EU:C:2007:31, särskilt p. 40, och dom av den 18 december 2007, Asociación Profesional de Empresas
de Reparto y Manipulado de Correspondencia, C-220/06, EU:C:
2007:815, särskilt p. 50) (prop. 2015/16:195 s. 319).
I LOU används begreppet kontrakt till skillnad från direktivets begrepp offentligt kontrakt. Någon skillnad i sak är inte avsedd (prop. 2015/16:195 s. 320). I direktivet används även enbart begreppet kontrakt på vissa ställen. EU-domstolen har uttalat att begreppet kontrakt enbart är en kortform av begreppet offentligt kontrakt och att det inte finns någon skillnad mellan dessa (dom av den 28 maj 2020, Informatikgesellschaft für Software-Entwicklung, C-796/18, EU: C:2020:395, p. 29, 31).
Vid bedömningen av om en transaktion ska anses utgöra tilldelning av ett kontrakt så ska en helhetsbedömning göras av transaktionen, med beaktande av dess syfte (se bl.a. EU-domstolens dom av den 21 december 2016, Remondis, C-51/15, EU:C:2016:985, p. 37).
EU-domstolen har i sin praxis uttalat att det, för att vara ett kontrakt i upphandlingsrättslig mening, ska vara fråga om prestation mot vederlag, där prestationen är av direkt ekonomiskt intresse för den upphandlande myndigheten (se bl.a. Helmut Muller, p. 47–49 och dom av den 18 oktober 2018, IBA Molecular Italy, C-606/17, EU:C:2018:843, p. 28). Domstolen har vidare uttalat att en väsentlig del av begreppet offentligt kontrakt är att det uppstår rättsligt bindande skyldigheter av ömsesidigt bindande karaktär (Remondis, p. 43). Eftersom de skyldigheter som följer av kontraktet är rättsligt bindande måste deras fullgörande kunna åberopas inför domstol. På grund av att medlemsstaterna har självbestämmanderätt i processuella frågor, regleras villkoren för fullgörandet av dessa skyldigheter i nationell rätt (Helmut Muller, p. 62).
Befogenhetsöverföringar
EU:s beslutsmakt är föremål för flera begränsningar. En sådan begränsning är principen om tilldelade befogenheter, som innebär att unionen endast får fatta beslut om sådant som omfattas av den kompetens som medlemsstaterna överlåtit till unionen (artikel 5.1 fördraget om Europeiska unionen) (FEU). En annan princip som unionen har att förhålla sig till i sin maktutövning innebär att unionen ska respektera medlemsstaternas nationella identitet, såsom regionalt självstyre och nationell säkerhet (artikel 4.2 FEU). En medlemsstats åtgärder som vidtas inom ramen för artikel 4.2 FEU omfattas med andra ord inte av den unionsrättsliga upphandlingsregleringen.
EU-domstolen har i sin praxis i frågan om vad som utgör ett offentligt kontrakt i upphandlingsrättslig mening gjort en åtskillnad mellan å ena sida vad som utgör ett offentligt kontrakt och å andra sidan en intern befogenhetsöverföring (se bl.a. Remondis och dom av den 18 juni 2020, Porin kaupunki, C-328/19, EU:C:2020:483). Domstolen har rörande innebörden av artikel 4.2 FEU bl.a. uttalat att artikeln även skyddar en omorganisation av befogenhetsfördelningen inom en medlemsstat. Sådana omorganisationer kännetecknas
av att de medför att en myndighet som tidigare hade vissa befogenheter blir fråntagen eller avsäger sig skyldigheten eller rättigheten att utföra ett visst allmännyttigt uppdrag, samtidigt som en annan myndighet i stället ges denna skyldighet eller rättighet (Remondis, p. 41). Den myndighet som befrias från befogenheter som den tidigare haft har därför inte (längre) något ekonomiskt intresse av att uppgifter som omfattas av befogenheterna utförs (Remondis, p. 44). Överföringen av medel till en annan myndighet ska inte anses utgöra betalning, utan en logisk följd av ”den frivilliga eller påtvingade omfördelningen av befogenheter från den ena myndigheten till den andra” (Remondis, p. 45).
För att det ska vara fråga om en åtgärd som rör den interna organisationen, närmare bestämt en överföring av befogenheter mellan myndigheter, som därför omfattas av den frihet som medlemsstaterna säkerställs enligt artikel 4.2 FEU måste vissa villkor vara uppfyllda (Remondis, p. 48). Överföringen ska inte avse enbart det ansvar som de överförda befogenheterna medför, utan även avse den offentliga makt som följer därav. Det organ som befogenheterna överförs till ska således ha all makt som krävs för att utföra de uppdrag som befogenheterna omfattar. Organet ska ha makt att fastställa regelverket och de närmare bestämmelserna för fullgörandet av uppdraget och vara ekonomiskt självständigt, så att det kan säkerställa finansieringen av uppdragen. Så är inte fallet om den myndighet som ursprungligen hade befogenheterna behåller det huvudsakliga ansvaret för uppdragen, om den myndigheten har den ekonomiska kontrollen över dem eller om samma myndighet på förhand ska godkänna de beslut som det organ som tilldelats befogenheterna ska anta (Remondis, p. 49).
Praxis från svenska domstolar i mål om upphandling där den upphandlande enheten varit del av en juridisk person där flera myndigheter ingår
Högsta domstolen har i ett mål som rörde begäran om skadestånd till följd av en avbruten upphandling uttalat bl.a. följande om bedömningen av om det är fråga om ett upphandlingspliktigt kontrakt eller s.k. egenregiverksamhet. Det har i skilda sammanhang efter lagens tillkomst antagits att det inte innebär upphandling i lagens mening, om en enhet beställer varor eller tjänster från en annan enhet som
ingår i samma juridiska person (se t.ex. SOU 1999:139 s. 71). Huruvida ett sådant antagande i alla lägen är hållbart kan vara föremål för diskussion. När det gäller offentlig verksamhet kan stundom även avtal träffade inom samma juridiska person tänkas ha viss civilrättslig betydelse. Det kan i andra fall tänkas att enheterna är så fristående i förhållande till varandra att ett köp eller någon liknande transaktion dem emellan inte rimligen kan karakteriseras som ett uttryck för egenregiverksamhet utan bör falla in under upphandlingsbegreppet (NJA 2001 s. 3).
Högsta förvaltningsdomstolen (HFD) har i ett avgörande från 2017 tagit ställning till om det funnits skäl att frångå kravet på annonsering med stöd av bestämmelsen om synnerlig brådska när en organisationsutredning hade underlåtit att annonsera en upphandling av konsultstöd som skulle kunna användas av en ny myndighet under den första tiden efter att verksamheten inletts. En fråga i målet var vilken myndighet som skulle påföras avgiften, eftersom organisationsutredningen inte längre fanns kvar vid tidpunkten för beslutet om upphandlingsskadeavgift. HFD uttalade bl.a. att en utgångspunkt för bedömningen är att staten är ett rättssubjekt (HFD 2017 ref. 66).
HFD har i ett avgörande från 2018 tagit ställning till frågan om det vid bedömningen av storleken på den upphandlingsskadeavgift som ska betalas på grund av att en kommunal nämnd har genomfört en otillåten direktupphandling är en försvårande omständighet att en annan nämnd i samma kommun tidigare har gjort sig skyldig till en sådan överträdelse. Domstolen konstaterade att om de båda nämnderna ska anses vara delar av en och samma upphandlande myndighet, dvs. den ifrågavarande kommunen, så fanns grund för att beakta en annan nämnds tidigare överträdelse när avgiften för den direktupphandlande nämndens överträdelse bestäms. Därefter konstaterade domstolen att en kommunal nämnd kan vara en upphandlande myndighet, under förutsättning att nämnden genomför sina upphandlingar självständigt i förhållande till kommunen. Domstolen gjorde bedömningen att nämnden som genomfört den ifrågavarande direktupphandlingen hade agerat självständigt och därför var en (egen) upphandlande myndighet, varför den andra nämndens överträdelser inte skulle beaktas vid bedömningen av upphandlingsskadeavgiftens storlek (HFD 2018 ref. 67). Det kan tilläggas att de både nämnderna var del av samma juridiska person (Stockholms stad).
HFD har nyligen avgjort ett mål om rätt till överprövning enligt LOU. Umeå universitet ansökte om överprövning av Socialstyrelsens beslut att tilldela ett uppdrag till annan sökande. Förvaltningsrättens avgörande får förstås som att domstolen bedömde att LOU inte är tillämplig på den aktuella tilldelningen och att rätt till överprövning därmed saknades, varför universitets talan avvisades. Förvaltningsrätten anförde som skäl för sitt avgörande bl.a. att det inte var fråga om ett kontrakt i upphandlingsrättslig mening. Kammarrätten konstaterade däremot att den centrala frågan för rätten till överprövning är om den som ansökt om överprövning är att betrakta som leverantör i LOU:s mening. Eftersom så bedömdes vara fallet upphävde kammarrätten förvaltningsrättens beslut och återförvisade målet för prövning i sak. HFD gjorde bedömningen att det upphandlingsrättsliga regelverket inte är tillämpligt på relationen mellan Socialstyrelsen och Umeå universitet och att någon talerätt därför inte föreligger. Skälen för detta är att de båda myndigheterna ingår i samma juridiska person – staten – och att det därför inte kan uppkomma rättsligt bindande skyldigheter vars fullgörande går att uppnå genom rättsliga åtgärder (HFD 2021 ref. 35).
8.3.4. Är upphandlingsregleringen tillämplig när en statlig myndighet erhåller samordnad it-drift från en annan statlig myndighet?
Såsom redogjorts för i det föregående har rättsläget avseende upphandlingsregelverkets tillämpning på köp mellan statliga myndigheter inte varit helt klarlagt. Eftersom LOU bygger på EU-lagstiftning är det i slutändan EU-domstolen som avgör hur regelverket ska tolkas och EU-domstolen brukar i sin praxis anlägga ett funktionellt synsätt, i det här fallet innebärande att om en åtgärd fyller funktionen av ett kontrakt och det finns skäl att tillämpa upphandlingsregleringen utifrån syftet med bestämmelserna så skulle EU-domstolen sannolikt göra det.
HFD har i ett nyligen avgjort mål tagit ställning till den nu aktuella frågeställningen och på så vis skapat ett tydligare rättsläge. Frågan om upphandlingsregleringens tillämplighet på köp mellan två enheter som ingår i samma juridiska person har dock aldrig varit föremål för EU-domstolens prövning. HFD begärde inte heller något förhands-
avgörande från EU-domstolen inom ramen för handläggningen av det nyligen avgjorda målet.
I det följande förs resonemang kring tolkningen av EU-domstolens avgörande i Remondis, där EU-domstolen gjort uttalanden som anförts som stöd för att det inte kan uppstå ett upphandlingspliktigt kontrakt vid köp mellan statliga myndigheter. Vidare analyseras hur begreppen upphandlande myndighet, upphandlande enhet och ekonomisk aktör förhåller sig till kravet på att kontrakt ingås mellan sinsemellan fristående parter. Därefter förs resonemang kring EU-domstolens doktrin om befogenhetsöverföringar och gränserna för EU-rättens tillämplighet. Syftet med dessa delar är att sätta frågan om upphandlingsregleringens tillämplighet på köp mellan enheter inom samma juridiska person i ett EU-rättsligt sammanhang. Avslutningsvis analyseras rättsläget i ljuset av det nyligen meddelade avgörandet från HFD.
Analys av EU-domstolens avgörande i målet Remondis
Målet rörde en omorganisation i delstaten Niedersachsen, Tyskland, där Hannover stad och regionen Hannover bildade ett offentligrättsligt organ i form av kommunalförbund och överförde vissa uppgifter till förbundet, bl.a. avseende avfallshantering.
Remondis GmbH & Co. KG Region Nord (Remondis) invände att bildandet av kommunalförbundet och överföringen av uppgifter utgjorde ett offentligt kontrakt eftersom det var fråga om fristående parter, och att tilldelning borde ha skett genom upphandling då undantaget för intern upphandling (i enlighet med den praxis som bildats med utgångspunkt i Teckal) inte var tillämpligt eftersom kommunalförbundet inte bedrev huvuddelen av sin verksamhet tillsammans med de myndigheter som bildat förbundet.
Regionen Hannover och kommunalförbundet ansåg å sin sida att bildandet av kommunalförbundet och överföringen av befogenheter till förbundet inte omfattades av tillämpningsområdet för bestämmelserna om offentlig upphandling eftersom befogenhetsöverföringen grundade sig på ett stadgeenligt beslut och inte ett avtal eller en administrativ överenskommelse.
Det förefaller ostridigt att överföringen av uppgifter skett mellan två parter som sinsemellan varit fristående på ett sådant sätt att de
kunnat ingå ett offentligt kontrakt i upphandlingsrättslig mening. Domstolen uttalade också att ”en väsentlig del av begreppet offentligt kontrakt är att det uppstår rättsligt bindande skyldigheter av ömsesidigt bindande karaktär”. Domstolen har i ett tidigare mål dessutom uttalat att det måste vara fråga om en skyldighet vars fullgörande kan åberopas inför domstol i enlighet med de villkor som uppställs i den nationella rätten (se Helmut Müller, p. 62). Domstolen lämnar i målet ingen närmare vägledning avseende vad innebörden av rättsligt bindande skyldigheter som kan åberopas inför domstol är. Domstolen har dock tidigare uttalat att eftersom det inte föreskrivs några bestämmelser i unionsrätten om åberopande av kontraktuella rättsligt bindande skyldigheter inför domstol och med beaktande av principen om medlemsstaternas självbestämmanderätt i processuella frågor, regleras villkoren för fullgörandet av dessa skyldigheter av nationell rätt (Helmut Müller, p. 62).
I Sverige anses statliga myndigheter sakna egen rättskapacitet eftersom de alla ingår i samma juridiska person – staten. Två myndigheter som är oense om innebörden av en träffad överenskommelse kan därför inte vända sig till allmän domstol för att t.ex. utverka en exekutionstitel om skyldigheter att fullgöra betalning inte uppfylls. Tvister mellan statliga myndigheter löses i sista hand, om samsyn inte kan nås mellan berörda myndigheter, av regeringen. Inom förvaltningsrätten finns dock flera exempel på att en statlig myndighet kan överklaga en annan statlig myndighets beslut, exempelvis inom dataskyddsområdet.
Det är sammanfattningsvis oklart om kravet på att skyldigheter till följd av ett offentligt kontrakt ska kunna åberopas inför domstol är uppfyllt genom möjligheten till prövning av regeringen som sista instans, men det kan inte uteslutas att denna möjlighet är tillräcklig. Det är dock inte denna fråga som är föremål för EU-domstolens prövning i Remondis. Vad domstolen prövar är om de åtgärder som vidtagits av regionen Hannover och kommunalförbundet överhuvudtaget regleras av unionsrätten. Det skulle kunna vara ett skäl för viss försiktighet i bedömningen av vilken vikt som bör läggas vid domstolens uttalanden om innebörden av ett kontrakt när det är fråga om två statliga myndigheter, eftersom det inte är en helt jämförbar situation med den som var föremål för domstolens prövning i Remondis.
Hur förhåller sig upphandlande myndighet, upphandlande enhet och ekonomisk aktör till kravet på att kontrakt ingås av sinsemellan fristående parter?
När det gäller begreppet upphandlande myndighet så har de fall som prövats av EU-domstolen rört frågan om ett visst organ över huvud taget faller in under upphandlingsdirektivets tillämpningsområde. Domstolen har då uttalat att för att direktivets syften ska uppnås så ska definitionen av upphandlande myndighet tolkas funktionellt och ges en stor räckvidd (se t.ex. dom av den 5 oktober 2017, LitSpecMet, C-567/15, EU:C:2017:736, p. 31). Däremot har domstolen inte haft anledning att ta ställning till om det för direktivregleringens tillämplighet har någon betydelse om ett visst organ ska anses vara en egen upphandlande myndighet eller en del av en större upphandlande myndighet.
HFD har i sammanhanget uttalat bl.a. följande. Myndighetsstrukturen varierar mellan medlemsstaterna och det finns inte något enhetligt myndighetsbegrepp inom EU. Detta talar för att frågan om en viss del av den offentliga sektorn ska anses utgöra en enda eller flera upphandlande myndigheter som utgångspunkt är något som får avgöras av den nationella rätten. Medlemsstaterna kan dock inte anses ha total frihet att bestämma hur denna indelning ska göras. Om indelningen sker på ett sätt som motverkar upphandlingsregleringens ändamålsenliga verkan, och är till men för de rättigheter för enskilda som följer av denna reglering, så kan indelningen komma i konflikt med direktivet (jfr EU-domstolens dom av den 12 december 2002,
Universale-Bau, C-470/99, EU:C:2002:746, p. 71–73) (HFD 2018
ref. 67).
I det aktuella fallet bedömde HFD att två nämnder, med separata förvaltningar och egna budgetar, som ingick i samma juridiska person – Stockholms stad – var separata upphandlande myndigheter eftersom de genomförde sina upphandlingar självständigt. Konsekvensen av att vara egna upphandlande myndigheter är bl.a. att nämnderna inte kan avropa från varandras upphandlingar utan att varje nämnd själv upphandlar de varor och tjänster som nämnden behöver.
HFD gör också i målet en jämförelse med regeln om separata operativa enheter i artikel 5.2 i upphandlingsdirektivet (genomförd i 5 kap. 4 § LOU) och konstaterar att regeln visserligen inte har någon omedelbar relevans för vad som utgör en upphandlande myndighet som sådan men att en nationell reglering som tillåter att även osjälv-
ständiga delar av en regional eller lokal myndighet betraktas som egna upphandlande myndigheter skulle kunna komma i konflikt med syftena bakom dessa regler och därmed även syftena bakom tröskelvärdesbestämmelserna i stort.
I målet där HFD meddelade dom i juni 2021 hade kammarrätten gjort bedömningen att en statlig myndighet är en ekonomisk aktör och därför kan ansöka om överprövning av ett beslut om tilldelning som fattats av en annan statlig myndighet (HFD 2021 ref. 35).
Även här kan konstateras att regeln om att en ekonomisk aktör kan begära överprövning visserligen inte har någon omedelbar relevans för bedömningen av vad som utgör en upphandlande myndighet, men att det kan uppstå ur upphandlingsrättsligt hänseende märkliga konsekvenser om en statlig myndighet kan vara att betrakta som en ekonomisk aktör samtidigt som myndigheten är en del av den upphandlande myndigheten staten.
Mot bakgrund av ovan redovisad praxis kan det finnas anledning att tolka begreppet upphandlande myndighet i ljuset av bestämmelserna om rätt till överprövning, storlek på upphandlingsskadeavgift och tröskelvärden.
Kan andra åtgärder än befogenhetsöverföringar vara undantagna från EU-rättens tillämpningsområde med stöd av artikel 4.2 FEUF?
EU-domstolen har i Remondis och det följande avgörandet Porin
kaupunki utvecklat en praxis kring åtgärder som är undantagna från
EU-rättens tillämpningsområde för att de omfattas av artikel 4.2 FEU. I sina avgöranden har EU-domstolen uppställt kriterier för att en åtgärd ska utgöra en s.k. befogenhetsöverföring som omfattas av artikel 4.2 FEU, och därmed inte omfattas av upphandlingsregleringens tillämpningsområde. En fråga som inställer sig är om EU-domstolen genom denna praxis på ett uttömmande vis tagit ställning till vilka åtgärder som genom att de omfattas av artikel 4.2 ska undantas upphandlingsregleringen.
Ett konstaterande att det inte kan uppstå ett upphandlingspliktigt kontrakt vid köp mellan två statliga myndigheter på grund av att det inte uppstår rättsligt bindande rättigheter och skyldigheter myndigheterna emellan, får i någon utsträckning förstås som att det i slutändan är en fråga hänförlig till hur en medlemsstat väljer att internt organisera sig. Det kan å ena sidan konstateras att den åtgärd som
var föremål för prövning i HFD 2021 ref 35 inte uppfyllde de kriterier som EU-domstolen uppställt i sin praxis kring befogenhetsöverföringar. Å andra sidan så finns det inte något uttalande i Remondis eller Porin kaupunki som indikerar att domstolen i dessa två avgöranden haft för avsikt att på ett uttömmande vis uttala sig om vilka åtgärder som omfattas av det skyddade området enligt artikel 4.2 FEU.
Slutsatser rörande rättsläget avseende köp mellan statliga myndigheter
HFD:s avgörande i HFD 2018 ref. 67 ger vid handen att en myndighet som ingår i en juridisk person kan vara en egen upphandlande myndighet, under förutsättning att myndigheten genomför sina upphandlingar självständigt. Det kan framstå som motstridigt att en statlig myndighet kan vara att betrakta som en egen upphandlande myndighet samtidigt som myndigheten inte är fristående på det sättet som krävs för att kontrakt i upphandlingsrättslig mening ska uppkomma vid ett köp av en annan statlig myndighet.
Samtidigt har HFD i HFD 2021 ref. 35 med stor tydlighet uttalat att det inte kan uppkomma ett kontrakt i upphandlingsrättslig mening mellan statliga myndigheter. Domstolen har inte heller bedömt att det förelegat någon sådan oklarhet som gett anledning att inhämta förhandsavgörande från EU-domstolen. Rättsläget måste mot denna bakgrund anses klarlagt, i alla fall på ett nationellt plan, på så vis att köp mellan två statliga myndigheter inte omfattas av upphandlingsregleringen.
9. Rättsliga förutsättningar för informationshantering inom samordnad it-drift
9.1. Inledning
I detta kapitel redogör vi för vissa rättsliga förutsättningar för den informationshantering som aktualiseras vid samordnad it-drift.
För det första lämnar vi en redogörelse för begreppet ”endast teknisk bearbetning och teknisk lagring för annans räkning” enligt 2 kap. 13 § första stycket tryckfrihetsförordningen (TF). Begreppet förekommer även i offentlighets- och sekretesslagen (2009:400) (OSL) och lagen (2020:914) om tystnadsplikt vid utkontraktering av teknisk bearbetning eller lagring av uppgifter (tystnadspliktslagen) samt i den sekretessbrytande bestämmelse som vi föreslagit i delbetänkandet ska införas i OSL.
För det andra berör vi vissa bestämmelser i dataskyddsregleringen som har betydelse för samordnad it-drift, bl.a. avseende roller vid personuppgiftsbehandling och personuppgiftsbiträdesavtal.
9.2. Teknisk bearbetning och teknisk lagring
9.2.1. Inledning
En handling som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för någon annans räkning är inte allmän (2 kap. 13 § första stycket TF). Det bör noteras att bestämmelsen ska tillämpas oavsett om handlingen förvaras för någon annan myndighets eller för enskilds räkning.
En särskild fråga för utredningen att ta ställning till är om denna bestämmelse är tillämplig vid samordnad it-drift. Frågan är med andra
ord om den ovan nämnda undantagsbestämmelsen kan tillämpas när en myndighet vid tillhandahållande av tjänster inom it-drift hanterar en annan myndighets handlingar. Detta har betydelse i flera olika avseenden. Om handlingarna inte är allmänna behöver de exempelvis inte diarieföras hos den myndighet som tillhandahåller it-drift. Det finns även vissa sekretessbestämmelser i OSL som är tillämpliga när det är fråga om informationshantering som är begränsad till enbart teknisk bearbetning och teknisk lagring för annans räkning.
Syftet med detta avsnitt är att identifiera den närmare innebörden av vad som avses med formuleringen endast teknisk bearbetning eller teknisk lagring för annans räkning.
9.2.2. Bestämmelserna
En åtgärd som någon vidtar endast som ett led i en teknisk bearbetning eller teknisk lagring av en handling som en myndighet har tillhandahållit ska inte anses leda till att handlingen har kommit in till den myndigheten (2 kap. 9 § andra stycket TF). Bestämmelsen innebär alltså att om en myndighet anlitar t.ex. en extern aktör som endast tekniskt lagrar eller tekniskt bearbetar en handling, så ska denna handling inte anses inkommen till myndigheten när den återvänder dit.
Får en myndighet i verksamhet för enbart teknisk bearbetning eller teknisk lagring för en annan myndighets räkning en uppgift som hos den senare myndigheten är sekretessreglerad av hänsyn till ett allmänt intresse, blir sekretessbestämmelsen tillämplig även hos den mottagande myndigheten (11 kap. 4 a § OSL). Sekretessen överförs endast om uppgiften är sekretessreglerad av hänsyn till ett allmänt intresse. Av 11 kap. 8 § följer att bestämmelsen inte gäller om en primär sekretessbestämmelse till skydd för samma intresse redan är tillämplig för uppgifterna hos den mottagande myndigheten. I sådant fall ska i stället den primära sekretessbestämmelsen tillämpas, oavsett om den primära sekretessen är starkare eller svagare än sekretess som överförs enligt 11 kap. 4 a § OSL.
Enligt 40 kap. 5 § OSL gäller att sekretess gäller i verksamhet för enbart teknisk bearbetning eller teknisk lagring för någon annans räkning för uppgift om en enskilds personliga eller ekonomiska förhållanden.
Enligt tystnadspliktslagen får den som på grund av anställning eller på något annat sätt deltar i eller har deltagit i en tjänsteleverantörs verksamhet att på uppdrag av en myndighet endast tekniskt bearbeta eller tekniskt lagra uppgifter inte obehörigen röja eller utnyttja dessa uppgifter (4 §).
I det följande kommer bestämmelsen i 2 kap. 13 § första stycket TF stå i fokus.
9.2.3. Vad avses med teknisk bearbetning eller teknisk lagring
Lagmotiven till tryckfrihetsförordningen , offentlighets- och sekretesslagen och 1980 års sekretesslag
I specialmotiveringen till dåvarande 2 kap. 6 § tredje stycket TF (nuvarande 2 kap. 9 § tredje stycket TF) angavs som exempel på teknisk bearbetning överföring av ett maskinskrivet manuskript till magnetband, tryckning eller kopiering av manuskript, redigering av ljudupptagningar på magnetband, överföring av sådana upptagningar till grammofonskiva samt framkallning av fotografiskt material (prop. 1975/ 76:160 s. 137 f.).1 Vidare påpekades att med åtgärder som vidtas endast som led i en teknisk lagring skulle förstås sådana former av lagring som kräver särskilda tekniska anordningar, t.ex. lagring av information i skivminne eller på magnetband.
De aktuella bestämmelserna i TF har ändrats flera gånger sedan de tillkom under 1970-talet. Några ytterligare uttalanden om hur formuleringen teknisk bearbetning eller teknisk lagring ska förstås har inte lämnats av regeringen (prop. 2009/10:58 s. 37 och prop. 2017/ 18:49 s. 193 f.).
Inte heller i lagmotiven till bestämmelserna i OSL eller lagmotiven till 9 kap. 7 § sekretesslagen (1980:400) som i det närmaste motsvarar 40 kap. 5 § OSL gjordes några sådana uttalanden (prop. 1979/80:2 Del A s. 272, prop. 1997/98:44 s. 150, prop. 2008/09:150 s. 371 och prop. 2016/17:198 s. 15 ff. och 28 f.).
11 Bestämmelserna i 2 kap. 9 § tredje stycket och 13 § första stycket TF erhöll sina nuvarande placeringar den 1 januari 2019. Den förstnämnda bestämmelsen återfanns tidigare i 2 kap. 6 § tredje stycket TF och den senare i 2 kap. 10 § första stycket TF. När vi i det följande hänvisar till 2 kap. 6 § tredje stycket och 10 § TF avses dåvarande bestämmelser.
Lagmotiven till tystnadspliktslagen
I den proposition som föregick tystnadspliktslagen uttalas att med uttrycket utkontraktering avses att en myndighet uppdrar åt en privat tjänsteleverantör att tekniskt bearbeta eller lagra myndighetens information inom ramen för myndighetens grundläggande behov av it-driftstjänster och andra it-baserade funktioner (prop. 2019/20:201 s. 6). Som exempel på en utkontraktering angavs uppdrag där en tjänsteleverantör tillhandahåller teknisk infrastruktur eller en teknisk plattform för it-drift och uppdrag där en tjänsteleverantör tillhandahåller it-baserade funktioner i form av t.ex. applikationer och tjänster.
Vilka åtgärder som kan omfattas av teknisk bearbetning eller teknisk lagring behöver enligt specialmotiveringen till 1 § tolkas i förhållande till dagens digitala informationshantering och den fortgående tekniska utvecklingen (s. 22). Vidare sägs följande (med reservation för att värdet av uttalandena i någon mån är begränsat eftersom dessa förarbeten inte rör bestämmelsen i 2 kap. 13 § TF).
En tjänsteleverantör kan exempelvis ha i uppdrag att införa, förvalta, utveckla och så småningom avveckla en tjänst åt en myndighet. Tjänsteleverantören kan under dessa olika faser behöva vidta en mängd olika åtgärder som innefattar teknisk bearbetning eller teknisk lagring av uppgifter för att upprätthålla den tillgänglighet, funktionalitet och prestanda i tjänsten som har avtalats mellan parterna. Sådana åtgärder kan röra sig om förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration mot andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster. Det kan också röra sig om säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering. Vid avveckling av en tjänst kan myndighetens information behöva migreras eller exporteras tillbaka till myndigheten eller till en annan tjänsteleverantör.
Rättspraxis
Inledning
Högsta förvaltningsdomstolen (HFD) har sedan 1994 meddelat fyra domar som rör tolkningen av formuleringen endast teknisk bearbetning eller teknisk lagring för annans räkning. Såvitt vi har kunnat finna har kammarrätterna meddelat sammanlagt 14 domar från 2010 och framåt i samma ämne. Sannolikt har det meddelats fler domar som
vi inte tagit del av. Det finns härutöver en dom från Förvaltningsrätten i Stockholm i vilken tolkningen av nämnda formulering berörs indirekt.
Samtliga domar, utom domen från förvaltningsrätten, har inletts med att en sökande begärt ut handlingar från en myndighet eller någon annan organisation som har att tillämpa OSL (se 2 kap. 3 § OSL). Bestämmelsen i 2 kap. 13 § första stycket TF har stått i fokus. I vissa fall har varken den beslutande myndigheten eller kammarrätten lämnat några materiella skäl för sina bedömningar. Båda instanser har i princip endast citerat lagtexten och konstaterat att myndighetens befattning med handlingarna endast utgjort ett led i teknisk bearbetning eller teknisk lagring för annans räkning. Rekvisitet teknisk bearbetning eller teknisk lagring har följaktligen bedömts vara uppfyllt i dessa fall (liksom övriga rekvisit). Dessa fall har rört en begäran att från Riksrevisionsverket få ut ett antal myndigheters ekonomidata som fanns i ett datasystem förvaltat av verket (RÅ 1994 ref. 64), en begäran om att från Domstolsverket få ut inloggningsuppgifter och dagboksanteckningar från de allmänna domstolarnas, de allmänna förvaltningsdomstolarnas och hyres- och arrendenämndernas målhanteringssystem VERA (som tillhandahålls av Domstolsverket) (Kammarrätten i Jönköpings dom den 15 november 2010 i mål nr 2692-10), en begäran om att från Domstolsverket få ut bl.a. kopior på vissa e-postmeddelanden från tre anställda vid en tingsrätt och listor över samtliga e-postmeddelanden som hade skickats in och ut från dessa tre anställdas e-postbrevlådor (Kammarrätten i Jönköpings dom den 21 augusti 2012 i mål nr 1929-12) och en begäran att hos en kommunstyrelse som ansvarade för kommungemensam it-verksamhet att få ut uppgifter om vilka av kommunens folkvalda som samtidigt var gode män eller förvaltare (Kammarrätten i Göteborgs dom den 9 maj 2017 i mål nr 428-17). Dessa domar kommer inte behandlas ytterligare.
I rättsfallet RÅ 1999 ref. 18 var fråga om undantagsbestämmelsen i 2 kap. 10 § första stycket TF var tillämpligt på s.k. cookie-filer som fanns i datorer tillhörande kommunanställda. En cookie-fil är en datafil som kan översändas till en dator i samband med att datorn via internet får kontakt med en hemsida som lagras på en annan dator. När denna dator tillhandahåller den efterfrågade informationen skickar den samtidigt med cookie-filen. Det ska också sägas att mottagaren av filen har möjlighet att avstå från att ta emot informationen och
att radera den. Avsändaren saknar däremot möjlighet att förfoga över informationen.
HFD kom bl.a. fram till att det inte var fråga om någon teknisk bearbetning av cookie-filen. Enligt domstolens bedömning kunde det inte – även om det skulle vara fråga om teknisk lagring i någon mening – sägas att denna sker för någon annans räkning. Som vi uppfattar detta håller domstolen öppet för att cookie-filen var föremål för en teknisk lagring.
HFD 2011 ref. 52 (Handlingarna från polismyndigheten)
En sökande hade hos dåvarande Polismyndigheten i Skåne län begärt ut en tillbudsanmälan som upprättats av myndigheten i rapporteringssystemet Lokalt Informationssystem för Sammanställning av Arbetsskador (LISA).
I målet var det klarlagt att vissa befattningshavare hos Rikspolisstyrelsen hade rikstäckande administrationsbehörighet till LISA för att kunna bistå polismyndigheterna med hjälp av teknisk natur. Rikspolisstyrelsen hade även till uppgift att framställa nationell statistik och att rapportera till Arbetsmiljöverket.
I en central passus anförde HFD följande.
I målet aktuella handlingar består av uppgifter som har förts in i databasen LISA av polismyndigheten. Vissa befattningshavare hos Rikspolisstyrelsen har därefter i enlighet med behörighetsvillkoren för databasen kunnat ta del av dem i läsbart skick för att bl.a. framställa nationell statistik och rapportera till Arbetsmiljöverket. Rikspolisstyrelsen har således haft tillgång till uppgifterna. I vart fall den nu beskrivna användningen av uppgifterna kan inte anses hänförlig till sådan teknisk bearbetning eller teknisk lagring som avses i 2 kap. 10 § TF.
Domskälen kan tolkas som att det är HFD:s mening att Rikspolisstyrelsens hantering av handlingarna inte ens uppfyllde rekvisitet teknisk bearbetning eller teknisk lagring.2
Det bör noteras att sökanden hade begärt ut handlingarna hos Polismyndigheten i Skåne län och inte hos Rikspolisstyrelsen. Frågan i målet var om polismyndigheten hade expedierat handlingarna till Riks-
2 I detta sammanhang bör också nämnas att omständigheterna i Kammarrätten i Stockholms dom av den 31 mars 2011 i mål nr 1195-11 i princip var identiska med de som var förelåg i HFD 2011 ref. 52. I målet gjordes emellertid bedömningen att de aktuella handlingarna var föremål för en teknisk bearbetning eller teknisk lagring.
polisstyrelsen med följd att handlingarna hos polismyndigheten skulle betraktas som allmänna. En till synes självklar utgångspunkt vid bedömningen var att handlingarna inte kunde betraktas som expedierade om Rikspolisstyrelsens hantering av handlingarna var att betrakta som endast en teknisk bearbetning eller teknisk lagring för annans räkning enligt 2 kap. 10 § första stycket TF. Något uttryckligt stöd för detta finns inte i TF. Vi kan emellertid konstatera att bestämmelsen i 2 kap. 9 § tredje stycket TF skulle bli meningslös om handlingarna skulle betraktas som expedierade även i de fall den mottagande myndighetens hantering av handlingarna skulle vara att betrakta som endast en teknisk bearbetning eller teknisk lagring för annans räkning enligt 2 kap. 10 § första stycket TF.
9.2.4. Endast eller enbart
Lagmotiv m.m.
I 2 kap. 9 § tredje stycket och 13 § första stycket TF heter det endast som ett led i en teknisk bearbetning eller teknisk lagring, i 11 kap. 4 a § och 40 kap. 5 § OSL heter det enbart teknisk bearbetning eller teknisk lagring och i 4 § tystnadspliktslagen talas om endast tekniskt bearbeta eller tekniskt lagra. Det är alltså – för att de ovan nämnda bestämmelserna ska vara tillämpliga – inte tillräckligt att handlingarna eller uppgifterna tekniskt bearbetas eller lagras.
Vare sig i lagmotiven till TF eller OSL berörs vad som närmare avses med detta. I lagmotiven till tystnadspliktslagen behandlas det fallet att en myndighet rörande uppgifter utkontrakterar uppdrag av olika karaktär till samma tjänsteleverantör, t.ex. ett uppdrag som innebär att leverantören endast tekniskt bearbetar eller lagrar uppgifter och ett annat uppdrag som omfattar åtgärder rörande uppgifterna som går utöver detta (prop. 2019/20:201 s. 22). I dessa fall – sägs det – är tystnadspliktslagen endast tillämplig i det förstnämnda fallet och bara på sådana uppgifter som inte dessutom hanteras inom ramen för det andra uppdraget.
Det ovan nämnda uttalandet tar sikte på det fallet att en privat tjänsteleverantör som hanterar en myndighets uppgifter. Som saken måste uppfattas omfattas inte en uppgift som – på sätt som ovan beskrivits – förekommer i två skilda sammanhang av tystnadsplikten. I ett sådant fall kan man alltså inte säga att myndigheten ifråga upp-
dragit åt en tjänsteleverantör att endast tekniskt bearbeta eller tekniskt lagra uppgifter.
Tystnadspliktslagen gäller för uppgifter medan 2 kap. 13 § första stycket TF gäller för handlingar. Som följer av 2 kap. 3 § TF omfattas även upptagningar som endast med tekniska hjälpmedel kan läsas eller avlyssnas eller uppfattas på annat sätt av uttrycket handling. En särskild fråga är hur man ska se på det fallet att en myndighet förvarar ett exemplar av en handling som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning och ytterligare ett exemplar av handlingen i ett sammanhang som går utöver endast teknisk bearbetning eller teknisk lagring för annans räkning. Kan undantagsbestämmelsen i 2 kap. 13 § första stycket TF i ett sådant fall tillämpas i det förstnämnda sammanhanget? Kan man säga att myndigheten förvarar handlingen endast som ett led i en teknisk bearbetning eller teknisk lagring?
E-samverkansprogrammet (eSam) har i skriften Juridisk vägled-
ning för verksamhetsutveckling inom e-förvaltningen 3.0 diskuterat
s.k. egna utrymmen. Med eget utrymme förstås enligt eSams definition ett skyddat förvar som tillhandahålls enligt 2 kap. 10 § första stycket TF endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning (s. 10). Det är med andra ord fråga om ett digitalt utrymme som tillhandahålls av en myndighet där den enskilde kan spara t.ex. utkast till inlagor m.m. och därifrån skicka in dem till myndigheten. Enligt den bedömning som eSam gör kan en handling befinna sig i ett elektroniskt förvar som en myndighet tillhandahåller utan att utgöra allmän handling där eftersom den omfattas av undantagsbestämmelsen i 2 kap. 10 § första stycket TF (s. 16 och not 17). Samtidigt kan – enligt eSam – ett exemplar av samma handling befinna sig i samma myndighets verksamhetssystem och där vara allmän. Information kan alltså – vid tillämpningen av 2 kap. 10 § första stycket TF – förvaras i två olika exemplar som bedöms var för sig.
I ett avgörande från Kammarrätten i Jönköping den 5 mars 2020 i mål nr 3610-19 berördes en närbesläktad frågeställning. Bakgrunden i målet kan sammanfattas enligt följande.
Handlingar hänförliga till domstolarnas och nämndernas mål- och ärendehantering VERA – t.ex. avgöranden, utkast till avgöranden eller inlagor från parterna – används inte i Domstolsverkets verksamhet eller för att lämnas vidare till andra. Det finns emellertid per-
sonal hos Domstolsverket s.k. VERA-support som har tillgång till dessa handlingar.
Domstolsverket är statistikansvarig myndighet för statistik om domstolarnas verksamhet. Viss information från Vera hämtas därför ut till ett datalager. I datalagret hanteras enbart information för att möjliggöra sammanställningar, statistiska analyser och uppföljningar via statistikverktyg. Handlingar hänförliga till mål- och ärendehanteringen hämtas inte ut från Vera och förvaras alltså inte heller i datalagret. Den personal som arbetar med statistikframställningen har inte själv tillgång till VERA:s databas utan endast till delar av datalagret.
Målet inleddes med att en person begärde ut en dom meddelad av Svea hovrätt från Domstolsverket. Frågan som kammarrätten hade att ta ställning till var om domen från Svea hovrätt utgjorde en allmän handling hos Domstolsverket.
Kammarrätten fann att domen utgjorde en allmän handling hos Domstolsverket såvida inte undantagsbestämmelsen i 2 kap. 13 § första stycket TF var tillämplig. Som domen måste uppfattas var det kammarrättens bedömning att domen från Svea hovrätt var föremål för teknisk lagring för annans räkning hos Domstolsverket. Den fråga som kammarrätten ställde sig var om domen enbart var föremål för teknisk lagring eller teknisk bearbetning för annans räkning. När det gäller det förhållandet att personalen i VERA-supporten hade tillgång till domen i läsbart skick gjorde kammarrätten bedömningen att Domstolsverket infört sådana administrativa och tekniska begränsningar ifråga om personalens tillgång som enligt HDF 2018 ref. 48 krävs för att rekvisitet endast i 2 kap. 13 § första stycket TF ska vara uppfyllt (se avsitt 1.4.2). Problemet var emellertid att det hos Domstolsverket fanns andra personalkategorier som hade en mera fri tillgång till den del av VERA, som genererade uppgifter som används för att ta fram statistik. Frågan var om detta påverkade bedömningen av om den aktuella domen är en allmän handling hos Domstolsverket eller inte.
Enligt den bedömning som kammarrätten gjorde måste – i ett fall likt det som förelåg – varje del av systemet och den information den delen innehåller prövas för sig. I linje med detta menade kammarrätten att det förhållandet att vissa av Domstolsverkets anställda har en mer fri tillgång till den del av VERA som genererar uppgifter som används för att ta fram statistik inte innebar att de handlingar som
fanns i VERA i läsbart skick blev allmänna handlingar hos Domstolsverket. Det beror på – enligt kammarrätten – att den personalen inte hade tillgång till de handlingarna.
Tekniska och administrativa begränsningar ( HFD 2018 ref. 48 )
I rättsfallet HFD 2018 ref. 48 uppstod frågan om bestämmelsen i 2 kap. 10 § första stycket TF var tillämplig ifråga om rapporter från en privat vårdgivare som förvarades i ett elektroniskt verksamhetssystem hos en kommun.3 Enligt domskälen krävs det för att rekvisitet endast som ett led i en tekniskt bearbetning eller tekniskt lagring ska vara uppfyllt att myndigheten såväl tekniskt som administrativt begränsat den egna personalens tillgång till uppgifterna så att dessa inte är tillgängliga i läsbart skick. Myndighetens personal ska – enligt domstolen – enbart kunna ta del av den drifts- och säkerhetsrelaterade informationen. Om vanliga handläggare på myndigheten har fri tillgång till upptagningarna kan alltså undantagsbestämmelsen i 2 kap. 13 § första stycket TF inte vara tillämplig eftersom rekvisitet endast inte är uppfyllt i ett sådant fall. Det förefaller vara så att det saknar betydelse om handläggarna faktiskt tar del av upptagningarna eller inte. Det är det förhållandet att handläggarna har tillgång till upptagningarna som är avgörande.
Eftersom det i målet inte hade framkommit att det fanns några sådana tekniska och administrativa begränsningar bedömde domstolen att undantagsbestämmelsen inte var tillämplig.
När det gäller HFD:s uttalande att myndighetens personal enbart ska kunna ta del av den drifts- och säkerhetsrelaterade informationen kan detta inte rimligen tolkas som att det inte ska få finnas någon hos myndigheten som kan ta del av informationen i fulltext.4 Om upptagningen inte är tillgänglig för någon hos myndigheten med
3 I två fall har kammarrätterna med hänvisning till det resonemang som HFD för funnit att undantagsbestämmelsen i 2 kap. 13 § första stycket TF inte var tillämplig. Se Kammarrätten i Göteborgs dom den 13 september 2019 i mål nr 1199-19 och Kammarrätten i Stockholms dom den 9 maj 2020 i mål nr 1296-20. I ytterligare två fall ansågs myndigheten ha uppställt tillräckliga tekniska och administrativa begränsningar för att undantagsbestämmelsen skulle anses vara tillämplig. 4 Jfr Kammarrätten i Jönköpings dom den 26 oktober 2015 i mål nr 7369-15 där domstolen uttalade att det ligger i sakens natur att vissa anställda hade tillgång till den aktuella databasen för att administrera den och att det inte hindrade att undantagsbestämmelsen i 2 kap. 10 första stycket TF var tillämplig. Se även Kammarrätten i Jönköpings avgörande den 5 mars 2020 i mål nr 3610-19.
tekniskt hjälpmedel som myndigheten själv utnyttjar för överföring i sådan form att den kan läsas eller avlyssnas eller uppfattas på annat sätt kan den inte betraktas som förvarad hos myndigheten och inte heller som allmän där (2 kap. 4 § och 2 kap. 6 § första stycket TF). Är handlingen inte allmän ens som utgångspunkt saknas anledning att över huvud taget överväga om undantagsbestämmelsen i 2 kap. 13 § första stycket TF är tillämplig.
9.2.5. För annans räkning
Lagmotiven till 1974 och 1978 års reformer av tryckfrihetsförordningen
Bestämmelsen i 2 kap. 13 § första stycket TF förutsätter för sin tilllämpning att den tekniska bearbetningen eller lagringen sker för någon
annans räkning. En åtskillnad måste således göras mellan sådant som
myndigheten gör för någon annans räkning och sådant som myndigheten gör för sin egen skull.
Frågan är vilket eller vilka kriterier som ska vara avgörande i sammanhanget.
Formuleringen teknisk lagring eller teknisk bearbetning introducerades i svensk rätt redan år 1974 i samband med de ändringar 2 kap. TF som då genomfördes. Ändringarna syftade till att undanröja den oklarhet som dessförinnan hade rått i frågan hur offentlighetsprincipen skulle tillämpas på s.k. ADB-upptagningar (automatisk databehandling) och andra upptagningar av teknisk natur, t.ex. mikrofilm och fonogram.
I 2 kap. 4 § TF som innehöll bestämmelser om s.k. minnesanteckningar m.m. gjordes – i andra stycket första meningen – ett särskilt tillägg ifråga om upptagningar. Om upptagningen tillkommit endast för måls eller ärendets föredragning eller beredande till avgörande hos myndighet skulle den inte anses som allmän hos myndigheten om den inte – sedan målet eller ärendet slutbehandlats hos myndigheten – omhändertagits för förvaring.
I den andra meningen i samma stycke reglerades den situationen att en myndighets upptagning som var att betrakta som en minnesanteckning eller motsvarande förvarades hos en annan myndighet endast för teknisk bearbetning eller lagring. Intill dess att frågan om sådant omhändertagande som avsågs i den första meningen i samma
stycke hade avgjorts, skulle upptagningen inte heller hos den andra myndigheten anses som allmän.
I lagmotiven till bestämmelsen i andra meningen framhölls att det inte sällan förekom att en upptagning upprättades hos viss myndighet för beredande av ett mål eller ett ärende och att den därefter lämnades till en annan myndighet för databehandling eller annan teknisk bearbetning eller lagring. Det kunde också inträffa att upptagningen redan från början fanns hos den myndighet som endast ombesörjde den tekniska bearbetningen. Enligt departementschefen var det uppenbart att en upptagning borde vara undandragen offentligheten även när den på detta sätt förvarades hos annan myndighet än den som handlade det mål eller ärende dit upptagningen hörde (prop. 1973:33 s. 79). Det påpekades också att konstruktionen innebar att om upptagningarna förvarades hos den andra myndigheten för annat ändamål, t.ex. för att ligga till grund för beslut skulle vanliga regler om offentlighet tillämpas.
Det ska noteras att uttryckssättet för någon annans räkning inte förekom i lagtexten. Det framstår emellertid som klart att tanken var att bestämmelsen för sin tillämpning förutsatte att den myndighet som tekniskt bearbetade eller lagrade upptagningen gjorde det för någon annans räkning. Det som förefaller ha varit avgörande för om myndigheten ifråga agerade för någon annans räkning var att det var den andra myndigheten som handlade det mål eller ärende till vilken handlingen kunde hänföras.
De ändringar som gjordes 1974 i TF till klargörande av rättsläget för de tekniska upptagningarna var ett provisorium i avvaktan på resultatet av offentlighets- och sekretesslagstiftningskommitténs arbete med en fullständig översyn av grundlagsreglerna om offentlighet och sekretess.
På grundval av offentlighets- och sekretesslagstiftningskommitténs slutbetänkande (SOU 1975:22) Lag om allmänna handlingar kom 2 kap. TF att ersättas med ett helt nytt kapitel år 1978. Grunddragen i den regleringen som hittills hade gällt lämnades orörda. Vissa materiella ändringar gjordes emellertid, framför allt när det gällde bestämmelserna om upptagningar.
I specialmotiveringen till 2 kap. 10 § TF påpekades att t.ex. en magnetbandsupptagning som förvaras hos en arkivmyndighet normalt inte kan anses lagrad för annans räkning (s. 171). Arkivmyndig-
heten kan alltså sägas förvara arkivmaterialet för sin egen skull (jfr SOU 2014:39 s. 48).
RÅ 1999 ref. 18 (Cookie-filen)
Rättsfallet RÅ 1999 ref. 18 har sin grund i en framställning riktad mot en kommun om att få ta del av s.k. cookie-filer hos vissa kommunala tjänstemän.
Efter att ha redogjort för de relevanta reglerna i 2 kap. TF fann HFD att en cookie-fil var – i den mening som avses i TF – att betrakta som en hos myndigheten förvarad handling som inkommit dit. Därefter anförde domstolen följande.
Däremot kan Regeringsrätten inte finna att det finns stöd för att anse att cookie-filen skulle vara förvarad hos myndigheten endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning. Det förekommer inte någon teknisk bearbetning. Även om det skulle vara fråga om teknisk lagring i någon mening kan det dock i vart fall inte sägas att denna sker för någon annans räkning. Bl.a. har mottagaren möjlighet att avstå från att ta emot informationen och att radera den. Avsändaren saknar däremot möjlighet att förfoga över informationen. Då inte heller något annat undantag enligt 2 kap. TF ä r tillämpligt är cookie-filen således att betrakta som allmän handling och skall lämnas ut till A.L. […]
Uppdrag och förfogande
I RÅ 1999 ref. 18 inhämtade HFD yttrande från bl.a. Statskontoret.
Enligt det resonemang som Statskontoret förde måste den tekniska lagringen eller bearbetningen grundas på ett faktiskt uppdrag eller på någon form av överenskommelse mellan de båda parterna samt att kundmyndigheten måste förfoga över handlingarna i motsats till den part som utför själva uppdraget. Eftersom dessa förutsättningar saknades i det aktuella målet förordade Statskontoret att undantagsbestämmelsen inte skulle anses vara tillämplig.
Det synsätt som Statskontoret ger uttryck för framstår som rimligt. En teknisk bearbetning eller en teknisk lagring som sker utan någon form av uppdrag kan inte gärna sägas ske för annans räkning. Det centrala får alltså anses vara uppdraget.
Som Statskontoret påtalade kan ett sådant uppdrag komma till uttryck i en överenskommelse mellan aktörerna. Det är inte alldeles
klart vad Statskontoret avsåg med faktiskt uppdrag men som vi uppfattar saken är det kontorets uppfattning att det inte alltid krävs att uppdraget ska ha sin grund i en överenskommelse mellan parterna för att undantagsbestämmelsen ska äga tillämpning. Även den ståndpunkten framstår som rimlig. Man kan tänka sig fall där en myndighet tekniskt bearbetar eller tekniskt lagrar handlingar för en annan myndighets räkning utan att detta grundas på någon överenskommelse. Ett sådant samarbete kan i stället grundas på en författningsreglering. Som vi redan har varit inne på sköter Domstolsverket domstolarnas och nämndernas målhanteringssystem VERA. Detta kan knappast sägas grundas på någon överenskommelse mellan Domstolsverket å ena sidan och domstolarna och nämnderna å andra sidan. Det följer i stället av förordningen (2007:1073) med instruktion för Domstolsverket att verket har till uppgift att ge administrativt stöd och service åt bl.a. domstolarna och nämnderna. I flera fall har kammarrätterna bedömt att nämnda undantagsbestämmelse är tillämplig på Domstolsverkets hantering av domstolarnas och nämndernas handlingar i VERA.
Det förefaller alltså finnas stöd för antagandet att uppdraget inte måste följa av en överenskommelse mellan parterna för att 2 kap. 13 § första stycket TF ska vara tillämplig.
Det ovan omtalade uttalandet i lagmotiven att t.ex. en magnetbandsupptagning som förvaras hos en arkivmyndighet normalt inte kan anses lagrad för annans räkning är av intresse. Tydligen ska en arkivmyndighet anses tekniskt lagra handlingarna för sin egen skull. Frågan är varför.
Det kan argumenteras för att den tekniska lagringen som en arkivmyndighet utför utgör en del av den myndighetens kärnverksamhet. Att hävda att en myndighet som utför sin kärnverksamhet agerar för annans räkning framstår kanske som främmande. Det bör emellertid observeras att en arkivmyndighets tekniska lagring av handlingar inte alltid kan betecknas som en del av den myndighetens kärnverksamhet. Dessutom kan man fråga sig om inte Domstolsverket ägnar sig åt sin kärnverksamhet när den tekniskt bearbetar och tekniskt lagrar domstolarnas och nämndernas handlingar i VERA. Det bör nog räknas som en kärnuppgift för Domstolsverket att ge administrativt stöd och service åt bl.a. domstolarna och nämnderna. Som vi redan konstaterat har emellertid kammarrätterna i flera fall bedömt att undantagsbestämmelsen i 2 kap. 13 § första stycket TF är till-
lämplig på Domstolsverkets hantering av domstolarnas och nämndernas handlingar i VERA. Det nu anförda leder oss till den slutsatsen att gällande rätt inte utesluter att det kan vara fråga om en teknisk bearbetning eller lagring för annans räkning även om bearbetningen eller lagringen utgör en del av myndighetens kärnverksamhet.
För att återknyta till det resonemang som Statskontoret förde kan konstateras att en arkivmyndighet förfogar över de handlingar som den tekniskt lagrar. Det finns med andra ord ingen ”kundmyndighet” som förfogar över handlingarna. I det avseendet skiljer sig en arkivmyndighets tekniska lagring från Domstolsverkets tekniska bearbetning eller tekniska lagring av domstolarnas och nämndernas handlingar i VERA. Sett ur det perspektivet framstår det som logiskt att en arkivmyndighets lagring av t.ex. en magnetbandsupptagning normalt inte kan anses lagrad för annans räkning.
Sammanfattningsvis är det således vår bedömning att följande villkor måste vara uppfyllda för att den tekniska bearbetningen eller den tekniska lagringen ska anses ske för annans räkning. För det första måste den grundas på ett uppdrag. Detta uppdrag kan följa av en överenskommelse eller framgå av en författning. För det andra krävs att en myndighet som erhåller it-drift – till skillnad från den myndighet som tillhandahåller it-drift – förfogar över de handlingar som är föremål för den tekniska bearbetningen eller lagringen.
9.2.6. Som ett led i
Bestämmelsen i 2 kap. 13 § första stycket TF gäller för handlingar som förvaras hos en myndighet endast som ett led i en teknisk bearbetning eller teknisk lagring för någon annans räkning. I 2 kap. 9 § tredje stycket TF talas om åtgärder som någon vidtar endast som ett led i en teknisk bearbetning eller teknisk lagring av en handling.
När det gäller bestämmelsen i 2 kap. 9 § tredje stycket TF kan med åtgärd knappast åsyftas något annat än åtgärden att återsända handlingarna till myndigheten, dvs. den åtgärd som i normalfallet hade inneburit att de skulle betraktas som inkomna till den myndigheten och därmed allmänna där. Åtgärden utgör ingen teknisk bearbetning eller teknisk lagring i sig. Som vi läser formuleringen är den endast ett uttryck för att åtgärden måste ha ett samband med den tekniska bearbetningen eller den tekniska lagringen. Detsamma
får såvitt vi kan se antas gälla bestämmelsen 2 kap. 13 § första stycket TF. Förvaringen måste ha ett samband med den tekniska bearbetningen eller den tekniska lagringen för att bestämmelsen ska vara tillämplig.
Formuleringen som ett led i förekommer varken i 11 kap. 4 a § eller i 40 kap. 5 § OSL eller i tystnadspliktslagen. Som vi uppfattar saken innebär inte detta att bestämmelserna i 2 kap. 9 § tredje stycket och 13 § första stycket TF har en större träffyta än nämnda bestämmelser. Tvärtom understryks i lagmotiven till 11 kap. 4 a § och i 40 kap. 5 § OSL eller i tystnadspliktslagen att formuleringen endast teknisk bearbetning eller teknisk lagring för annans räkning ska ha samma innebörd som i TF.
En särskild fråga är hur man ska se på vissa åtgärder som kanske inte (sedda för sig) kan betraktas som enbart ett led i en teknisk bearbetning eller teknisk lagring men som ändå är nödvändiga för att en tjänsteleverantör – oavsett om det är en privat tjänsteleverantör eller en myndighet – ska kunna ägna sig åt endast teknisk bearbetning eller teknisk lagring för annans räkning. Som exempel kan nämnas uppdateringar av datasystem eller vissa typer av supporttjänster.
Under arbetets gång har vi i våra kontakter med företrädare för it-branschen fått klart för oss att den uppfattning förekommer att åtgärder av detta slag – med hänsyn till det sammanhang i vilka de förekommer – bör omfattas av undantagsbestämmelsen i 2 kap. 13 § första stycket TF. Formuleringen som ett led i har setts som en indikation på att regleringen bör tillämpas på det sättet.
Vi ställer oss tveksamma till att formuleringen som ett led i kan tillmätas den innebörden. Något direkt stöd för den tesen finns inte. Det finns emellertid starka ändamålsskäl som talar för ett mer kontextuellt synsätt. Rättsläget måste dock betecknas som oklart på den punkten. Möjligen kan den uppräkning av åtgärder som finns i lagmotiven till tystnadspliktslagen ses som vägledande, med reservationen att dessa förarbeten inte avser bestämmelsen i TF.
9.2.7. Särskilt om eget utrymme
Det har under senare år blivit allt vanligare att myndigheter tillhandahåller ett s.k. eget utrymme. Som redan nämnts förstås med eget utrymme enligt eSams definition ett skyddat förvar som tillhandahålls enligt 2 kap. 13 § första stycket TF endast som ett led i en teknisk bearbetning eller teknisk lagring för annans räkning.5 Det är med andra ord fråga om ett digitalt utrymme som tillhandahålls av en myndighet där den enskilde kan spara t.ex. utkast till inlagor m.m. och därifrån skicka in dem till myndigheten. Det har framförts i olika sammanhang att det torde vara möjligt att se en eventuell lagring som föregår ingivandet som en form av teknisk lagring för den enskildes räkning och att sålunda handlingarna där skulle omfattas av undantagsbestämmelsen i 2 kap. 13 § första stycket TF.
Vi har i denna fråga ingen avvikande uppfattning. Vi vill emellertid understryka att det enligt vår mening inte går att generellt uttala att handlingar i egna utrymmen omfattas av 2 kap. 13 § första stycket TF. Den frågan måste i stället avgöras från fall till fall.
9.3. Dataskydd
9.3.1. Inledning
Vårt delbetänkande innehåller en genomgång av dataskyddsregleringen, en redogörelse för det organisatoriska och avtalsmässiga förhållandet mellan den personuppgiftsansvarige och ett personuppgiftsbiträde samt en analys av rättsläget avseende överföringar av personuppgifter till tredjeland vid utkontraktering av it-drift.
Samordnad it-drift kan beskrivas som en form av utkontraktering mellan myndigheter. De dataskyddsregler som vi har belyst i delbetänkandet, i synnerhet rörande det organisatoriska och avtalsmässiga förhållandet mellan den ansvarige och ett biträde, har relevans även i förhållande till samordnad statlig it-drift. I detta avsnitt kommer därför regler om personuppgiftsansvar och personuppgiftsbiträden analyseras ytterligare, med utgångspunkt i beskrivningarna i delbetänkandet.
5 Frågan har också behandlats i prop. 2016/17:198 s. 17.
9.3.2. Personuppgiftsansvar
Myndigheters personuppgiftsansvar vid it-drift
Att vara personuppgiftsansvarig för behandling av personuppgifter som utförs inom ramen för it-drift innebär en skyldighet att se till att tillämpliga dataskyddsregler följs.
Vi har i delbetänkandet gjort bedömningen att myndigheter bestämmer över mål och medel för den personuppgiftsbehandling som sker inom ramen för deras egen it-drift på ett sådant sätt att de som utgångspunkt bör vara att betrakta som personuppgiftsansvariga för den behandlingen. Detsamma gäller om det finns en tillämplig registerförfattning som reglerar personuppgiftsansvaret för it-drift.
Vi bedömer också att it-drift är en grundläggande verksamhet som är en förutsättning för en myndighet att fullgöra sina uppgifter såsom de framgår av instruktion, regleringsbrev, regeringsuppdrag eller annan reglering av en myndighets verksamhet. I de fall personuppgiftsansvaret regleras i en registerförfattning eller härleds från nationell rätt genom de uppgifter som ålagts myndigheten bör personuppgiftsansvaret även av denna anledning anses omfatta it-driften som krävs för att fullgöra dessa uppgifter eller för att utföra den personuppgiftsbehandling som regleras i registerförfattningen.
Gemensamt personuppgiftsansvar
När flera myndigheter samordnar sin it-drift så uppstår frågan om ett gemensamt personuppgiftsansvar kan aktualiseras.
Om två eller fler personuppgiftsansvariga gemensamt fastställer ändamålen med och medlen för behandlingen är de gemensamt personuppgiftsansvariga. Gemensamt personuppgiftsansvariga ska under öppna former fastställa sitt respektive ansvar för att fullgöra skyldigheterna i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen) genom ett inbördes arrangemang. Detta gäller dock inte om de personuppgiftsansvarigas respektive skyldigheter fastställs genom unionsrätten eller en medlemsstats nationella rätt som de personuppgiftsansvariga omfattas av (artikel 26.1 dataskyddsförordningen).
Arrangemanget ska på lämpligt sätt återspegla de gemensamt personuppgiftsansvarigas respektive roller och förhållanden gentemot registrerade och det väsentliga innehållet i arrangemanget ska göras tillgängligt för den registrerade (artikel 26.2 dataskyddsförordningen).
Oavsett formerna för arrangemanget får den registrerade utöva sina rättigheter enligt dataskyddsförordningen med avseende på och emot var och en av de personuppgiftsansvariga (artikel 26.3 dataskyddsförordningen).
En förutsättning för att gemensamt personuppgiftsansvar ska uppkomma är att ändamålen med och medlen för personuppgiftsbehandlingen fastställs gemensamt av de personuppgiftsansvariga. Detta följer av ordalydelsen i artikel 26 i dataskyddsförordningen. Personuppgifter får bara behandlas för berättigade ändamål (artikel 5.1 i dataskyddsförordningen). Det innebär enligt vår bedömning att en myndighets ändamål för behandling av personuppgifter måste ha en förankring i myndighetens uppgifter såsom de följer av lag eller annan författning eller beslut som meddelats med stöd av lag (jfr prop. 2017/18:105 s. 48) för att anses berättigade.
Personuppgiftsbehandling som utgår från ändamål som saknar förankring i en myndighets uppdrag är inte tillåten. För att ett gemensamt personuppgiftsansvar mellan myndigheter ska vara möjligt krävs därför enligt vår mening därför att det inte finns registerförfattningar som uttryckligen reglerar personuppgiftsansvaret för en viss behandling eller på annat sätt begränsar utrymmet för ett gemensamt personuppgiftsansvar. Det måste också enligt vår bedömning finnas ett utrymme för myndigheterna att gemensamt bestämma ändamålen och medlen för personuppgiftsbehandlingen utifrån respektive myndighets uppdrag.
Det är dock inte tillräckligt att de formella förutsättningarna för att ett gemensamt personuppgiftsansvar ska kunna uppstå är uppfyllda. För att det ska kunna vara fråga om ett gemensamt personuppgiftsansvar måste de faktiska omständigheterna ge vid handen att ändamålen och medlen bestäms gemensamt mellan flera personuppgiftsansvariga.6
6 Jfr Europeiska dataskyddsstyrelsen (2021), Guidelines 07/2020 on the concepts of controller
and processor in the GDPR version 2.0, antagna den 7 juli 2021, s. 19, p. 52. Se även s. 22, p. 68.
9.3.3. Formen för reglering av villkoren för personuppgiftsbiträdets behandling
Den som behandlar personuppgifter för den personuppgiftsansvariges räkning är personuppgiftsbiträde (artikel 4.8 dataskyddsförordningen). När uppgifter behandlas av ett personuppgiftsbiträde ska hanteringen regleras antingen genom ett avtal eller en annan rättsakt enligt unionsrätten eller enligt medlemsstaternas nationella rätt som är bindande för personuppgiftsbiträdet med avseende på den personuppgiftsansvarige (artikel 28.3 dataskyddsförordningen). I delbetänkandet finns en redogörelse för kraven på personuppgiftsbiträdesavtalets innehåll. Det avtal eller den andra rättsakt som avses i artikel 28.3 och 28.4 ska upprättas skriftligen, inbegripet i ett elektroniskt format (artikel 28.9 dataskyddsförordningen).
Det förefaller finnas en möjlighet enligt dataskyddsförordningen att fastställa det som annars hade framgått av ett personuppgiftsbiträdesavtal i nationell rätt. I Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (dataskyddsdirektivet) hade bestämmelsen om formen för reglering av personuppgiftsbiträdets behandling för den personuppgiftsansvariges räkning följande lydelse:
När uppgifter behandlas av [ett personuppgiftsbiträde] skall hanteringen regleras genom ett avtal eller genom en annan rättsligt bindande handling mellan [personuppgiftsbiträdet] och den [personuppgiftsansvarige]
(vår kursivering) (artikel 17.3 dataskyddsdirektivet). Möjligheten att reglera personuppgiftsbiträdets behandling genom nationell rätt i stället för genom ett personuppgiftsbiträdesavtal framstår därmed som ny i och med dataskyddsförordningens tillkomst.
En fråga som inställer sig är om den nationella rätten måste föreskriva samtliga villkor som framgår av artikel 28.3. Europeiska dataskyddsstyrelsen har gjort tolkningen att så inte är fallet, utan att den nationella rätten kan kompletteras med ett avtal eller annan nationell rätt som inkluderar resten av de obligatoriska villkoren.7
Regeringen gjorde i samband med översynen av behovet av författningsändringar på de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga områdena i anledning av dataskydds-
7 Europeiska dataskyddsstyrelsen (2021), Guidelines 07/2020 on the concepts of controller and
processor in the GDPR version 2.0, antagna den 7 juli 2021, s. 32, p. 102.
förordningen bedömningen att kraven på personuppgiftsbiträdens behandling av personuppgifter i fastighetsregistret lämpligen regleras i en författning i stället för i ett avtal. Regeringen föreslog därför en rätt för Lantmäteriet att (i egenskap av personuppgiftsansvarig) meddela föreskrifter i anledning av artikel 28.3 i dataskyddsförordningen.8
Av 83 § förordningen (2000:308) om fastighetsregister framgår bl.a. att Lantmäteriet får meddela sådana föreskrifter om personuppgiftsbiträdens hantering av personuppgifter som avses i artikel 28.3 i dataskyddsförordningen. Sådana föreskrifter har meddelats av Lantmäteriet i Lantmäteriets föreskrifter om kommuners och kommunala lantmäterimyndigheters personuppgiftsbehandling vid registreringsåtgärder i fastighetsregistret (LMFS 2018:3).
Vi kan sammanfattningsvis konstatera att dataskyddsförordningen lämnar ett utrymme för medlemsstaterna att reglera villkoren för ett personuppgiftsbiträdes behandling av personuppgifter i nationell rätt. Det enda exempel som vi kunnat finna på en sådan reglering i Sverige är ovan nämnda föreskrifter från Lantmäteriet. Vi kan också konstatera att med den tolkning av dataskyddsförordningen som EDPB gör så måste inte samtliga villkor för personuppgiftsbiträdets behandling framgå av den nationella rätten, utan delar av villkoren kan regleras i ett avtal som kompletterar den nationella rätten.
8Ds 2017:19 Anpassningar av de fastighetsrättsliga, associationsrättsliga, transporträttsliga och immaterialrättsliga författningarna till dataskyddsförordningen, s. 128 f.
10. Utgångspunkter och principer för varaktiga former för samordnad statlig it-drift
I detta kapitel redogör vi för våra överväganden och förslag när det gäller utgångspunkter och principer för varaktiga former för samordnad och säker statlig it-drift, dvs. sådant som bör gälla oavsett hur en samordnad statlig it-drift närmare organiseras. Det handlar om former för organisering och styrning, inriktning för tjänsteutbud liksom principer för anslutning, säkerhet och finansiering.
10.1. Regeringen bör inrätta varaktiga former för samordnad statlig it-drift
Utredningens bedömning: Många myndigheter saknar i dag vik-
tiga förutsättningar för att kunna välja säkra och kostnadseffektiva it-driftslösningar i sin verksamhet. För att kunna välja rätt itdriftslösning finns det därför behov av stöd. Våra kartläggningar visar också att det finns ett brett intresse av it-driftstjänster som tillhandahålls av en annan myndighet, även om myndigheternas behov och förutsättningar varierar. Regeringen bör därför skapa bättre förutsättningar för myndigheter att få stöd i val av it-driftsform.
Utredningens förslag: Regeringen ska inrätta varaktiga former
för en samordnad statlig it-drift. Den samordnade statliga it-driften ska bidra till att lösa gemensamma behov och problem. Den samordnade statliga it-driften ska också stödja myndigheterna i arbetet med att välja säkra och kostnadseffektiva lösningar för it-drift – från informationskartläggning och -klassificering till val av it-drifts-
form: egen regi, samordnad statlig regi eller genom utkontraktering till en privat leverantör. I detta ingår att regeringen skapar varaktiga former för ett samordnat statligt tjänsteutbud.
Samtidigt som globalisering och digitalisering bidrar till förutsättningar för välstånd, tillväxt och utveckling så ökar sårbarheten och risken för hot och påverkan. Detta ställer stora krav på myndigheterna att klargöra vilka krav på säkerhet deras verksamhet och uppgifter omfattas av.
Från våra direktiv och av vår kartläggning vet vi att myndigheternas befintliga it-driftslösningar inte alltid är tillräckligt säkra eller kostnadseffektiva. Myndigheterna upplever att det är oklart vilka itdriftslösningar som är lämpliga och vilka alternativ som finns att tillgå. Det framgår även brister i myndigheternas informationssäkerhetsarbete, vilket påverkar förutsättningarna för myndigheterna att välja rätt lösningar för sin it-drift. Därutöver vet vi att det råder kompetensbrist inom områdena it, säkerhet och juridik. Beställarkompetens lyfts fram som ett särskilt problem.
En grundläggande utgångspunkt för organiseringen av den svenska statsförvaltningen är att statliga myndigheter är fristående och ansvarar för sin egen verksamhet. Det ansvar som en myndighet har för sin egen verksamhet kan inte överlåtas. Varje myndighet ansvarar därmed för att säkerställa säkra och kostnadseffektiva lösningar för sin it-drift. Myndigheter kommer även i framtiden att ha behov av olika driftsalternativ, där ett samordnat statligt tjänsteutbud utgör ett driftsalternativ vid sidan av utkontraktering till privata leverantörer och drift i egen regi. En viktig förutsättning för att kunna säkerställa säkra och kostnadseffektiva lösningar för den egna it-driften är att myndigheten bedriver ett systematiskt informationssäkerhetsarbete.
Av vår kartläggning framgår att det finns ett brett intresse för itdriftstjänster som tillhandahålls av en annan myndighet inom statsförvaltningen, men att myndigheternas behov och förutsättningar varierar. Det är tydligt att många myndigheter i dag saknar viktiga förutsättningar för att kunna bedöma och besluta om vilken it-driftslösning som är mest lämplig för den information som myndigheten hanterar. För att kunna välja rätt it-driftslösning finns därför behov av stöd.
Vi föreslår att regeringen inrättar varaktiga former för en samordnad statlig it-drift med utgångspunkt i det behov av stöd som
många myndigheter ger uttryck för. En samordnad statlig it-drift ska bidra till att lösa gemensamma behov och problem. Vi föreslår att den samordnade statliga it-driften ska kunna stödja myndigheterna i arbetet – från informationskartläggning och -klassificering till val av it-driftsform: egen regi, samordnad statlig regi eller genom utkontraktering till en privat leverantör. I detta ingår att regeringen skapar varaktiga former för ett samordnat statligt tjänsteutbud. Den samordnade statliga it-driften inkluderar därmed både det stöd som ges till myndigheter vid valet av it-driftslösningar och tillhandahållande av ett samordnat statligt tjänsteutbud.
10.2. Organisering av en samordnad statlig it-drift
Utredningens bedömning: Statliga myndigheter samordnar sin
it-drift redan i dag. Flera myndigheter har förmåga, kapacitet, kompetens och intresse av att bidra i en samordnad statlig it-drift. Den kompetens som finns inom statsförvaltningen bör tillvaratas. För att lösa gemensamma behov och problem behövs en tydligare styrning och en förstärkt samordning av utbud och insatser inom ramen för en samordnad statlig it-drift jämfört med vad som gäller i dag.
Utredningens förslag: För att uppnå regeringens intentioner om
en varaktig, samordnad, säker och kostnadseffektiv it-drift och tillvarata befintlig förmåga, kapacitet och kompetens ska en samordnad statlig it-drift organiseras utifrån befintliga verksamheter och en samlad styrning genom samordnade uppdrag till flera myndigheter.
Våra kartläggningar och analyser visar att samordnade lösningar för it-drift inte är något nytt fenomen. Myndigheter samordnar sin itdrift redan i dag. Enligt vår enkät har 50 myndigheter någon form av samordnad it-driftslösning med en annan myndighet. Av dessa är 36 myndigheter mottagare och 14 myndigheter tillhandahållare av it-drift. Här ingår också de myndigheter som är anslutna till Försäkringskassans samordnade it-drift. Ursprunget till myndigheternas samordning varierar, men i korthet handlar det om gemensam historik, gemensamt uppdrag eller geografisk närhet. Det saknas dock en sam-
lad bild över hur samordningen fungerar och vilka effekter dagens samordningslösningar ger.
I vårt uppdrag ingår att lämna förslag på hur en samordnad itdrift för den statliga förvaltningen kan organiseras på ett varaktigt, säkert och kostnadseffektivt sätt. Vi ska analysera om it-drift bör tillhandahållas av en ny eller befintlig myndighet eller om tjänsterna kan tillhandahållas av flera olika myndigheter, exempelvis utifrån sektorsspecifika behov. Vi redogör för möjliga alternativ och dess för- och nackdelar nedan.
10.2.1. Utgå från ny eller befintlig verksamhet?
Varaktiga former för samordnad statlig it-drift kan etableras som en ny verksamhet i form av en ny myndighet eller ett nytt statligt bolag. En samordnad statlig it-drift kan också bygga på befintlig verksamhet i en eller flera myndigheter.
En ny myndighet eller statligt bolag
Under 2000-talet har de statliga myndigheterna minskat kraftigt i antal, vilket framför allt beror på bildandet av s.k. enmyndigheter. Principen är att etablering av nya myndigheter ska prövas nogsamt. Nya myndigheter har dock etablerats under den senaste tioårsperioden, exempelvis Statens servicecenter och Myndigheten för digital förvaltning (DIGG).
Att etablera en ny myndighet för samordnad statlig it-drift kan innebära flera fördelar. Det ger förutsättningar för ett renodlat uppdrag med tydliga ansvarsförhållanden där samordnad statlig it-drift och tillhandahållande av ett samordnat statligt tjänsteutbud utgör kärnuppdraget. Risken för målkonflikter med andra befintliga verksamheter kan undvikas. En ny myndighet skapar förutsättningar för att ta ett samlat grepp om säkerhetsfrågorna utan att behöva förhålla sig till befintliga lösningar och sårbarheter. Det kan också vara lättare att attrahera ny kompetens.
Erfarenheten är dock att det är kostsamt och tar tid att etablera en ny myndighet från grunden. Den snabba teknikutvecklingen inom it-området ställer också särskilda krav på utvecklingsförmåga och att redan från start kunna erbjuda kostnadseffektiva lösningar. Statens
servicecenters utmaningar med att etablera en avgiftsfinansierad verksamhet och samtidigt attrahera och ansluta myndigheter visar på detta. En ny myndighet förutsätter också att verksamheten snabbt kan rekrytera nyckelpersonal, vilket påverkas av att det i dag råder kompetensbrist inom flera delar av it-driftsområdet. Ur ett säkerhetsperspektiv skulle en ny myndighet för samordnad statlig it-drift innebära en ökad koncentration av uppgifter och lösningar vilket i sig innebär ökade risker och sårbarheter.
Ett annat alternativ är att bilda ett statligt bolag för samordnad statlig it-drift. En sådan lösning fanns i början av 1990-talet genom DAFA (Datamaskincentralen för administrativ databehandling) som övergick från myndighet till statligt bolag i syfte att kunna konkurrera med andra driftsorganisationer. För- och nackdelarna med ett statligt bolag är i stort sett desamma som för en ny myndighet.
Befintlig verksamhet
En samordnad statlig it-drift kan också utgå från befintlig verksamhet i en eller flera befintliga myndigheter. Enligt våra direktiv är en utgångspunkt för våra förslag att den kapacitet och de förmågor och erfarenheter som byggts upp inom ramen för Försäkringskassans pågående uppdrag ska tas tillvara. Vi kan konstatera att det finns flera myndigheter som har förmåga, kapacitet, kompetens och intresse att bidra i en samordnad statlig it-drift.
Att tillvarata och bygga vidare på kompetens, förmågor och investeringar i befintlig verksamhet ger förutsättningar för en snabbare, mer kostnadseffektiv och ”sömlös” övergång till varaktiga former för samordnad statlig it-drift. Det ger också förutsättningar att bygga vidare på och utveckla befintligt utbud av tjänster för att passa olika behov, exempelvis vad gäller säkerhetsnivå och teknisk plattform. Kompetensförsörjningen underlättas av att kompetens i befintlig verksamhet kan tillvaratas.
Nackdelen är att ett kompletterande uppdrag till en eller flera myndigheter riskerar att inte bli ett lika renodlat kärnuppdrag som vid etablering av en ny myndighet. Det kan krävas en tydligare styrning för att ge legitimitet i förhållande till övrig verksamhet i myndigheten. Befintliga strukturer, processer och kompetens i verksamheten kan också styra hur det nya uppdraget tas om hand i stället för
att nytänkande. Kompetensmässigt kan det uppstå inlåsningar genom att man utgår från befintlig personal.
Utredningens förslag
Vi föreslår att en samordnad statlig it-drift, inklusive ett samordnat statligt tjänsteutbud, utgår från den kompetens samt de förmågor och investeringar som byggts upp i befintlig verksamhet i flera myndigheter. Det ger förutsättningar för en snabbare och mer kostnadseffektiv övergång till varaktiga former för samordnad statlig it-drift än genom etablering av en ny myndighet eller ett statligt bolag.
10.2.2. Separata eller samordnade uppdrag?
En samordnad statlig it-drift kan bygga vidare på separata uppdrag till enskilda myndigheter eller en samlad styrning genom samordnade uppdrag till flera myndigheter. Våra kartläggningar och analyser visar att flera myndigheter i dag erbjuder it-driftstjänster till andra statliga myndigheter. Samordningen har sin grund i myndigheternas instruktion eller i ett tidigare eller pågående regeringsuppdrag. Vår bedömning är att det också finns samordning som inte utgår från något formellt uppdrag utan snarare har kommit till av praktiska skäl. Det finns i dag inte någon samlad bild eller styrning av de enskilda uppdragen om samordnad it-drift.
Separata uppdrag
Med separata uppdrag menar vi att flera myndigheter har uppdrag inom en samordnad statlig it-drift och att uppdragen styrs och genomförs utan att samordnas med varandra, dvs. som det ser ut i dag.
Att i likhet med vad som sker i dag fortsätta med separata uppdrag att tillhandahålla it-driftstjänster till andra myndigheter kan vara en enkel lösning. Den kräver inte några större förändringar eller några särskilda samordningsinsatser. Möjligen kan det finnas behov av att förlänga befintliga regeringsuppdrag eller att genom ändringar i myndigheters instruktion utöka eller ge som en permanent uppgift att tillhandahålla it-drift. Behov och förutsättningar för de myndigheter
som erbjuder it-drift kan också behöva tillgodoses och anpassas. Genom separata uppdrag kan befintlig samordning fortgå och utvecklas utan närmare styrning.
Nackdelen med separata uppdrag är att regeringens intentioner om en samordnad, säker och kostnadseffektiv it-drift blir svårare att uppnå. Genom att de enskilda uppdragen till myndigheterna styrs från respektive sakdepartement blir det svårt att få en samlad bild av behov, utbud, resultat och effekter av det arbete som pågår. Det blir också svårt för de myndigheter som är intresserade av samordnad statlig it-drift att få kännedom om vilka myndigheter som erbjuder it-driftstjänster, vilka it-driftstjänster och säkerhetsnivåer som olika myndigheter erbjuder samt att göra kostnadsjämförelser.
Samordnade uppdrag till flera myndigheter
Med samordnade uppdrag menar vi att regeringens styrning av myndigheterna är formulerade utifrån en helhet – samordnad statlig itdrift – och att uppdragen styrs och följs upp som en helhet från Regeringskansliet. Någon av myndigheterna kan också få i uppgift att samordna helheten. En mer samlad styrning utifrån ett helhetsperspektiv ger bättre förutsättningar att uppnå regeringens intentioner om samordnad, säker och kostnadseffektiv it-drift än genom separata uppdrag. Genom att samordna styrningen kan regeringen få en samlad bild av statliga myndigheters behov av olika it-driftstjänster, av befintligt utbud av statliga it-driftstjänster och vilka resultat och effekter som uppnås i den samordnade statliga it-driften. Samordnade uppdrag underlättar också för de myndigheter som efterfrågar stöd att få överblick över det samordnade statliga tjänsteutbudet och vilket stöd de kan få i olika it-driftsfrågor.
Utmaningen med en samlad styrning genom samordnade uppdrag är att den riskerar att skapa en komplex styrmodell med flera myndigheter som ska samverka och förhålla sig till varandra när det gäller mandat, roller och ansvar. För de myndigheter där uppdraget inom en samordnad statlig it-drift inte är ett kärnuppdrag kan prioriteringsproblem i verksamheten uppstå. Samordnade uppdrag ställer också större krav på samordnad styrning och uppföljning inom Regeringskansliet i och med att flera departement berörs. Här kan målkonflikter uppstå då olika departement kan ha olika prioriteringar.
Samordnade uppdrag kan också vara mer resurskrävande vilket kan påverka kostnadseffektiviteten i lösningen.
Utredningens förslag
Vi föreslår att en samordnad statlig it-drift ska bygga på en samlad styrning genom samordnade uppdrag till flera myndigheter i stället för separata uppdrag till enskilda myndigheter. Det underlättar för de myndigheter som efterfrågar stöd och möjliggör en mer samlad styrning och uppföljning av den samordnade statliga it-driften utifrån regeringens intentioner. En samlad styrning genom samordnade uppdrag till flera myndigheter ställer dock krav på en tydlig styrmodell med tydliga uppgifter och ansvarsfördelning mellan myndigheterna och en samordnad styrning inom Regeringskansliet.
10.3. Former för styrning
Vi har i avsnitt 4.3.1 redogjort för de bedömningar som gjordes av Utredningen om effektiv styrning av nationella digitala tjänster i betänkandet reboot – omstart för den digitala förvaltningen (SOU 2017:114). Utredningen gör bl.a. följande bedömning: ”De offentliga myndigheterna måste i sitt digitaliseringsarbete ha stöd i rättsordningen för sina åtgärder. I de fall det förväntade digitaliseringsarbetet i samverkan med andra och resultatet av detta inte ryms inom myndigheternas befintliga uppdrag och befogenheter, måste det uppmärksammas så att regeringen och i förekommande fall riksdagen kan vidta åtgärder för att ändra myndigheternas uppdrag och befogenheter.” Vi delar denna bedömning.
I detta avsnitt behandlas vilken formell styrning som krävs av den samordnade statliga it-driften utifrån den förvaltningsrättsliga legalitetsprincipen.
10.3.1. Den förvaltningsrättsliga legalitetsprincipen
Den förvaltningsrättsliga legalitetsprincipen kommer till uttryck i 5 § första stycket förvaltningslagen. Där sägs att en myndighet endast får vidta åtgärder som har stöd i rättsordningen. Genom bestämmel-
sen skickas en klar signal om att all offentlig verksamhet, oavsett dess karaktär, ytterst måste grundas på skrivna normer (jfr dock det som nedan sägs om sedvanerättsligt grundande normer) och att det alltså går en skiljelinje mellan privaträttsliga subjekts principiella rätt till ett fritt agerande och myndigheternas åligganden att fullgöra bestämda uppgifter i det allmännas tjänst.
Bestämmelsen är tillämplig vid all förvaltningsverksamhet. I lagmotiven sägs att avsikten med bestämmelsen är att hindra myndigheterna från att agera helt vid sidan av sina i författning givna åligganden (prop. 2016/17:180 s. 58 f.). Vidare uttalas att bestämmelsen tar sikte på de källor som tillsammans bildar rättsordningen i vidsträckt mening. Det krävs alltså någon form av normmässig förankring för all typ av verksamhet som en myndighet bedriver. Däremot bör det inte ställas krav på att varje enskild åtgärd som en myndighet vidtar kan kopplas till ett specifikt bemyndigande. Kravet på legalitet bör inte heller uppfattas så att en myndighets åtgärd måste ha uttryckligt stöd i en viss lagbestämmelse eller i andra föreskrifter som har meddelats i enlighet med 8 kap. RF. Det är för att det inte ska råda någon tvekan på denna punkt som det i lagtexten talas om ”rättsordningen” och inte t.ex. ”lag eller annan författning” vilket Förvaltningslagskommittén föreslog (se SOU 2010:29 s. 142 ff. och jfr Lagrådets yttrande, 2017-03-10, s. 5).
I specialmotiveringen nämns att erforderligt författningsstöd kan finnas i allmänt hållna lagbestämmelser eller i detaljerad speciallagstiftning (prop. 2016/17:180 s. 289). Det kan också vara fråga om allmänna eller särskilda bestämmelser i myndighetens instruktion, i myndighetsförordningen (2007:515) eller i någon annan förordning som regeringen beslutat. Så kan t.ex. vara fallet i fråga om befogenheten för en myndighet att ingå civilrättsliga avtal eller annars uppträda som privaträttsligt subjekt. Legalitetskravet kan även vara uppfyllt genom ett förvaltningsbeslut, exempelvis om åtgärden har stöd i myndighetens regleringsbrev. Undantagsvis kan stödet också hämtas i sedvanerättsligt grundade normer (prop. 2016/17:180 s. 194).
10.3.2. Normmässig förankring för en samordnad statlig it-drift
Det måste betraktas som etablerat att en åtgärd som för den enskilde är ingripande i olika avseenden (myndighetsutövning) måste ha ett tydligare stöd i rättsordningen jämfört med åtgärder som inte på samma sätt har betydelse för enskilda.
Den verksamhet som myndigheterna ägnar sig åt när de samordnar sin it-drift kan enligt vår bedömning inte betraktas som myndighetsutövning.
Av 8 § andra stycket förvaltningslagen framgår att en myndighet inom sitt verksamhetsområde ska samverka med andra myndigheter. Vidare föreskrivs i 6 § andra stycket myndighetsförordningen att myndigheter ska verka för att genom samarbete med myndigheter och andra ta tillvara de fördelar som kan vinnas för enskilda samt för staten som helhet.
Den bärande tanken med den ovan nämnda bestämmelsen i förvaltningslagen är att en myndighet helt enkelt ska kunna fråga en annan myndighet om hjälp. Bestämmelsen bör ses som ett komplement till bestämmelsen i 6 kap. 5 § OSL i vilken det föreskrivs att en myndighet på begäran av en annan myndighet ska lämna uppgift som den förfogar över, om inte uppgiften är sekretessbelagd eller det skulle hindra arbetets behöriga gång.
Det bör noteras att bestämmelsen i 8 § förvaltningslagen inte ger en myndighet mandat att ägna sig åt något som ligger utanför dess verksamhetsområde. Vad som utgör myndighetens verksamhetsområde framgår i regel av myndighetens instruktion.
Ett samordnat statligt tjänsteutbud innebär att den myndighet som levererar it-driften – inte endast tillfälligt – utför uppgifter som tilldelats från myndigheten som erhåller it-drift. För myndigheten som erhåller it-drift innebär det att den låter en annan myndighet utföra dess uppgifter; låt vara att den anslutna myndigheten har kvar det rättsliga ansvaret för de uppgifter som omfattas av den samordnade it-driften. Det är enligt vår bedömning tveksamt om bestämmelsen i 8 § förvaltningslagen kan anses utgöra ett tillräckligt rättsligt stöd för en sådan verksamhet. I vart fall bör de myndigheter som tillhandahåller it-drift ha något slags stöd för att det i deras verksamhetsområde ingår att sköta uppgifter som tillkommer en annan myndighet. Inte heller den allmänt utformade bestämmelsen i myndighetsförordningen torde enligt vår bedömning kunna åberopas i sammanhanget. Om den
bestämmelsen skulle kunna tolkas så liberalt skulle den kunna läggas till grund för i stort sett vilken samverkan som helst myndigheter emellan.
Slutsatsen är alltså att det måste finnas ett rättsligt stöd för att myndigheter ska kunna samordna sin it-drift.
10.3.3. Hur ska den samordnade statliga it-driften regleras?
Utredningens bedömning: Formerna för den samordnade stat-
liga it-driften bör regleras samlat i en särskild författning.
Utredningens förslag: Den samordnade statliga it-driften ska
regleras genom en förordning om samordnad statlig it-drift. De myndighetsuppdrag som föranleds av den samordnade statliga itdriften ska framgå av förordningen. Berörda myndigheters instruktioner ska kompletteras med hänvisningar till förordningen.
Enligt våra direktiv ska vi lämna förslag på varaktiga former för samordnad statlig it-drift. För att varaktiga former för samordnad statlig it-drift ska kunna förverkligas är det nödvändigt med någon form av formell styrning. Behovet av formell styrning beror alltså inte endast på de krav som den förvaltningsrättsliga legalitetsprincipen ställer.
I detta avsnitt redogör vi för våra överväganden när det gäller frågan hur den samordnade statliga it-driften bör regleras.
Uppdrag genom regeringsbeslut eller regleringsbrev
Som vi bedömer saken utgör den förvaltningsrättsliga legalitetsprincipen inget hinder mot att åstadkomma en styrning av en samordnad statlig it-drift genom att i regeringsbeslut eller i regleringsbrev ge vissa av myndigheterna i uppdrag att samordna sin it-drift på ett visst sätt.
Det bör återigen framhållas att vi har i uppdrag att lämna förslag på varaktiga former för samordnad statlig it-drift. En styrning genom regeringsbeslut eller regleringsbrev brukar avse tidsbegränsade uppdrag. Kravet på varaktighet medför att det framstår som mindre lämpligt att föreslå en reglering genom regeringsbeslut eller regleringsbrev. Vi lämnar därför inte något sådant förslag.
En förordning om samordnad statlig it-drift
För att fullt ut uppnå de nyttor som kan vinnas genom att staten samordnar sin it-drift är det viktigt att det sker på ett samlat och genomtänkt sätt. Utredningen bedömer därför att det finns ett behov av att samordna den samverkan som sker och styra samordningen på ett samlat sätt. För att åstadkomma en samlad bild av den samordnade statliga it-driften med den tydlighet som krävs är det nödvändigt att formerna för it-driften regleras i en särskild författning. Det finns inte några konstitutionella skäl eller andra skäl för att dessa regler ska lagfästas. En förordning är således tillräckligt.
Förordningen bör innehålla grundläggande bestämmelser om roller och ansvar inom den organisation för samordnad statlig it-drift som vi föreslår. Regelverket bör ge en samlad bild, och därför är det nödvändigt att reglera de involverade myndigheternas uppgifter i förordningen. Myndigheternas instruktioner bör kompletteras med en hänvisning till förordningen. Det är vår bedömning att en alltför detaljerad förordningsreglering bör undvikas. Det gäller särskilt hur de involverade myndigheterna ska samverka med varandra. Det är bättre att myndigheterna själva får utveckla de former och rutiner för samarbete som är nödvändiga för att den samordnade statliga itdriften ska fungera. Inget hindrar emellertid att vi i betänkandet utvecklar vår syn på hur dessa frågor kan hanteras, vilket vi gör i våra förslag i detta kapitel och i kapitel 11.
10.4. Tjänsteutbud inom den samordnade statliga it-driften
I detta avsnitt redovisar vi de överväganden vi gjort när det gäller det tjänsteutbud som ska erbjudas inom ramen för en samordnad statlig it-drift.
En central utgångspunkt för våra förslag är att privata leverantörers tjänster är en viktig del av den lösning som vi föreslår. I detta avsnitt redogör vi därför för hur privata leverantörers tjänster kan vara en del av en samordnad statlig it-drift och ett samordnat statligt tjänsteutbud.
Vi redogör också för vilka principer som bör gälla för vilka tjänster som ska erbjudas inom det samordnade statliga tjänsteutbudet.
Våra överväganden rör även hur behov av nya tjänster inom it-drift ska tillgodoses.
Vi tar därutöver ställning till frågan om förordningens tillämpningsområde bör begränsas till uppgifter som avser endast teknisk lagring eller teknisk bearbetning i den mening som avses i 2 kap. 13 § andra stycket TF.
10.4.1. Tjänsteutbudet ska bygga på tjänster som levereras av privata leverantörer och av myndigheter
Utredningens bedömning: Myndigheter bör dra nytta av privata
leverantörers tjänster eftersom dessa tjänster kan bidra till säkerhet och förutsättningar för innovation. Samtidigt är det inte alltid lämpligt eller möjligt för en myndighet att utkontraktera it-drift till en privat leverantör. Därför bör det även finnas ett samordnat statligt tjänsteutbud, som består av tjänster som levereras av en annan myndighet. Det ska i sammanhanget framhållas att även tjänster som ingår i ett samordnat statligt tjänsteutbud i någon utsträckning kommer att bygga på privata leverantörers tjänster.
Utredningens förslag: Tjänsteutbudet inom samordnad statlig
it-drift ska bestå dels av tjänster som levereras av privata leverantörer, dels av ett samordnat statligt tjänsteutbud.
Den samordnade statliga it-driften ska stödja myndigheterna i arbetet med att välja säkra och kostnadseffektiva lösningar för it-drift antingen i egen regi, samordnad statlig regi eller genom utkontraktering till en privat leverantör. Vi erfar att det finns mycket att vinna för myndigheter i att använda privata leverantörers tjänster för it-drift, inte minst ur ett innovations- och utvecklingsperspektiv.
Samtidigt är det inte alltid lämpligt eller möjligt för en myndighet att utkontraktera hela eller delar av sin it-drift till en privat leverantör. Det bör då finnas en möjlighet att erhålla it-driftstjänster från en annan myndighet, om detta utgör en lämplig lösning. Det ska i sammanhanget framhållas att även tjänster som ingår i ett samordnat statligt tjänsteutbud i någon utsträckning kommer att bygga på privata leverantörers tjänster.
Vi föreslår mot denna bakgrund att tjänsteutbudet inom samordnad statlig it-drift ska bestå dels av tjänster som levereras av privata leverantörer, dels av ett samordnat statligt tjänsteutbud bestående av tjänster som levereras av myndigheter.
Privata leverantörers tjänster kommer att ingå även i det samordnade statliga tjänsteutbudet genom att tjänsterna som erbjuds av myndigheter inom ett samordnad statligt tjänsteutbud i vissa fall bygger på licenser eller tjänster som köps in från privata leverantörer.
10.4.2. Tjänster från privata leverantörer ska som utgångspunkt upphandlas samordnat
Utredningens bedömning: Privata leverantörers tjänster bör ut-
göra en central del av en samordnad statlig it-drift. Den samordnade statliga it-driften bör innehålla mekanismer för att myndigheter ska kunna tillgodogöra sig privata leverantörers tjänster. Någon marknadsplats bör i dagsläget inte inrättas men stöd att använda sig av befintliga initiativ av typen marknadsplats, exempelvis Gaia-X, bör lämnas inom ramen för en samordnad statlig it-drift.
Utredningens förslag: Privata leverantörers tjänster ska upp-
handlas samordnat.
Vi ska enligt våra direktiv analysera om och föreslå hur privata leverantörer kan användas vid tillhandahållande av samordnad it-drift. Som vi beskriver i föregående avsnitt kommer privata leverantörers tjänster ingå som en del i det samordnade statliga tjänsteutbudet. Det finns anledning att överväga hur privata leverantörers tjänster utöver detta kan utgöra en del av tjänsteutbudet inom samordnad statlig itdrift.
En utgångspunkt för våra förslag är att it-driftstjänster som tillhandahålls av en annan myndighet ska vara ett alternativ i första hand när det utifrån aspekter som säkerhet eller kostnadseffektivitet inte är lämpligt att it-drift utkontrakteras till en privat leverantör. Privata leverantörers tjänster kommer därför enligt vår mening fylla en fortsatt viktig roll i förhållande till myndigheters it-driftslösningar.
Vi har samtidigt erfarit att upphandling av it-driftstjänster är ett område som uppfattas som svårt. Det ställer höga krav på olika typer av kompetenser, inte minst för att ställa rätt krav i en upphandling. En viktig utgångspunkt är att myndigheten har god inblick i vilken informationshantering som är föremål för den tjänst som är tänkt att upphandlas, för att det ska finnas förutsättningar för att ställa rätt krav i upphandlingen. Vi anser att det finns anledning att samordna upphandling av tjänster inom it-drift i större utsträckning än vad som sker i dagsläget. Vi föreslår därför att privata leverantörers tjänster inom it-drift som utgångspunkt ska upphandlas samordnat.
När det gäller privata leverantörers tjänster som ingår som en del av de tjänster som kommer att erbjudas inom ramen för ett samordnat statligt tjänsteutbud så gäller redan i dag enligt förordningen (1998:796) om statlig inköpssamordning att dessa tjänster som utgångspunkt ska upphandlas samordnat eller avropas från ett befintligt ramavtal.
Ett sätt att främja användningen av privata leverantörers it-driftstjänster är att inrätta en marknadsplats för sådana tjänster. Av omvärldsanalysen som vi presenterade i delbetänkandet framgår att sådana initiativ tagits i två av de länder som ingick i omvärldsanalysen – Norge och Storbritannien.
Att tillgängliga tjänster presenteras på ett samlat vis kan underlätta för myndigheter att hitta relevanta tjänster. Vi bedömer dock att detta underlättar marginellt för myndigheterna eftersom utmaningar kopplade till kravställning och upphandling inte avhjälps av en marknadsplats. En marknadsplats har inte heller någon påverkan på grundproblematiken med myndigheters bristande informationssäkerhetsarbete.
Mot denna bakgrund föreslår vi inte ett inrättande av en marknadsplats för it-driftstjänster. Vi anser dock att det är viktigt att dra nytta av befintliga initiativ, såsom Gaia-X.
10.4.3. Ett samordnat statligt tjänsteutbud ska utgå från samlade behov och befintlig förmåga
Utredningens bedömning: Behovet av samordnade it-driftstjäns-
ter varierar inom statsförvaltningen. Vilka tjänster som ska ingå i det samordnade statliga tjänsteutbudet bör därför inte avgränsas i det här skedet. De tjänster som erbjuds bör paketeras och på sikt standardiseras för att underlätta för myndigheternas anslutning.
Utredningens förslag: De tjänster som ska ingå i det samordnade
statliga tjänsteutbudet ska fastställas genom att matcha myndigheternas efterfrågan mot de tjänster som de myndigheter som ska tillhandahålla it-drift har förmåga att leverera.
En viktig faktor som vi enligt våra direktiv ska ta hänsyn till när vi överväger vilka tjänster som ska ingå i det samordnade statliga tjänsteutbudet är hur behovet ser ut inom statsförvaltningen. Samtidigt är det viktigt att behovet vägs mot de förutsättningar som finns hos de myndigheter som ska tillhandahålla it-drift.
Av vår kartläggning framgår att behovet av tjänster inom ett samordnat statligt tjänsteutbud varierar inom statsförvaltningen. Vissa myndigheter efterfrågar ett helhetsåtagande medan andra myndigheter ser ett samordnat statligt tjänsteutbud som ett komplement till drift i egen regi eller utkontraktering till en privat leverantör. Bland de myndigheter som ser ett samordnat statligt tjänsteutbud som ett komplement till övriga driftsformer så sprider sig intresset för tjänster från enstaka infrastrukturtjänster till drift av specifika applikationer.
En annan aspekt som är viktig att ta hänsyn till är vilka förutsättningar de myndigheter som ska tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud behöver för att kunna leverera. Enligt vår bedömning finns det en risk att bristen på reglering av vilka tjänster som ska tillhandahållas kan leda till svårigheter för de myndigheter som ska tillhandahålla tjänsterna att planera sin verksamhet. Detta framgår t.ex. av våra dialoger med myndigheter som i dag erbjuder tjänster till andra myndigheter, inte minst Statens servicecenters erfarenheter av att tillhandahålla administrativa stödtjänster till myndigheter.
Ett sätt att underlätta planeringen för de myndigheter som ska leverera it-driftstjänster inom ramen för det samordnade statliga
tjänsteutbudet är att i förordningen som vi föreslår ange vilka tjänster som ska levereras till myndigheter som är anslutna till ett samordnat statligt tjänsteutbud. För Statens servicecenter finns en sådan lösning. I bilaga 1 till förordning (2015:665) om statliga myndigheters användning av Statens servicecenters tjänster anges vilka myndigheter som till ett visst datum ska ha anslutit sig till Statens servicecenters lönerelaterade tjänster. I bilaga 2 anges vilka myndigheter som senast ett visst datum ska ha anslutit sig till Statens servicecenters tjänster för elektronisk beställnings- och fakturahantering.
Inom ramen för det samordnade statliga tjänsteutbudet finns det behov av en större bredd av olika tjänster jämfört med de tjänster som Statens servicecenter tillhandahåller. Att i en bilaga till förordningen om samordnad statlig it-drift ange alla de tjänster som ska levereras inom ramen för ett samordnat statligt tjänsteutbud skulle medföra en tungrodd detaljreglering. En annan betydande nackdel är att det skulle krävas en förordningsändring varje gång någon tjänst byts ut eller ändras.
Ett sätt att avgränsa tjänsteutbudet skulle kunna vara att utgå från de tjänster där efterfrågan är störst. Av enkäten framgår att merparten av de myndigheter som angett att de är intresserade av att ansluta sig till ett samordnat statligt tjänsteutbud är intresserade av någon typ av infrastrukturtjänst. En annan naturlig avgränsning skulle kunna vara att till en början erbjuda de tjänster som är lättare att standardisera, vilket troligtvis är tjänster i de lägre delarna av tjänstekartan (se avsnitt 5.1.1) t.ex. infrastrukturtjänster. Detta skulle tala för att avgränsa tjänsteutbudet till denna typ av tjänster. Samtidigt vet vi att en komplex driftsmodell med flera olika leverantörer kan vara utmanande för de myndigheter som saknar relevant kompetens. Av våra analyser framgår vidare att många av de myndigheter som är i störst behov av stöd ofta efterfrågar ett så kallat helhetsåtagande.
Ytterligare ett sätt att avgränsa tjänsteutbudet är att utgå från befintliga myndigheters förmåga att leverera it-drift till andra myndigheter och hur denna förmåga korresponderar med den efterfrågan som finns bland myndigheter. Det kan då falla sig naturligt att till en början omfatta vissa tjänster, för att på sikt kompletteras med ytterligare tjänster om behovet bedöms som tillräckligt stort.
Ett sätt att underlätta för de myndigheter som ska tillhandahålla it-drift är att ge rätt finansiella förutsättningar för att kunna för-
bereda t.ex. sammanställning och standardisering av tjänster. Vi återkommer till detta under avsnitt 10.7.
Utredningens förslag
Sammantaget bedömer vi att det inte är lämpligt att i det här skedet avgränsa vilket tjänsteutbud som ska ingå i det samordnade statliga tjänsteutbudet. Utifrån vår kartläggning av myndigheternas behov bedömer vi att tjänsteutbudet från början behöver var brett.
En viktig utgångspunkt i våra förslag är att tjänsteutbudet ska utgå från befintliga myndigheters förmåga att leverera tjänster till andra myndigheter. Det är samtidigt viktigt att de tjänster som tillhandhålls inom ramen för det samordnade statliga tjänsteutbudet paketeras för att de myndigheter som är intresserade av att ansluta sig ska kunna bilda sig en uppfattning om vilka tjänster som erbjuds och till vilket pris. Paketeringen behöver anpassas för externt bruk, likt det arbete Försäkringskassan har påbörjat inom sitt uppdrag att erbjuda samordnad och säker statlig it-drift. Även implementeringen av ett ramverk likt TBM (Technology Business Management) skapar enligt vår uppfattning bättre förutsättningar för anslutande myndigheter att få överblick över vilka tjänster som erbjuds.
Vilka tjänster som blir aktuella att tillhandahålla i det samordnade statliga tjänsteutbudet ska utgå från en analys av hur behovet ser ut hos de myndigheter som vill ansluta sig och hur det korresponderar med den förmåga som finns hos de myndigheter som kan komma att leverera tjänsterna.
På sikt och löpande kommer myndigheterna som tillhandahåller it-drift även behöva se över på vilket sätt tjänsteutbudet kan standardiseras dels genom den leverans som ges av de myndigheter som tillhandahåller it-drift, dels genom standardisering av det totala samordnade statliga tjänsteutbudet för att möjliggöra så kostnadseffektiva lösningar som möjligt. Det kan t.ex. bli aktuellt för de myndigheter som tillhandahåller det samordnade statliga tjänsteutbudet att inledningsvis tillhandahålla tjänster där en standardisering är lättare att genomföra och där konsekvenserna för de myndigheter som ansluter sig blir mindre. På sikt kan även det totala samordnade statliga tjänsteutbudet standardiseras genom att myndigheterna kommer överens om vilka tjänster som ska tillhandahållas av respektive myndighet.
10.4.4. Behov av nya tjänster bör i första hand tillgodoses genom samordnad upphandling av privata leverantörers tjänster
Utredningens bedömning: Behov av nya tjänster inom samord-
nad statlig it-drift bör i första hand tillgodoses genom att tjänsterna upphandlas samordnat från privata leverantörer. Om det inte är lämpligt att efterfrågade tjänster tillhandahålls av en privat leverantör eller om en efterfrågad tjänst inte erbjuds på marknaden så bör en myndighet ges i uppdrag att utveckla den efterfrågade tjänsten. Samordnad upphandling eller utveckling inom ramen för det samordnade statliga tjänsteutbudet bör endast bli aktuellt när en tjänst efterfrågas av flera myndigheter.
En principiell fråga är hur behov av tjänster som inte ingår i det samordnade statliga tjänsteutbudet ska tillgodoses. Det gäller i synnerhet när de tjänster som efterfrågas inte ryms inom befintlig förmåga hos de myndigheter som kan komma ifråga att erbjuda tjänster inom ett samordnat statligt tjänsteutbud. Behovet kan då tillgodoses antingen genom upphandling av privata leverantörers tjänster eller genom utveckling av det samordnade statliga tjänsteutbudet. Om det senare alternativet väljs uppstår frågan hur åtgärderna ska finansieras. Vi befarar att det finns en risk för konkurrensrättsliga komplikationer, i synnerhet vid egen utveckling som finansieras med anslagsmedel. Det är dessutom en allmän förvaltningspolitisk inriktning att konkurrensutsättning ska ske om det är lämpligt. Vi är mot denna bakgrund av uppfattningen att behov av nya tjänster inom it-drift i första hand ska tillgodoses genom att tjänsterna upphandlas från privata leverantörer.
Ett syfte med den samordnade statliga it-driften är att myndigheter ska erbjudas ett standardiserat utbud av tjänster som tillhandahålls av leverantörsmyndigheter och privata leverantörer. Tjänsteutbudet ska bygga på samlade behov. Med samlade behov, i motsats till enskilda behov, avses flera myndigheters behov. Upphandlingen bör därför enligt vår mening ske samordnat, dvs. genom att en aktör med uppdrag att genomföra samordnade upphandlingar av ramavtal tillgodoser flera myndigheters behov.
Det kan dock inte uteslutas att det kommer uppstå situationer där det inte är lämpligt eller möjligt att upphandla de efterfrågade
tjänsterna på den privata marknaden, på grund av att tjänsterna inte erbjuds på marknaden eller att tjänster som erbjuds inte lever upp till krav som ställs på statliga myndigheters hantering av it-drift. Om den efterfrågade tjänsten inte erbjuds av privata leverantörer, eller om det exempelvis av säkerhetsmässiga skäl inte är lämpligt att en privat leverantör tillhandahåller den efterfrågade tjänsten, så kan en myndighet ges i uppdrag att utveckla tjänsten. Om finansieringen av utvecklingen ska ske genom anslag så behöver frågan om anslagen kan utgöra ett otillåtet statsstöd utredas, se vidare avsnitt 11.9.
Utredningens förslag
Behov hos flera myndigheter som inte kan tillgodoses genom befintliga tjänster inom det samordnade statliga tjänsteutbudet behöver utredas och analyseras. Vid analysen av hur myndigheternas behov ska tillgodoses är det viktigt att utreda på vilket sätt privata leverantörer kan nyttjas. Det behöver även analyseras i vilken utsträckning t.ex. stöd till myndigheter för att värdera hur privata leverantörer lever upp till myndigheternas olika krav kan lösa de utmaningar och problem som myndigheten måste hantera. Om det skulle framgå att det finns ett gemensamt behov hos tillräckligt många myndigheter kan det finnas skäl att i första hand utreda möjligheten till en samordnad upphandling av den efterfrågade tjänsten.
Om det inte är möjligt eller lämpligt att nyttja tjänster från privata leverantörer behöver det undersökas om myndigheter som levererar tjänster inom ett samordnat statligt tjänsteutbud kan utveckla en sådan tjänst. Det behöver även utredas om det är lämpligt utifrån ett kostnadseffektivitets- och säkerhetsperspektiv att en myndighet som levererar tjänster inom ett samordnat statligt tjänsteutbud utvecklar tjänsten.
10.4.5. Teknisk lagring och teknisk bearbetning
Utredningens bedömning: Förordningens tillämpningsområde
bör inte begränsas till att avse endast teknisk lagring eller teknisk bearbetning för annans räkning.
Vi har övervägt möjligheten att begränsa förordningens tillämpningsområde till tjänster inom it-drift som avser endast teknisk bearbetning eller teknisk lagring för annans räkning i den mening som avses i 2 kap. 13 § första stycket TF.
För tjänster inom ett samordnat statligt tjänsteutbud som endast avser teknisk lagring eller teknisk bearbetning för annans räkning kommer den sekretessbrytande bestämmelse vi föreslagit i delbetänkandet att vara tillämplig. Vidare kommer sekretessen – enligt huvudregeln – att överföras från den anslutna myndigheten till den myndighet som tillhandahåller it-driftstjänster enligt 11 kap. 4 a § offentlighets- och sekretesslagen (2009:400) och hos den tillhandahållande myndigheten kommer det råda absolut sekretess för uppgift om enskilds personliga eller ekonomiska förhållanden enligt 40 kap. 5 § samma lag. I sekretesshänseende är det alltså tämligen oproblematiskt att hantera uppgifter med hjälp av tjänster inom ett samordnat statligt tjänsteutbud så länge informationshanteringen inte går utöver endast teknisk bearbetning eller teknisk lagring för annans räkning.
En informationshantering inom samordnad statlig it-drift som går utöver endast teknisk bearbetning eller teknisk lagring för annans räkning förutsätter att de uppgifter som berörs kan lämnas ut från en myndighet som erhåller it-drift till den tillhandahållande myndigheten utan hinder av sekretess. Det står klart att en sådan samordning i många situationer skulle behöva föregås av rättsliga avvägningar som inte är helt enkla att göra.
Såvitt vi kan bedöma skulle en begränsning av förordningens tilllämpningsområde till tjänster inom it-drift som avser endast teknisk bearbetning eller teknisk lagring för annans räkning inte på något sätt förändra det rättsläge som i dag råder när det gäller myndigheternas möjligheter att samordna sin it-drift i sådana former som går utöver endast teknisk lagring eller teknisk bearbetning för annans räkning, eller eliminera de bedömningar som krävs. Det går inte att komma ifrån att myndigheter som tillhandahåller respektive är anslutna till ett samordnat statligt tjänsteutbud ändå skulle behöva ta ställning till frågan om den informationshantering som sker med hjälp av tjänsterna endast avser teknisk lagring eller teknisk bearbetning för annans räkning. En samordning som innebär informationshantering som inte är begränsad till endast teknisk bearbetning eller teknisk lagring för annans räkning skulle däremot naturligtvis inte kunna ske med stöd av den förordning vi föreslår.
Det har inte framkommit i vår utvärdering av Försäkringskassan (se kapitel 6) eller i något av de andra exempel på samordnad statlig it-drift som vi redogjort för i kapitel 7 att det funnits ett behov av att tillhandahålla tjänster som innebär en informationshantering som går utöver endast teknisk bearbetning eller teknisk lagring för annans räkning. Det finns också enligt vår bedömning mycket som talar för att it-drift i form av infrastrukturtjänster ofta innebär en informationshantering som är begränsad till enbart teknisk bearbetning eller teknisk lagring för annans räkning mot bakgrund av den höga grad av automation som ofta präglar dessa tjänster. Vår kartläggning av myndigheters behov av it-drift visar dessutom att myndigheterna i störst utsträckning efterfrågar tjänster inom infrastrukturlagret.
Vi kan mot denna bakgrund inte se att det finns något bärande skäl för att införa en regel som begränsar förordningens tillämpningsområde till att avse enbart teknisk bearbetning och teknisk lagring för annans räkning. Vi har därför landat i slutsatsen att någon sådan bestämmelse inte bör införas.
10.5. Anslutning till det samordnade statliga tjänsteutbudet
Utredningens bedömning: Det är inte möjligt att inom ramen
för utredningen avgöra vilka myndigheter som ska ansluta sig till det samordnade statliga tjänsteutbudet. Det skulle kräva ingående kunskaper om varje enskild myndighets behov av it-driftstjänster och förutsättningar. En obligatorisk anslutning riskerar att frånta myndigheterna en del av det ansvar som de har för den egna verksamheten, genom att de fråntas möjligheten att själva fatta beslut om it-drift. Anslutning till det samordnade statliga tjänsteutbudet behöver inte föregås av upphandling.
Utredningens förslag: Bedömningen av vilka myndigheter som
ska anslutas ska ske i dialog mellan de myndigheter som ska tillhandahålla it-drift och de myndigheter som anmäler intresse för att ansluta sig. Bedömningen ska göras med utgångspunkt i det mål och syfte som formuleras för den samordnade statliga it-driften. Anslutningen till det samordnade statliga tjänsteutbudet ska vara frivillig och bygga på överenskommelser mellan de samverkande myndigheterna.
Enligt våra direktiv ska vi överväga om det bör vara obligatoriskt för delar av den statliga förvaltningen att ansluta sig till samordnad statlig it-drift eller om anslutningen ska grunda sig på frivillighet. I det följande avsnittet redogör vi för våra överväganden.
Av våra direktiv framgår det även att vi ska utreda hur en samordnad statlig it-drift förhåller sig till regelverken om offentlig upphandling. Vi har i avsnitt 8.3 redogjort för rättsläget avseende köp mellan statliga myndigheter. Vi gör där bedömningen att köp mellan statliga myndigheter inte omfattas av upphandlingsregleringen. Mot denna bakgrund bedömer vi att tjänsterna inom det samordnade statliga tjänsteutbudet inte behöver upphandlas.
10.5.1. Obligatorisk eller frivillig anslutning
Det finns två huvudalternativ när det gäller frågan hur myndigheter ska ansluta sig till ett samordnat statligt tjänsteutbud – genom obligatorisk anslutning eller anslutning som bygger på frivillighet.
En obligatorisk anslutning innebär att regeringen från början reglerar vilka myndigheter som ska vara anslutna till det samordnade statliga tjänsteutbudet genom den förordning vi föreslår. Det skulle kunna anses innebära att regeringen fråntar myndigheterna ansvaret för att uppfylla kraven på informationssäkerhet inom myndigheten. En obligatorisk anslutning kan antingen omfatta alla myndigheter eller endast ett urval. En anslutning som bygger på frivillighet innebär att myndigheterna själva avgör om de ska ansluta sig till det samordnade statliga tjänsteutbudet eller inte. Det finns fördelar med en förordningsreglerad anslutning när det gäller möjligheten att nå de volymer som krävs för att ge skalfördelar och därigenom kostnadseffektivitet. Med utgångspunkt i den kartläggning vi gjort är det däremot tydligt att myndigheters behov och förutsättningar skiljer sig åt och vilken it-driftslösning som är mest lämplig varierar beroende på vilken verksamhet som bedrivs och vilken typ av uppgifter myndigheten hanterar i verksamheten. Myndigheterna efterfrågar vidare en flexibel och valbar lösning. Att avgöra vilka myndigheter som ska ansluta sig till det samordnade statliga tjänsteutbudet skulle kräva ingående kunskap om varje enskild myndighets behov av it-driftstjänster och förutsättningar. Vi föreslår därför inte en obligatorisk anslutning.
En anslutning som bygger på frivillighet innebär att myndigheterna själva avgör om de ska ansluta sig till det samordnade statliga tjänsteutbudet. Ett alternativ är att föreskriva att de myndigheter som vill ansluta sig ska träffa en överenskommelse om samverkan med den eller de myndigheter som ska tillhandahålla it-driftstjänsterna. Nås ingen överenskommelse kommer inte någon anslutning till stånd. En sådan ordning innebär att de myndigheter som ska tillhandahålla it-driftstjänsterna ges en möjlighet att neka en myndighet anslutning. Det står klart att en frivillig anslutning – oavsett hur den utformas – har fördelen att myndigheterna själva beslutar om de ska ansluta sig. En frivillig anslutning ger även den myndighet som ska leverera itdriftstjänster möjlighet att bedöma om det är lämpligt att ansluta en viss myndighet. Vår bedömning är att varje myndighet har bäst förutsättningar att själv fatta dessa beslut. En nackdel med en frivillig anslutning är emellertid svårigheten för de myndigheter som ska tillhandahålla it-driftstjänster att planera sin verksamhet.
Utmaningar och risker med en frivillig anslutning
Vi har övervägt olika sätt att hantera de nackdelar som en frivillig anslutning för med sig. En ordning som vi särskilt övervägt är att i en bilaga till förordningen om samordnad statlig it-drift lista de myndigheter som frivilligt anslutit sig. Själva anslutningen skulle alltså vara frivillig men en myndighet som anslutit sig till ett samordnat statligt tjänsteutbud skulle inte kunna avbryta samverkan med mindre än att förordningen ändras.
Anledningen till att vi övervägt en sådan ordning har främst varit för att underlätta för de myndigheter som ska leverera it-driftstjänsterna att planera sin verksamhet. Ett problem är emellertid att det av en sådan reglering visserligen skulle framgå om en myndighet ska vara ansluten till det samordnade statliga tjänsteutbudet samtidigt som det inte finns något i förordningen som binder myndigheten till vissa specifika tjänster. Vår slutsats är därmed att det inte finns tillräckligt goda skäl för att inkludera en bilaga till förordningen med en lista över de myndigheter som anslutit sig.
För att skapa förutsägbarhet för de myndigheter som tillhandahåller it-drift återstår därmed att förlita sig på de samverkansformer som etablerats inom statsförvaltningen genom överenskommelser. Samtidigt är det viktigt att ha i åtanke att staten utgör en juridisk person och som en konsekvens av det utgör en överenskommelse om samverkan mellan två statliga myndigheter inget avtal i civilrättslig mening. Den ena myndigheten kan inte gå till domstol och t.ex. kräva skadestånd av den andra myndigheten för att den inte fullföljt åtagandet enligt överenskommelsen. Oavsett om det finns en överenskommelse eller inte kommer en myndighet kunna avsluta vissa tjänster eller kräva att vissa tjänster byts ut mot andra.
Utredningens förslag
Anslutningen till det samordnade statliga tjänsteutbudet bör bygga på frivillighet. En anslutning bör också bygga på att anslutande myndighet och den myndighet som tillhandahåller it-driftstjänster träffar en överenskommelse med varandra. Det innebär att myndigheterna fattar självständiga beslut som endast gäller för den myndighet som har fattat beslutet. En anslutning bör således inte kunna komma ifråga om inte den anslutande myndigheten såväl som den eller de myndig-
heter som ska tillhandahålla it-drift var och en har fattat beslut om sitt åtagande. Med en sådan ordning står det samtliga myndigheter fritt att avstå från en anslutning.
Då återstår frågan hur de nackdelar som är förknippade med en frivillig anslutning ska hanteras. Det vi har i åtanke är främst de planeringsproblem som kan uppstå och som har sin grund i att vi inte föreslår ett reglerat tjänsteutbud. Vi bedömer att dessa svårigheter kan mildras om ett samarbete mellan myndigheterna bygger på en överenskommelse om samverkan i enlighet med vad som beskrivits ovan. Visserligen är det så att ingen av myndigheterna är civilrättsligt förpliktade att fullfölja överenskommelsen men vi anser att man ändå måste kunna utgå ifrån att de involverade myndigheterna gör vad de kan för att fullfölja ingångna överenskommelser. Risken för komplikationer bör således inte överdrivas. Om den situationen skulle uppstå att involverade myndigheter inte kommer överens i en fråga får den ytterst lösas av regeringen.
Vår slutsats är därmed att anslutningen till den samordnade statliga it-driften ska vara frivillig och bygga på samverkansöverenskommelser mellan de involverade myndigheterna.
10.6. Säkerhet
Säkerhet i en samordnad statlig it-drift omfattar såväl säkerheten i enskilda myndigheter som i den samordnade statliga it-driften som helhet. Som vi beskriver i kapitel 2 relaterar vi begreppet säker till de krav som ställs på säkerhetsskydd, informationssäkerhet, sekretess och dataskydd. Till detta kommer också totalförsvarsperspektivet på en samordnad statlig it-drift. I detta avsnitt går vi igenom vilka säkerhetsaspekter som behöver säkerställas på olika nivåer i en samordnad statlig it-drift – för den enskilda myndigheten, den samordnade statliga it-driften och utifrån ett totalförsvarsperspektiv.
10.6.1. En samordnad statlig it-drift har en central betydelse i ett stärkt civilt försvar
Utredningens bedömning: Säker it-drift och en samordnad stat-
lig it-drift har en central roll i ett stärkt civilt försvar. I samband med inrättandet av varaktiga former för samordnad statlig it-drift bör ställning tas till den samordnade statliga it-driftens roll i organisationen för civilt försvar.
Som vi redogör för i kapitel 3 konstaterar utredningen om civilt försvar i sitt betänkande att beroendet av digital information är en avgörande skillnad för den nu återupptagna planeringen för totalförsvaret jämfört med den totalförsvarsplanering som genomfördes under det kalla kriget. Utredningen om civilt försvar föreslår med anledning av detta en särskild beredskapssektor för försörjning av grunddata. Utredningen går dock inte specifikt in på vilken roll it-drift har i ett stärkt civilt försvar. Vi har förstått att man i utredningen diskuterade om säker it-drift borde ingå i beredskapssektorn försörjning av grunddata eller elektroniska kommunikationer alternativt vara en del av ett särskilt beredskapsområde för cybersäkerhet. I slutändan sågs dock säker it-drift som en separat fråga som är föremål för utredning och därmed osäker hur den kan komma att hanteras framöver. Därför valde man att lyfta ut frågan om säker it-drift helt från utredningens förslag.
Den ökade digitaliseringen ställer redan i dag krav på robusthet och redundans i myndigheters informationshantering – krav som blir ännu viktigare vid svåra förhållanden eller i händelse av krig. I detta ligger inte bara att säkra samhällsviktiga grunddata utan även att säkra myndigheters it-drift. Säkra it-driftslösningar är en förutsättning för att säkerställa konfidentialitet, riktighet och tillgänglighet i statliga myndigheters information. En samordnad statlig it-drift ställer i sig krav på robusthet och redundans i lösningarna, men kan också bidra till ökad säkerhet i statliga myndigheters it-drift. Ur ett totalförsvarsperspektiv måste säkerhetsnivån i en samordnad statlig it-drift utgå från ett långsiktigt perspektiv – den säkerhet vi behöver framöver är den säkerhet vi behöver i dag.
Vår bedömning är att säker it-drift och en samordnad statlig itdrift har en central roll i ett stärkt civilt försvar. I samband med inrättandet av varaktiga former för samordnad statlig it-drift bör därför
ställning tas till den samordnade statliga it-driftens roll i organisationen för civilt försvar.
10.6.2. En samordnad statlig it-drift ska bidra till att ge myndigheter bättre förutsättningar att göra medvetna val av it-driftslösningar
Utredningens bedömning: Bristande informationsklassificering
och avsaknad av relevant kompetens är de största hindren för säker it-drift i statliga myndigheter. Myndigheter behöver stöd i bl.a. informationssäkerhetsfrågor för att kunna välja rätt it-driftslösningar. En samordnad statlig it-drift bör därför bidra till att ge myndigheter stöd för att kunna göra rätt val.
Utredningens förslag: En samordnad statlig it-drift ska bidra till
att ge myndigheter bättre förutsättningar att göra medvetna val av säkra och kostnadseffektiva it-driftslösningar.
Varje myndighet ansvarar för säkerheten i sin egen verksamhet och för de uppgifter som hanteras i verksamheten. Att myndigheter har kunskap om vilka uppgifter som hanteras och vilka krav som ställs på uppgiftshanteringen är viktigt för att kunna välja rätt it-driftslösningar. Ett systematiskt informationssäkerhetsarbete inklusive informationsklassificering är grunden för att säkerställa detta. Bristande informationsklassificering kan leda till att myndigheter väljer it-driftslösningar som inte ger ett tillräckligt skydd för de uppgifter som hanteras i verksamheten. Det kan också leda till det motsatta, dvs. att myndigheten väljer alltför säkra och kostsamma it-driftslösningar.
Att enskilda myndigheter har kunskap om vilka uppgifter de hanterar i sin verksamhet lägger också grunden för säkerheten i ett samordnat statligt tjänsteutbud. Om en myndighet ansluter sig till det samordnade statliga tjänsteutbudet utan att veta vilka uppgifter som överförs finns en risk att det inom det samordnade statliga tjänsteutbudet hanteras skyddsvärda uppgifter utan att det finns vetskap om det. Bristande informationssäkerhet hos den enskilda myndigheten kan på så vis leda till bristande säkerhet i det samordnade statliga tjänsteutbudet.
Vår kartläggning visar att många myndigheter brister i sitt informationssäkerhetsarbete. Detta konstaterar även Myndigheten för samhällsskydd och beredskap (MSB) i sina uppföljningar av det systematiska informationssäkerhetsarbetet i offentlig sektor. Hälften av de myndigheter som besvarade vår enkät hade inte klassat sin information. Även om detta särskilt gäller små och medelsmå myndigheter visar vår enkätundersökning att såväl små som stora myndigheter ser bristande informationsklassificering och avsaknad av relevant kompetens som de största hindren för säker it-drift.
Vår bedömning är att ett systematiskt informationssäkerhetsarbete är en förutsättning för att myndigheter ska kunna välja rätt itdriftslösningar. En samordnad statlig it-drift ska därför bidra till att ge myndigheter bättre förutsättningar att göra medvetna val av säkra och kostnadseffektiva it-driftslösningar.
10.6.3. Säkerhetskraven påverkar utformningen av en samordnad statlig it-drift
Utredningens bedömning: Det ställs särskilda krav på säkerheten
i ett samordnat statligt tjänsteutbud där myndigheter erbjuder itdriftslösningar till andra myndigheter. Genom ett samordnat statligt tjänsteutbud samlas informationsmängder från flera olika myndigheter hos ett fåtal myndigheter. Det samordnade statliga tjänsteutbudet bör därför bygga på en flexibel och transparent lösning där it-driftstjänster från flera privata leverantörer ingår. Statliga aktörer måste dock ha rådigheten över det samordnade statliga tjänsteutbudet. Redundans säkerställs genom spegling med flera datacenter. Ur ett säkerhetsperspektiv bedöms en sektorsindelning för anslutning av myndigheter inte vara lämplig.
Utöver säkerhetskraven som gäller för enskilda myndigheters itdrift ställs särskilda krav på säkerheten i en samordnad statlig it-drift och det samordnade statliga tjänsteutbudet. Genom ett samordnat statligt tjänsteutbud samlas informationsmängder från flera olika myndigheter hos ett fåtal myndigheter. Varje myndighet och informationsmängd som ansluts till det samordnade statliga tjänsteutbudet ställer krav på skydd av informationens konfidentialitet, riktighet och tillgänglighet. Driftstörningar och andra typer av incidenter får mer
omfattande konsekvenser i en samordnad lösning. Större informationsmängder kan också öka intresset och risken för hot och påverkan. Sårbarheter i informationssystem inom det samordnade statliga tjänsteutbudet kan utnyttjas av kriminella eller andra typer av antagonister.
I våra kontakter med expertmyndigheterna på säkerhetsområdet har de framhållit att det finns behov av en samordnad statlig it-drift för att säkerställa en säker it-drift i enskilda myndigheter. Det ställs dock särskilda krav på säkerheten i ett samordnat statligt tjänsteutbud vilket påverkar hur den samordnade lösningen lämpligen bör utformas. För att säkerställa en hög säkerhet i det samordnade statlig tjänsteutbudet bör it-driftslösningar från ett flertal privata leverantörer ingå. Alternativet att bygga en isolerad myndighetslösning innebär att det skapas fördröjningar i systemen som i sig ger säkerhetsrisker och gör den svårare att skydda. Statliga aktörer måste dock ha rådigheten över det samordnade statliga tjänsteutbudet.
Det bör även finnas en flexibilitet i de lösningar som nyttjas inom ramen för en samordnad statlig it-drift, dvs. en blandning av tjänster som hanteras på olika sätt: tjänster som helt hanteras av privata leverantörer, privata leverantörers it-driftstjänster men där driften hanteras av en myndighet samt tjänster som hanteras uteslutande i statlig regi. Vilken lösning som är lämplig får avgöras utifrån krav på säkerhet och funktion i varje enskild del. En samordnad lösning bör också bygga på transparenta system, dvs. som till designen är förutsägbara och där man genom övervakning kan identifiera sårbarheter och hot. Redundans kan säkerställas på flera sätt, bl.a. genom spegling med flera datacenter och geografisk placering.
Av våra direktiv framgår att vi ska ta ställning till om tjänsterna i den samordnade statliga it-driften kan tillhandahållas av flera olika myndigheter utifrån sektorsspecifika behov. Av vår kartläggning av befintliga exempel på samordnad it-drift framgår att flera myndigheter förordar en sektorsspecifik indelning för att det underlättar samverkan mellan myndigheter, t.ex. genom ökad förståelse för varandras uppdrag. Vi har däremot förstått att det av säkerhetsskäl inte vore lämpligt med en sådan indelning eftersom ett eventuellt driftsstopp eller en attack skulle riskera att slå ut en hel sektor. Vi har också lyft frågan om det skulle vara lämpligt att samla myndigheter som har särskilt höga krav på säkerhet hos en myndighet, men fått medskicket att det skulle innebära stora risker. Detta talar för att de
myndigheter som önskar ansluta sig till ett samordnat statligt tjänsteutbud sprids mellan de myndigheter som tillhandahåller it-drift.
10.6.4. En samordnad lösning ska minimera riskerna med aggregerade informationsmängder
Utredningens bedömning: De myndigheter som får uppdraget
att tillhandahålla tjänster inom ramen för ett samordnat statligt tjänsteutbud ansvarar för att bedöma vilket behov som finns av säkerhetsskydd för den egna verksamheten.
Utredningens förslag: För att minimera riskerna med aggrege-
rade informationsmängder ska tjänster inom ett samordnat statligt tjänsteutbud levereras av flera myndigheter.
Att samla stora mängder information eller information från flera myndigheter innebär en ökad risk för olika typer av angrepp, med en potentiellt stor samhällspåverkan. En aggregering av flera statliga myndigheters informationstillgångar kan även leda till att informationsmängder som fristående inte skulle bedömas falla inom ramen för säkerhetsskyddslagen (2018:585) ändå omfattas av lagen, då de samlade informationstillgångarna medför en annan hotbild och ett högre skyddsvärde.
Även om it-driftstjänster inom ramen för ett samordnat statligt tjänsteutbud skulle tillhandahållas av enbart en myndighet så innebär inte detta med nödvändighet att alla informationsmängder hanteras samlat. Vår bedömning är ändå att det finns fördelar utifrån ett säkerhetsperspektiv att sprida riskerna genom att it-driftstjänster inom det samordnade statliga tjänsteutbudet tillhandahålls av flera myndigheter.
Förekomsten av privata leverantörer, antingen som underleverantörer till myndigheter som levererar tjänster inom ett samordnat statligt tjänsteutbud eller som leverantörer av tjänster genom upphandlade ramavtal, innebär ytterligare spridning av informationshanteringen. Detta gäller dock enbart i den utsträckning som det finns en spridning av uppdragsgivare (dvs. myndigheter) bland de privata leverantörer som levererar it-driftstjänster till ett samordnat statligt tjänsteutbud och direkt till myndigheter.
Vår uppfattning är att det inte är utredningens ansvar att göra en bedömning av vilka närmare krav som säkerhetsskyddsregleringen ställer på de myndigheter som ska tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud. Detta eftersom säkerhetsskyddslagen riktar sig till verksamhetsutövare, dvs. den som bedriver en viss verksamhet. Ansvaret för bedömning av vilka krav som finns på att vidta åtgärder enligt säkerhetsskyddslagen ligger därmed på de myndigheter som kan bli aktuella för att tillhandahålla it-driftstjänster inom ramen för ett samordnat statligt tjänsteutbud. Vilka bedömningar det rör sig om berör vi närmare i avsnitt 11.6.
10.6.5. Säkerhetsskyddslagen medger inte samlade samrådsförfaranden
Utredningens bedömning: Samrådsskyldigheten enligt säkerhets-
skyddslagen åligger verksamhetsutövaren, dvs. den myndighet som är huvudman för den verksamhet som träffas av krav på säkerhetsskydd. Säkerhetsskyddslagen medger inte samlade samråd, dvs. att en myndighet som tillhandahåller tjänster inom det samordnade statliga tjänsteutbudet genomför samråd för flera anslutna myndigheters räkning.
Det har framförts till utredningen att det i de fall som det krävs ett samråd enligt säkerhetsskyddslagstiftningen inom ramen för samordnad it-drift vore önskvärt med samlade samråd där den myndighet som tillhandahåller it-drift samråder för flera anslutna myndigheters räkning.
Samrådsskyldigheten enligt säkerhetsskyddslagstiftningen åligger verksamhetsutövaren, dvs. den myndighet som är huvudman för den verksamhet som träffas av krav på säkerhetsskydd. Vår bedömning är att säkerhetsskyddslagen inte lämnar utrymme för att någon annan aktör samråder med tillsynsmyndigheten för verksamhetsutövarens räkning. Detta skulle förutsätta ändringar i säkerhetsskyddslagen. Även om samlade samråd skulle innebära effektiviseringsvinster så är vi enligt våra direktiv förhindrade att lämna förslag på ändringar i säkerhetsskyddsregleringen.
10.6.6. Avgränsning av säkerhetskänslig verksamhet
Utredningens bedömning: Den avgränsning av myndigheter som
finns i våra direktiv, dvs. att försvarsmyndigheterna och Säkerhetspolisen inte ska hanteras i en samordnad statlig it-drift, är tillräcklig. I övrigt ansvarar varje enskild myndighet för att göra bedömningar av vad som utgör säkerhetskänslig verksamhet och vilka säkerhetskrav sådan verksamhet ställer på it-driftslösningar.
Utredningens förslag: Fortifikationsverket, Försvarets materiel-
verk, Försvarets radioanstalt, Försvarshögskolan, Försvarsmakten, Försvarsunderrättelsedomstolen, Statens inspektion för försvarsunderrättelseverksamheten, Säkerhetspolisen, Totalförsvarets plikt- och prövningsverk och Totalförsvarets forskningsinstitut ska undantas från förordningens tillämpningsområde.
I vårt uppdrag ingår att redogöra för om det finns vissa myndigheter, utöver försvarsmyndigheterna och Säkerhetspolisen, vars verksamhet inte bör hanteras inom ramen för en samordnad statlig it-drift.
Som vi framhållit tidigare ansvarar varje myndighet för att säkerställa att myndigheten uppfyller gällande krav i sin verksamhet. I detta ligger också att bedöma om myndigheten bedriver säkerhetskänslig verksamhet utifrån säkerhetsskyddslagen. Säkerhetskänslig verksamhet kan omfatta såväl större som mindre delar av en myndighets totala verksamhet. Det vore därför olämpligt om utredningen skulle peka ut myndigheter eller verksamheter som inte skulle ges möjlighet att nyttja tjänster inom ett samordnat statligt tjänsteutbud. Eftersom vårt förslag bygger på frivillig anslutning är det upp till varje enskild myndighet att göra denna bedömning.
Vår bedömning är att den avgränsning av myndigheter som redan är gjord i våra direktiv, dvs. att försvarsmyndigheterna och Säkerhetspolisen inte ska hanteras i en samordnad statlig it-drift, är tillräcklig. Därutöver är det viktigt att de myndigheter som levererar tjänster inom ramen för det samordnade statliga tjänsteutbudet säkerställer att säkerhetsskyddslagens krav uppfylls i verksamheten. Detta beskriver vi närmare i avsnitt 11.6.
10.6.7. Hantering av säkerhetsskyddsklassificerade uppgifter i det samordnade statliga tjänsteutbudet
Utredningens bedömning: Hantering av säkerhetsskyddsklassi-
ficerade uppgifter ställer särskilda krav på säkerhet vilket kan få konsekvenser för funktionalitet och kostnadseffektivitet i en samordnad lösning. Hoten mot en samordnad statlig it-drift kan öka om säkerhetsskyddsklassificerade uppgifter hanteras i det samordnade statliga tjänsteutbudet. Vi bedömer utifrån detta att säkerhetsskyddsklassificerade uppgifter inte ska hanteras inom det samordnade statliga tjänsteutbudet. Det bör inte införas någon särskild reglering om säkerhetsskyddsklassificerade uppgifter i förordningen om samordnad statlig it-drift.
Vår kartläggning visar att 40 procent av de myndigheter som besvarade vår enkät hanterade säkerhetsskyddsklassificerade uppgifter i sin verksamhet. Förekomsten av säkerhetsskyddsklassificerade uppgifter ställer särskilda krav på säkerhet i myndigheternas it-driftslösningar. En fråga är därför om säkerhetsskyddsklassificerade uppgifter bör hanteras inom det samordnade statliga tjänsteutbudet.
I 3 kap. säkerhetsskyddsförordningen finns flera bestämmelser som reglerar vilka åtgärder som ska vidtas i fråga om system där säkerhetsskyddsklassificerade uppgifter hanteras. Dessa bestämmelser kompletteras av Säkerhetspolisens föreskrifter. Av särskilt intresse för denna fråga är att om säkerhetsskyddsklassificerade uppgifter ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll så ska uppgifterna skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten. Hur detta ska hanteras inom ramen för ett samordnat statligt tjänsteutbud kräver särskild analys.
Försvarsmakten framhåller att det inte finns något hinder att inkludera säkerhetsskyddsklassificerade uppgifter i ett samordnat statligt tjänsteutbud om gällande krav i säkerhetsskyddslagen uppfylls. Kvalificerat hemliga uppgifter bör dock hållas utanför en samordnad lösning. Ju fler uppgifter som samlas i ett samordnat statligt tjänsteutbud och ju högre säkerhetsskyddsklass de har, desto högre krav kommer att ställas på säkerhetsskyddsåtgärder. Detta påverkar i sin tur funktionalitet och kostnad för lösningarna. Dessutom kan hoten mot ett samordnat statligt tjänsteutbud öka om säkerhetsskydds-
klassificerade uppgifter inkluderas. Vi bedömer utifrån detta att säkerhetsskyddsklassificerade uppgifter inte ska hanteras i det samordnade statliga tjänsteutbudet.
En särskild fråga är om det vore lämpligt att i förordningen om samordnad statlig it-drift införa ett förbud mot att inom ramen för det samordnade statliga tjänsteutbudet hantera säkerhetsskyddsklassificerade uppgifter. Vår bedömning är att befintlig lagstiftning är tillräcklig för att reglera hur säkerhetsskyddsklassificerade uppgifter ska hanteras. Det behövs därmed inte någon särskild bestämmelse i förordningen om samordnad statlig it-drift om ett förbud att hantera säkerhetsskyddsklassificerade uppgifter inom ramen för det samordnade statliga tjänsteutbudet.
Mot bakgrund av vad vår kartläggning visar om myndigheternas uppgiftshantering och informationssäkerhetsarbete bedömer vi dock att det är viktigt att säkerställa att enskilda myndigheter uppfyller kraven på hantering av säkerhetsskyddsklassificerade uppgifter i sin it-drift.
10.7. Finansieringsformer för den samordnade statliga it-driften
Utredningens bedömning: Befintliga exempel på samordnad it-
drift finansieras i huvudsak genom avgifter. Leveransen av det samordnade statliga tjänsteutbudet kommer att ske mellan två definierade parter som tillsammans slutit en överenskommelse om vilka tjänster som ska tillhandahållas. En avgiftsfinansiering är därmed att förorda för leveransen av it-driftstjänster inom ett samordnat statligt tjänsteutbud. Erfarenheter från befintliga exempel visar dock att det finns delar i den samordnade statliga itdriften som inte lämpar sig lika väl för en avgiftsfinansierad modell: kostnader för uppbyggnad av en ny verksamhet, de tidiga faserna av en anslutning samt vid utveckling och andra investeringar.
Utredningens förslag: Leveransen av tjänster inom ett samord-
nat statligt tjänsteutbud ska finansieras genom avgifter. De myndigheter som ges i uppdrag att leverera tjänster inom ett samordnat statligt tjänsteutbud ska tilldelas anslag för att finansiera de generella förberedelser som krävs.
Stödinsatser till myndigheter inom den samordnade statliga itdriften ska finansieras genom anslag. För de myndigheter som har behov av ekonomiskt stöd ska det finnas möjlighet att rekvirera bidragsmedel för anslutningen till ett samordnad statligt tjänsteutbud. Bidragsmedel ska också kunna rekvireras av de myndigheter som tillhandahåller samordnade it-drifttjänster och som åtar sig att utveckla det samordnade statliga tjänsteutbudet.
I följande avsnitt redogör vi för våra överväganden och förslag när det gäller finansieringsformer för den samordnade statliga it-driften. Vi redogör bland annat för vilka rättsliga krav olika finansieringsformer ställer, vilka för- och nackdelar som har lyfts fram kring anslags- och avgiftsfinansiering i tidigare utredningar samt vad som framgår av våra egna kartläggningar och analyser.
Bestämmelser om statens inkomster och utgifter finns i regeringsformen, riksdagsordningen och budgetlagen (2011:203). Härutöver finns ett antal förordningar av relevans, bl.a. anslagsförordningen (2011:223) och avgiftsförordningen (1992:191). Mer detaljerade bestämmelser om hur myndigheterna får disponera anslag och andra inkomster återfinns i myndighetsinstruktioner och regleringsbrev.
10.7.1. Anslag
Myndigheters verksamhet finansieras i regel via anslag. Av 1 kap. 4 § andra stycke RF följer bl.a. att det är riksdagen som beslutar hur statens medel ska användas. I linje med detta sägs i 9 kap. 3 § första stycket RF att riksdagen beslutar om anslag för bestämda ändamål. Det är alltså riksdagen som beslutar anslagen. Däremot är det regeringen som tilldelar myndigheterna anslagen (jfr 9 kap. 8 § RF). Detaljerade bestämmelser om anslag finns i anslagsförordningen.
Vid sidan om anslag förekommer bidrag som en finansieringskälla för myndigheter. Bidrag kan komma från andra myndigheter, från privata organisationer och från privatpersoner. Något samlat regelverk om bidrag finns inte. I 11 § anslagsförordningen sägs exempelvis att utbetalning av bidrag från anslag ska göras i nära anslutning till att bidraget ska användas av mottagaren. Det förekommer således att en myndighet tilldelas medel som den myndigheten i sin tur kan fördela vidare till andra myndigheter i form av bidrag. Myndigheten
för digital förvaltning (DIGG) får exempelvis – enligt sitt regleringsbrev – använda en del av sitt anslag för utveckling och förvaltning av förvaltningsgemensam digital infrastruktur. DIGG får lämna bidrag till statliga myndigheter, kommuner och regioner samt till Sveriges kommuner och Regioner (SKR) och Inera AB.
10.7.2. Avgifter
Vid sidan av den anslagsfinansierade verksamheten kan myndigheters verksamhet finansieras via avgifter. Av 9 kap. 1 § RF följer att det är riksdagens sak att besluta om avgifter till staten. I vissa fall får även regeringen besluta om avgifter till staten.
I 8 kap. 2 § första stycket punkten 2 RF sägs att föreskrifter ska meddelas genom lag om de avser förhållandet mellan enskilda och det allmänna under förutsättning att föreskrifterna gäller skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden. Inom denna kategori faller bl.a. belastande (betungande) avgifter, dvs. sådana avgifter som innebär skyldigheter för enskilda eller i övrigt avser ingrepp i enskildas personliga eller ekonomiska förhållanden.
Avgifter som tas ut när en myndighet tillhandahåller frivilligt efterfrågade varor eller tjänster, s.k. uppdragsverksamhet, tillhör däremot regeringens restkompetens, se 8 kap. 7 § första stycket p. 2 RF. Det finns alltså inget som hindrar att regeringen inför sådana avgifter och även bestämmer avgifternas storlek. När en myndighet säljer en vara eller tjänst till en annan myndighet räknas det också som uppdragsverksamhet, oavsett om efterfrågan är frivillig eller tvingande1.
Mer detaljerade bestämmelser om myndigheternas avgifter finns i avgiftsförordningen. I anslutning till förordningen har Ekonomistyrningsverket (ESV) gett ut allmänna råd och riktlinjer.
Avgiftsförordningen gäller för myndigheter under regeringen (1 §). Förordningen skall tillämpas om inte något annat följer av en annan förordning eller av ett särskilt beslut av regeringen (2 §). En myndighet får ta ut avgifter för varor och tjänster som den tillhanda-
1 ESV (2016), Hur finansierar statliga myndigheter sin verksamhet?
håller bara om det följer av en lag eller förordning eller av ett särskilt beslut av regeringen (3 §). I 4 § i förordningen sägs att myndigheter får ta ut avgifter för vissa varor och tjänster om verksamheten är av tillfällig natur eller av mindre omfattning. Bestämmelsen saknar relevans i detta sammanhang.
För att en myndighet ska få bestämma storleken på andra avgifter än de som avses i 4 § krävs ett bemyndigande från regeringen (5 § första stycket). Vidare gäller att om inte regeringen har föreskrivit något annat, ska avgifter beräknas så att de helt täcker verksamhetens kostnader (full kostnadstäckning) (5 § andra stycket). ESV har i anslutning till den senare av dessa bestämmelser lämnat en föreskrift enligt vilken myndigheterna ska – för att uppnå full kostnadstäckning i respektive avgiftsbelagd verksamhet – beräkna avgiftsnivån så att den långsiktiga självkostnaden täcks. Detta innebär, enligt samma föreskrift, att avgifterna ska beräknas så att intäkterna på ett eller några års sikt täcker samtliga med verksamheten direkt eller indirekt förenade kostnader. Som vi uppfattar denna bestämmelse innebär den att avgifterna inte heller får sättas så högt att intäkterna på ett eller några års sikt överstiger samtliga med verksamheten direkt eller indirekt förenade kostnader. 5 § avgiftsförordningen innebär alltså att myndigheterna inte får göra någon vinst på sin verksamhet.
En myndighet får disponera över andra avgiftsinkomster än sådana som avses i 4 § och 15 § i avgiftsförordningen (15 § avser avgifter för kopior av allmänna handlingar m.m.) endast efter ett särskilt bemyndigande (25 §).
10.7.3. Verksamhet som delvis finansieras genom avgifter
Som nämns ovan är huvudregeln att avgifterna ska beräknas så att de helt täcker verksamhetens kostnader. Regeringen får emellertid föreskriva annat. Det innebär således att inget hindrar att en verksamhet finansieras med både avgifter och anslag. Som exempel på detta kan nämnas att en del av den verksamhet som MSB bedriver finansieras såväl genom avgifter som genom anslag.
Det följer av förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap att myndigheten ska ta ut avgifter för grundabonnemang och tilläggstjänster som avser det gemensamma radiokommunikationssystemet för skydd och säkerhet (Rakel-
systemet). Vidare anges i år 2021 års regleringsbrev för myndigheten att den medges undantag från kravet på full kostnadstäckning för Rakel. Undantaget medger att avskrivningar på anslagsfinansierade tillgångar inte ska ingå i underlaget för beräknande av avgifter för Rakel.
10.7.4. Bör den samordnade statliga it-driften finansieras genom anslag eller genom avgifter?
Frågan om hur förvaltningsgemensam digitalisering bör finansieras har avhandlats vid flera tillfällen. Flera tidigare utredningar som berört finansieringen av förvaltningsgemensam digitalisering har i stor utsträckning fokuserat på finansiering av utveckling och nyttjande av tjänster som syftar till att lösa gränsöverskridande och sektorsövergripande behov, t.ex. Mina meddelanden och Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK). Inom ramen för en samordnad statlig it-drift rör det sig däremot primärt om tjänster som inte nödvändigtvis är gräns- eller sektorsövergripande. I stället rör det sig om tjänster som nyttjas av den enskilda myndigheten för att säkerställa grundläggande funktionalitet i myndighetens it-miljö. Det utesluter däremot inte att det kan förekomma tjänster som är av mer sektorsövergripande karaktär, exempelvis e-arkiv. Det samordnade statliga tjänsteutbudet kommer även kräva investeringar och löpande utveckling.
Gemensamt för flera tidigare utredningar är att de förordar anslagsfinansiering för att förstärka det förvaltningsgemensamma perspektivet samt öka möjligheter för statsmakterna att utöva ett yttre effektiviseringstryck på verksamheterna. I betänkandet reboot – om-
start för den digitala utvecklingen (SOU 2017:114) framgår det att
utredningen är kritisk till en finansieringsmodell som bygger på avgifter och menar att avgiftsfinansiering av förvaltningsgemensamma digitala funktioner är en vare sig tillräckligt förutsägbar, stabil eller långsiktig finansieringsform för att funktionerna, på ett effektivt sätt, ska kunna leverera de förväntade resultaten.
ESV har i sin rapport Styrning och finansiering av förvaltningsgemen-
sam digital infrastruktur från 2020 beskrivit att det finns situationer
där anslagsfinansiering är mest lämplig. Exempelvis när det är svårt att identifiera den tjänst eller den målgrupp som ska betala för tjäns-
ten eller när det är tydligt att ett avgiftsuttag skulle få icke önskvärd eller en hämmande effekt på efterfrågan.
ESV anser vidare att det även finns argument som talar för att avgiftsbelägga en verksamhet. Under förutsättning att både tjänsten och målgruppen kan identifieras kan det vara rimligt att den som använder en verksamhet eller en tjänst också betalar för den. Dessutom kan avgifter öka kostnadsmedvetenheten hos den som ska betala avgiften. Eftersom inomstatliga avgifter inte ger en finansiering till staten som helhet anser ESV att motivet till att ta ut avgifter mellan statliga myndigheter bör vara den styreffekt de förväntas ge. Ett motiv för att låta en myndighet ta betalt av andra myndigheter kan vara att de beställande myndigheterna kan prioritera hur mycket och vilken typ av verksamhet som behövs på ett bättre sätt än regeringen och den myndighet som tar betalt.
Finansiering av leveransen av tjänster inom ett samordnat statligt tjänsteutbud
Vi kan konstatera att ett samordnat statligt tjänsteutbud innebär en leverans av tjänster som mer liknar en utkontraktering av it-drift till en privat leverantör. I många delar rör det sig alltså om något som skulle kunna liknas vid en affärsuppgörelse mellan två parter. I det hänseendet liknar själva leveransen av ett samordnat statligt tjänsteutbud vad ESV hänvisar till om att både tjänsten och målgruppen kan identifieras.
Med tanke på att vi föreslår en frivillig och flexibel modell för anslutning är det svårt att se hur en anslagsfinansiering av själva affärsuppgörelsen skulle kunna se ut. Genom att disponera om anslagen blir det desto svårare för myndigheterna att vid ett senare skede ta ställning till om det finns ett annat alternativ som bättre tillgodoser myndighetens krav och behov.
För att ytterligare stärka myndigheter som ansluter sig till ett samordnat statligt tjänsteutbud i deras relation till den eller de myndigheter som tillhandahåller it-drift kan det också finnas skäl att använda avgifter. Samtidigt finns det en uppenbar risk att relationen mellan myndigheterna i allt för stor utsträckning präglas av en beställar- och utförarrelation, vilket många myndigheter anger att de vill undvika.
Finansiering av utveckling och investeringar i det samordnade statliga tjänsteutbudet
Som vi tidigare nämnt kommer det uppstå ett behov av att utveckla det samordnade statliga tjänsteutbudet och göra investeringar för att säkerställa såväl kapacitet som säkerhet. I ESV:s rapport hänvisas till att investeringar i form av förvaltningsgemensamma digitala anläggningstillgångar bör kunna finnas i två olika kategorier: verksamhetsinvesteringar och samhällsinvesteringar.2 Verksamhetsinvesteringar är investeringar som används i myndighetens verksamhet och som i huvudsak finansieras med lån från Riksgäldskontoret. Samhällsinvesteringar är investeringar som riksdagen beslutar om, antingen genom att anvisa anslag eller genom en övrig kreditram. Enligt ESV kan följande tre punkter ge vägledning i om det kan röra sig om en samhällsinvestering snarare än en verksamhetsinvestering:
1. Om investeringen snarare är resultatet av verksamheten är det att klassa som en samhällsinvestering, t.ex. Trafikverkets investeringar i järnvägar och vägar.
2. Om en myndighet gör stora anskaffningar där såväl investeringsbeloppet som vidmakthållande uppgår till väsentliga belopp, kan det finnas behov att klassificera investeringen som en samhällsinvestering.
3. Om en myndighet återkommande gör stora anskaffningar kan det finnas ett behov att rapportera detta i en investeringsplan till riksdagen.
ESV menar att merparten av de förvaltningsgemensamma tjänsterna i dag styrs och klassificeras som verksamhetsinvesteringar. I rapporten hänvisar ESV till att investeringar i flera fall än vad som nu sker skulle kunna klassificeras som samhällsinvesteringar. Myndigheten menar att det skulle ge riksdagen och regeringen bättre möjligheter att utöva en mer strategisk styrning över förvaltningens digitala investeringar. För att möjliggöra detta föreslår ESV att DIGG ska få en strategisk roll i bedömningen av vilka utvecklingsinsatser som är att se som samhällsinvesteringar.
Vissa investeringar inom det samordnade statliga tjänsteutbudet kan vara av sådan karaktär att det skulle kunna klassificeras som sam-
2 ESV (2020), Styrning och finansiering av förvaltningsgemensam digital infrastruktur.
hällsinvesteringar snarare än verksamhetsinvesteringar. Det kan t.ex. finnas ett behov av att öka säkerheten i leverantörsmyndigheternas datacenter för att leva upp till de krav som ställs på myndigheterna.
10.7.5. Avgifter fungerar överlag bra som finansieringsmodell
Av de exempel på samordnad it-drift som vi har fördjupat oss i finansieras samtliga i huvudsak genom avgifter. Av vår kartläggning framgår att merparten av dem vi har intervjuat överlag anser att avgifter fungerar bra som finansieringsmodell.
Samtidigt framgår att det finns områden då det inte lämpar sig lika väl med enbart en avgiftsfinansierad modell. Det rör sig till exempel om de kostnader som är förenade med att starta upp en verksamhet som exempelvis Försäkringskassans regeringsuppdrag om samordnad och säker statlig it-drift samt vid bildandet av Statens servicecenter.
Av erfarenheterna från länsstyrelsernas samordnade it-drift finns det sådant som talar för att vissa kostnader som är förenade med driften av bastjänster med fördel skulle kunna anslagsfinansieras. Det gäller t.ex. kostnader som är stabila över tid och som inte baseras på nyttjandet av en tjänst. Samtidigt är det viktigt att framhålla att länsstyrelsernas samordnade it-drift är obligatorisk, varför det är mer logiskt att anslagsfinansiera kostnader som är stabila över tid.
Det framgår vidare av våra intervjuer med de myndigheter som är anslutna till Försäkringskassans samordnade it-drift att det finns särskilda utmaningar för små myndigheter att bekosta de initiala faserna av en anslutningsprocess. Flera har också lyft fram att det finns problem med att finansiera investeringar och kostnader som är förknippade med utveckling av gemensamma behov.
Därutöver har flera myndigheter lyft fram att det kan finnas problem med att finansiera kostnader för utveckling genom avgifter, särskilt när det är för stora skillnader i ekonomiska förutsättningar mellan de myndigheter som ingår i en samordnad it-drift. Särskilt Skatteverket har lyft fram detta som ett problem, men även Försäkringskassan anger att de ser utmaningar med att finansiera utvecklingen av gemensamma behov inom ramen för regeringsuppdraget utan fortsatta bidragsmedel. Förvisso anser myndigheterna att den modell som Försäkringskassan tagit fram där avgifterna fastställs
genom att beräkna genomsnittskostnaderna per år över en treårsperiod till stor del underlättar finansieringen av delar av den utveckling som kan vara nödvändig. När det rör sig om större investeringar kan det däremot trots detta uppstå ekonomiska utmaningar för de myndigheter som har stramare ekonomiska ramar att förhålla sig till.
Utredningens förslag
Med utgångspunkt i det faktum att leveransen av det samordnade statliga tjänsteutbudet kommer ske mellan två definierade parter som tillsammans slutit en överenskommelse om vilka tjänster som ska tillhandahållas föreslår vi att leveransen av tjänster inom det samordnade statliga tjänsteutbudet finansieras genom avgifter. Det är även det mest logiska förfarandet med utgångspunkt i de resonemang vi fört när det gäller att skapa förutsättningar för myndigheter att själva kunna välja den it-driftslösning som är mest lämplig. Av våra exempel framgår vidare att merparten är nöjda med en avgiftsfinansierad samordnad it-drift.
Vi föreslår däremot att de initiala stödinsatser som kan bli aktuella för en myndighet som vill ansluta sig till ett samordnat statligt tjänsteutbud ska anslagsfinansieras. För att adressera små myndigheters behov av ekonomiskt stöd vid anslutning till ett samordnat statligt tjänsteutbud föreslår vi att det ska finnas bidragsmedel att tillgå.
De myndigheter som ges i uppdrag att bidra i en samordnad statlig it-drift föreslås få anslagsmedel för att finansiera de förberedelser som är nödvändiga för att kunna leverera på sitt uppdrag. Därutöver anser vi att det ska finnas möjlighet att rekvirera bidragsmedel för de myndigheter inom den samordnade statliga it-driften som åtar sig att utveckla delar av det samordnade statliga tjänsteutbudet. Vissa av de investeringar som kan komma att krävas inom det samordnade statliga tjänsteutbudet bör även kunna klassificeras som samhällsinvesteringar.
Hur detta bör hanteras och fördela sig mellan ingående aktörer återkommer vi till i avsnitt 12.5 och 12.6.
11. Förslag till varaktiga former för samordnad statlig it-drift
Vi presenterar i detta kapitel våra förslag till varaktiga former för samordnad statlig it-drift, dvs. hur en samordnad lösning ska utformas i praktiken. I detta ingår förslag på hur en samordnad statlig itdrift ska organiseras, vilka aktörer som ska ingå och vilket ansvar och uppdrag de olika aktörerna ska ha. I denna del ingår också förslag på hur samverkan inom den samordnade statliga it-driften ska organiseras. Vidare redogör vi närmare för anslutningsprocessen till den samordnade statliga it-driften och till ett samordnat statligt tjänsteutbud och de säkerhetsmässiga förutsättningarna för en samordnad statlig it-drift. Vi presenterar förslag till reglering av ett biträdes behandling av personuppgifter och samordnad upphandling samt redogör för våra konkurrensrättsliga överväganden. Slutligen redovisar vi vilka myndigheter som ska ges uppdrag inom den samordnade statliga it-driften och lämnar förslag till införande.
11.1. Mål och syfte för en samordnad statlig it-drift
Utredningens förslag: Målet för en samordnad statlig it-drift ska
vara ökad säkerhet och kostnadseffektivitet i statliga myndigheters it-drift. Syftet med den samordnade statliga it-driften ska vara att erbjuda statliga myndigheter stöd och vägledning i valet av säkra och kostnadseffektiva it-driftslösningar samt att tillhandahålla ett samordnat och ändamålsenligt statligt tjänsteutbud.
Ekonomistyrningsverket (ESV) ska ges i uppdrag att ta fram nolläge och nyckelindikatorer för uppföljning av bl.a. säkerhet och kostnadseffektivitet i en samordnad statlig it-drift. ESV ska samverka med Myndigheten för digital förvaltning (DIGG) och Myndigheten för samhällsskydd och beredskap (MSB) i uppdraget.
För att uppnå regeringens intentioner om en varaktig, samordnad, säker och kostnadseffektiv it-drift bör en samordnad statlig it-drift ha ett tydligt formulerat mål och syfte som verksamheten kan styras och följas upp mot. Vårt förslag är att målet för en samordnad statlig it-drift ska vara ökad säkerhet och kostnadseffektivitet i statliga myndigheters it-drift. Syftet med den samordnade statliga it-driften ska vara att erbjuda statliga myndigheter stöd och vägledning i valet av säkra och kostnadseffektiva it-driftslösningar samt att tillhandahålla ett samordnat statligt tjänsteutbud.
Målet och syftet ska ligga till grund för uppföljning av resultat och effekter av den samordnade statliga it-driften. För att detta ska vara möjligt är det viktigt att i förberedelserna för inrättandet av den samordnade statliga it-driften ta fram ett nolläge och nyckelindikatorer för uppföljning som ligger till grund för löpande resultat- och effektmätning. För en samordnad statlig it-drift och särskilt för det samordnade statliga tjänsteutbudet är indikatorer på både säkerhet och kostnad viktiga för att säkerställa att en samordnad lösning ger rätt stöd och bidrar med kostnadseffektiva och säkra it-driftstjänster. Därutöver är indikatorer på ändamålsenlighet och kvalitet relevanta för det samordnade statliga tjänsteutbudet. Erfarenheterna från både Försäkringskassans regeringsuppdrag och Statens servicecenter visar att det är svårt att återskapa ett nolläge i efterhand och det påverkar i sin tur möjligheten att jämföra resultat och effekter mot hur det såg ut vid start. Erfarenheterna visar också att de enskilda myndigheterna har ett stort ansvar att bidra med information och underlag som sedan kan användas i en samlad uppföljning.
För att säkerställa etablering av ett nolläge för den samordnade statliga it-driften föreslår vi att ESV får i uppdrag av regeringen att ta fram ett sådant. I uppdraget ska också ingå att ta fram nyckelindikatorer för uppföljning av den samordnade statliga it-driften. Indikatorer som omfattar olika aspekter på informationssäkerhet och kostnadseffektivitet är viktiga liksom ändamålsenlighet och kvalitet. Vi föreslår vidare att ESV ska samverka med DIGG och MSB i uppdraget.
11.2. Organisering av en samordnad statlig it-drift
Utredningens bedömning: För att underlätta för enskilda myn-
digheter bör det finnas en samordnande aktör som kan ge myndigheter stöd i it-driftsfrågor och vägleda dem i valet av säkra och kostnadseffektiva it-driftslösningar. Flera myndigheter bör leverera it-driftstjänster inom ramen för ett samordnat statligt tjänsteutbud för att kunna erbjuda en bredd av tjänster, säkerhetsnivåer och olika tekniska plattformar. Stöd- och expertmyndigheter bör ingå utifrån sina respektive kompetensområden.
Utredningens förslag: En samordnad statlig it-drift ska organi-
seras genom en samordnande myndighet och flera leverantörsmyndigheter. Leverantörsmyndigheternas tjänster ska samordnas i ett samordnat statligt tjänsteutbud. Den samordnade statliga itdriften ska underlätta för myndigheter att erhålla tjänster från privata leverantörer genom upphandlade ramavtal. Stöd- och expertmyndigheter ska ingå i organisationen för den samordnade statliga it-driften för att ge stöd inom sina respektive kompetensområden.
Som framgår i kapitel 10 föreslår vi att den samordnade statliga itdriften ska tillvarata den förmåga, kapacitet och kompetens som finns hos flera befintliga myndigheter. Vi menar att det är viktigt att omhänderta de initiativ som pågår samt det intresse som finns hos flera myndigheter att bidra i en samordnad statlig it-drift. Vi föreslår också att den samordnade statliga it-driften ska organiseras genom samordnade uppdrag till flera myndigheter.
Vår utvärdering av Försäkringskassans uppdrag om samordnad och säker statlig it-drift, vår analys av andra exempel på samordnad it-drift samt våra kontakter med olika myndigheter har gett oss underlag för att bedöma hur en samordnad statlig it-drift bör organiseras för att på bästa sätt uppfylla statliga myndigheters olika förutsättningar och behov. Vår slutsats är att den samordnade statliga it-driften ska organiseras på ett sådant sätt att den: – erbjuder myndigheter en ”en-väg-in”-lösning, – underlättar för myndigheter att välja säkra, ändamålsenliga och
kostnadseffektiva it-driftslösningar oavsett driftsform,
– stödjer potentiella myndigheter i bedömningar av behov och krav
på it-drift utifrån myndigheternas verksamhet och uppgiftshantering, – erbjuder ett samordnat statligt tjänsteutbud som omfattar olika
tekniska plattformar och säkerhetsnivåer, – utgår från enhetliga processer för anslutning, samverkan och av-
giftsuttag, samt – underlättar för regeringen att styra och följa upp helheten.
Det finns i dagsläget flera myndigheter som erbjuder it-driftstjänster till andra myndigheter och det pågår ett myndighetsgemensamt initiativ om samordnad statlig it-drift genom det myndighetsövergripande programmet Säkra it-tjänster i statlig samverkan (SITSSAM). Flera myndigheter ger också stöd i olika frågor som rör it-drift.
För en enskild myndighet som har behov av stöd i it-driftsfrågor kan det vara svårt att överblicka vilket utbud av it-driftstjänster och möjlig samordning som finns och vilket stöd det finns att tillgå. Vi ser därför ett behov av en samordnande aktör som kan bidra med stöd till myndigheter i it-driftsfrågor och vägleda dem i valet av säkra och kostnadseffektiva it-driftslösningar.
Vi bedömer också att flera myndigheter behöver leverera it-driftstjänster inom ramen för ett samordnat statligt tjänsteutbud. Det är nödvändigt för att öka anslutningstakten av myndigheter och för att kunna erbjuda en större bredd av tjänster och olika tekniska plattformar men också för att ur ett säkerhetsperspektiv sprida uppgiftshanteringen på flera aktörer.
Genom att flera myndigheters kapacitet, förmåga och kompetens samlas i en samordnad helhet ges förutsättningar att uppnå synergi- och samordningseffekter. Den samordnade lösningen förutsätter dock att ansvariga myndigheter samverkar utifrån sina respektive uppdrag, tillför relevant kompetens och bidrar i utvecklingen av den samordnade statliga it-driften.
På en övergripande nivå kan aktörerna i förslaget beskrivas enligt figur 11.1 nedan.
Figur 11.1 Aktörer i vårt förslag om samordnad statlig it-drift
Källa: Egen illustration.
Myndigheter är statliga myndigheter som har ett behov av stöd i valet
av it-driftsform. Den samordnande myndigheten är ingången till den samordnade statliga it-driften och den aktör som myndigheterna först kommer i kontakt med. Den samordnande myndigheten stödjer myndigheterna i att klargöra behov och krav på it-drift utifrån bl.a. ett informationssäkerhetsperspektiv. Leverantörsmyndigheterna förbereder anslutning till ett samordnat statligt tjänsteutbud och levererar tjänster inom it-drift till anslutna myndigheter. Kammar-
kollegiet ansvarar för att upphandla ramavtal för it-driftstjänster. Stöd- och expertmyndigheter ger stöd inom sina respektive kompe-
tensområden, exempelvis inom informationssäkerhet och säkerhetsskydd. Regeringen styr och följer upp den samordnade statliga itdriften i enlighet med uppsatta mål. Vi beskriver de olika aktörernas uppdrag, ansvar och roller mer ingående i avsnitt 11.3.
Vårt förslag på organisering bygger på samverkan. En utmaning med denna form för organisering är att tydliggöra roller, ansvar och beslutsmandat. Det finns inte några förutsättningar för den samordnande myndigheten att styra leverantörsmyndigheterna – det kan bara regeringen göra. Mot denna bakgrund bedömer vi att det är viktigt att det tydligt framgår vilken myndighet som ska fatta vilka beslut inom ramen för den samordnade statliga it-driften.
Det är enligt vår uppfattning inte aktuellt att föreskriva att beslut ska fattas gemensamt, av främst två skäl. För det första saknas det enligt vår bedömning formella förutsättningar för gemensamma beslut mellan flera myndigheter. I praktiken kan myndigheterna komma överens om vilket beslut som ska fattas, men det formella beslutet om den egna verksamheten måste fattas enskilt av respektive myndighet. För det andra ser vi en risk att exempelvis det samordnade statliga tjänsteutbudet inte kommer till stånd på grund av att en eller flera myndigheter inte är överens om vilket beslut som ska fattas.
Samtidigt är det centralt att alla relevanta synpunkter och erfarenheter inhämtas innan ett beslut om exempelvis tjänstekatalog eller modeller för samverkan tas. Våra förslag innebär därför att de beslut som ska fattas av den samordnande myndigheten i de flesta fall ska föregås av samverkan med leverantörsmyndigheterna.
Förslag som vi övervägt men avfärdat
Vi har också tagit fram och övervägt ett alternativt organisationsförslag utöver det förslag som presenteras ovan. Det alternativa förslaget utgår från att den samordnade statliga it-driften samlas i en it-
driftsmyndighet. It-driftsmyndigheten skulle ansvara för samtliga delar
i en samordnad statlig it-drift och ha all kompetens, även den operativa it-driftskompetensen. Även detta alternativ skulle utgå från att den samordnade statliga it-driften etableras utifrån förmåga och kompetens hos befintliga myndigheter. Det skulle förutsätta verksamhetsövergång från några av de myndigheter som i dag levererar it-driftstjänster till andra myndigheter. Vi har övervägt ett alternativ för verksamhetsövergång där personal på leverantörsmyndigheterna organisatoriskt skulle gå över till it-driftsmyndigheten men arbeta kvar i leverantörsmyndighetens lokaler och med teknisk utrustning som fortsatt skulle ägas av leverantörsmyndigheten. Det andra alternativet för verksamhetsövergång skulle innebära att både personal och teknisk utrustning skulle gå över från leverantörsmyndighet till it-driftsmyndigheten.
Vi har övervägt för- och nackdelarna med detta alternativ och även fört dialog med berörda myndigheter. Vår egen analys är samstämmig med det som framförts av myndigheterna.
Fördelarna med en it-driftsmyndighet är att det skulle vara en mer renodlad organisationslösning som också skulle vara lättare att styra. Det skulle även innebära att samordnad statlig it-drift skulle vara kärnuppdrag för it-driftsmyndigheten utan andra konkurrerande uppdrag. Möjligen skulle också lösningen ge bättre förutsättningar för stordriftsfördelar och kostnadseffektivitet på sikt, men detta har vi inte analyserat närmare.
Nackdelarna med alternativet överväger dock fördelarna. Verksamhetsriskerna för berörda leverantörsmyndigheter skulle bli alltför stora. Detsamma gäller säkerhetsriskerna genom att leverantörsmyndigheterna skulle förlora rådigheten över sina system. Det skulle också, beroende på lösning för verksamhetsövergång, innebära en ökad koncentration av uppgifter och därmed en ökad hotbild och säkerhetsrisk. Det finns även risker med kompetensförsörjningen eftersom it-driftsmyndigheten sannolikt skulle behöva göra omfattande rekryteringar för att få kompetens på plats i alla delar. Bedömningen är att det dessutom skulle ta lång tid att etablera en lösning med en it-driftsmyndighet.
Med anledning av ovanstående har vi valt att inte gå vidare med detta alternativ och därmed inte heller gjort djupare analyser av möjliga effekter och konsekvenser av alternativet.
Vi har också övervägt i vilken utsträckning som den samordnade statliga it-driften som vi föreslår skulle kunna utgöra en del av den förvaltningsgemensamma digitala infrastrukturen och även fört en dialog med DIGG om detta. Vår bedömning är att det inte är lämpligt att låta samordnad statlig it-drift utgöra en del av den förvaltningsgemensamma digitala infrastrukturen. Detta eftersom it-drift är ett förhållandevis smalt område, men samtidigt potentiellt resurskrävande på ett vis som skulle kunna medföra att arbetet med övriga delar av den förvaltningsgemensamma digitala infrastrukturen inte skulle kunna drivas vidare på ett effektivt sätt.
Vi bedömer att det inte heller är lämpligt att använda samma styrmodell som är föreslagen för den förvaltningsgemensamma digitala infrastrukturen eftersom den är utformad för en organisation som innefattar en mycket större bredd och variation av tjänster än enbart inom it-drift. Den föreslagna styrmodellen förutsätter dessutom att regeringen fattar beslut om de två förordningar som föreslagits för att inrätta styrmodellen. Regeringen har ännu inte tagit ställning till om eller hur det finns för avsikt att gå vidare med förslagen till för-
ordningar. Vi bedömer även av denna anledning att det inte är lämpligt att utgå från den styrmodell som föreslagits.
11.3. Aktörer: uppgifter, ansvar och roller
I detta avsnitt redogör vi närmare för de olika aktörernas uppgifter, ansvar och roller.
11.3.1. Den samordnande myndigheten
Utredningens förslag: Den samordnande myndigheten ska vara
ingången till den samordnade statliga it-driften. Myndigheten ska samordna stödet till myndigheter, sammanställa och efter samråd med leverantörsmyndigheterna besluta om ett statligt tjänsteutbud och samverka med Kammarkollegiet om ramavtal. Den samordnande myndigheten ska utveckla och förvalta gemensamma modeller, leda samverkan på förvaltningsgemensam nivå och följa upp och återrapportera den samordnade statliga it-driften till regeringen.
Den samordnande myndigheten ska vara ingången till den samordnade statliga it-driften. Myndigheten ska samordna stödet till myndigheter, analysera myndigheternas behov och ta fram, förvalta och utveckla gemensamma modeller för bl.a. samverkan. Den samordnande myndigheten ska sammanställa och efter samråd med leverantörsmyndigheterna besluta om ett statligt tjänsteutbud och samverka med Kammarkollegiet, som ska ansvara för upphandling av ramavtal på området.
Den samordnande myndigheten ska också ansvara för att leda samverkan på förvaltningsgemensam nivå och för att följa upp och återrapportera den samordnade statliga it-driften till regeringen. Vi beskriver de olika uppgifterna närmare nedan.
Ingången till den samordnade statliga it-driften
Den samordnande myndigheten ska vara vägen in till den samordnade statliga it-driften och vara den aktör som myndigheterna tar kontakt med när de har frågor om säker och kostnadseffektiv it-drift. En viktig roll för den samordnande myndigheten ska därför vara att informera om vad den samordnade statliga it-driften omfattar, vilket stöd myndigheterna kan få i valet av it-driftslösningar och vilket utbud av statliga it-driftstjänster och ramavtal som kan erbjudas. Beroende på vilka frågor eller behov en myndighet har så ska den samordnande myndigheten ha till uppgift att vägleda myndigheten rätt.
Samordnar stöd till myndigheter i it-driftsfrågor
It-drift omfattar frågor inom flera olika områden – juridik, informationssäkerhet, säkerhetsskydd, upphandling och digitalisering. Vår kartläggning visar att många myndigheter ser kompetensbrist som ett hinder för att få tillgång till säkra och kostnadseffektiva it-driftslösningar. Det finns i dag ingen myndighet som samlat ger stöd till myndigheter i frågor som rör it-drift, utan ansvaret för att ge stöd är spridda på flera myndigheter, t.ex. Integritetsskyddsmyndigheten (IMY) när det gäller behandling av personuppgifter, MSB när det gäller informationssäkerhet och Säkerhetspolisen när det gäller säkerhetsskydd. I syfte att göra det stöd som redan i dag lämnas mer verkningsfullt och överskådligt ska stödet inom den samordnade statliga itdriften samordnas genom en aktör.
Vi föreslår att den samordnande myndigheten ska stödja myndigheterna i deras arbete – från informationskartläggning och informationsklassificering till val av it-driftsform: egen regi, samordnad statlig regi eller genom utkontraktering till en privat leverantör. Exempelvis kan det handla om vägledning och stöd till myndigheter när det gäller intresseavvägningen i den sekretessbrytande bestämmelse som vi föreslagit i vårt delbetänkande. En sådan vägledning fråntar dock inte myndigheterna ansvaret att själva bedöma om ett utlämnande kan ske med stöd av den föreslagna bestämmelsen.
För att kunna göra detta ska den samordnande myndigheten dels samverka med ansvariga myndigheter på området, exempelvis MSB, tillsynsmyndigheter inom säkerhetsskydd, IMY och Upphandlingsmyndigheten, dels bygga upp egen kompetens. Vår bedömning är att
ett samordnat stöd ger bättre förutsättningar än om varje enskild myndighet på egen hand ska söka och hitta rätt stöd hos flera olika aktörer.
Stödet som lämnas av den samordnande myndigheten ska vara generellt och kan innefatta utbildning, vägledningar, checklistor och metodstöd. Varje myndighet ansvarar för att gällande regler och lagar upprätthålls inom den egna verksamheten. Ansvaret för att fatta beslut avseende den egna verksamheten övergår inte till den samordnande myndigheten och det ingår inte i den samordnande myndighetens uppgift att lämna stöd i bedömningen av enskilda sakfrågor.
För de myndigheter som väljer att ansluta sig till ett samordnat statligt tjänsteutbud ska den samordnande myndigheten bidra med information om vilka tjänster som kan tillhandahållas och vilka leverantörsmyndigheter som står till buds. Från det att myndigheten har tecknat en avsiktsförklaring övergår relationen med den anslutande myndigheten från den samordnande myndigheten till leverantörsmyndigheten. Vi beskriver anslutningsprocessen mer i detalj i avsnitt 11.5.1.
Sammanställer och analyserar behovet av stöd och it-driftstjänster
Ytterligare en central uppgift för den samordnande myndigheten ska vara att sammanställa och analysera myndigheternas behov av stöd och it-driftstjänster. Genom att vara ingången till den samordnade statliga it-driften kommer den samordnande myndigheten få både överblick och kunskap om vilket stöd och vilka it-driftstjänster som myndigheterna efterfrågar. Behovsanalysen är viktig för att kunna anpassa stödet till myndigheter, utforma ett samordnat statligt tjänsteutbud samt bidra med underlag för ramavtalsupphandlingar.
Paketerar och utvecklar det statliga tjänsteutbudet tillsammans med leverantörsmyndigheterna
Som framgår av figur 11.1 föreslår vi att flera myndigheter får i uppgift att leverera it-drift inom ramen för ett samordnat statligt tjänsteutbud. Uppgiften för den samordnande myndigheten ska vara att sammanställa det samlade tjänsteutbudet från leverantörsmyndigheterna och
efter samråd med leverantörsmyndigheterna besluta om en tjänstekatalog. Den samordnande myndigheten ska också efter samråd med leverantörsmyndigheterna ta fram en långsiktig plan för utvecklingsinsatser och investeringar inom det samordnade statliga tjänsteutbudet.
Det ingår inte i den samordnande myndighetens mandat att fatta beslut om vilken leverantörsmyndighet som ska tillhandahålla vilka tjänster. Vi förutsätter att detta är något som den samordnande myndigheten och leverantörsmyndigheterna i samverkan kan komma överens om. Om det i praktiken visar sig svårt att genomföra återstår för regeringen att lämna uppdrag till leverantörsmyndigheterna att erbjuda specifika it-driftstjänster inom ramen för ett samordnat statligt tjänsteutbud.
Den samordnande myndigheten ska även föra en förteckning över vilka it-driftstjänster som ingår i det samordnade statliga tjänsteutbudet och vilken leverantörsmyndighet som tillhandahåller respektive tjänst. Detta möjliggör för den samordnande myndigheten att ha en samlad bild av var uppgiftskoncentrationer kan uppstå till följd av det samordnade statliga tjänsteutbudet, vilket kan vara relevant utifrån säkerhetssynpunkt.
Den samordnande myndigheten ska rapportera till regeringen vilka anslutningar som sker till det samordnade statliga tjänsteutbudet.
Utvecklar och förvaltar modeller för anslutning och samverkan, prioriteringsmodell samt avgiftsmodell för den samordnade statliga it-driften
Den samordnande myndigheten ska ha en sammanhållande roll i den samordnade statliga it-driften vilket även innefattar att utveckla och förvalta de gemensamma modeller och rutiner som behövs i olika delar. Vår bedömning är att det är en fördel om myndigheterna möter samma modell för anslutning och samverkan liksom avgiftsmodell, där Försäkringskassans arbete inom regeringsuppdraget bör tillvaratas. Detsamma gäller Försäkringskassans och Skatteverkets modell för uppföljning av it-kostnader med TBM (Technology Business Management) som underlag för avgiftssättning av det samordnade statliga tjänsteutbudet.
Som vi tidigare beskrivit kan vi inte med säkerhet svara för hur många myndigheter som i slutändan är aktuella för anslutning till ett samordnat statligt tjänsteutbud eftersom vi vet att flera faktorer på-
verkar myndigheternas möjlighet att ansluta sig. Med anledning av det stora intresse som myndigheterna har visat för samordnade it-driftstjänster kan det däremot finnas behov av grunder för att kunna prioritera vilka myndigheter som ska anslutas först.
Den samordnande myndigheten ska därför, i samråd med Säkerhetspolisen och MSB, ta fram en modell för prioritering mellan myndigheter. Modellen ska utgå från det syfte och mål som formuleras för den samordnade statliga it-driften. Modellen behöver ta hänsyn till riskerna med en sektorsindelad anslutning av myndigheter, där myndigheter som ingår i samma sektor inte bör vara anslutna till tjänster hos samma leverantörsmyndighet. Modellen bör även ta hänsyn till hur specifika eller brådskande behov hos anslutande myndigheter ska hanteras. Den målgruppsanalys som presenterats i avsnitt 5.2.1 är till hjälp för att förstå vilka myndigheter som kan vara i störst behov av stöd.
Leder samverkan med leverantörsmyndigheter, anslutande myndigheter och expert- och stödmyndigheter på förvaltningsgemensam nivå
Den samordnande myndigheten ska leda samverkan med leverantörsmyndigheter, anslutande myndigheter och expert- och stödmyndigheter. Samverkan ska bedrivas genom ett leverantörs-, myndighets- och expertråd. Vi beskriver dessa forum i avsnitt 11.4.
Samverkar med Kammarkollegiet
Den samordnande myndigheten ska samverka med Kammarkollegiet inför samordnad upphandling av it-driftstjänster.
Kammarkollegiet har redan i dag uppgiften att samverka med privata leverantörer. Vi ser därför inte behov av att den samordnande myndigheten regelmässigt ska samverka med privata leverantörer – den samverkan ska hanteras av Kammarkollegiet för den samordnade statliga it-driftens räkning.
Samråder med Försvarsmakten
Den samordnande myndigheten ska samråda med Försvarsmakten i frågor om Sveriges säkerhet kopplade till den samordnade statliga itdriften.
Bevakar it-driftsfrågor nationellt och internationellt
Som vi beskrivit i avsnitt 7.4 pågår flera initiativ både nationellt och inom EU på it-driftsområdet, exempelvis Program 2032 och Gaia-X. Den samordnande myndigheten ska bevaka och delta i relevanta samarbeten och sammanhang som kan vara till nytta för den samordnade statliga it-driften, både nationellt och internationellt. Den samordnande myndighetens ska lämna stöd till myndigheter avseende hur en befintlig marknadsplats för it-driftstjänster kan användas.
Följer upp och återrapporterar den samordnade statliga it-driften till regeringen
Den samordnande myndigheten ska också löpande följa upp den samordnade statliga it-driften och årligen återrapportera till regeringen. Uppföljningen ska omfatta efterfrågan och utbud av stöd, leveransen av it-driftstjänster inom det samordnade statliga tjänsteutbudet och avrop på ramavtal. Den bör även omfatta frågor av mer funktionell karaktär, som exempelvis omhändertagande av behov av nya tjänster, förändringar i det samordnade statliga tjänsteutbudet och frågor av strategisk betydelse som föranleder åtgärder. Uppföljningen ska också omfatta resultat och effekter utifrån de nyckelindikatorer som vi föreslår att ESV ska ta fram. Leverantörsmyndigheterna ska bidra med underlag till uppföljningen.
För att säkerställa att den samordnande myndigheten har möjlighet att sammanställa underlag med utgångspunkt i leverantörsmyndigheternas årsredovisningar ska den samordnande myndigheten senast den 31 mars varje år för regeringen redovisa en samlad lägesbeskrivning av hur den samordnade statliga it-driften fortskrider.
11.3.2. Leverantörsmyndigheter
Utredningens förslag: Leverantörsmyndigheterna ska leverera
it-driftstjänster till myndigheter inom ramen för det samordnade statliga tjänsteutbudet. De ska vägleda myndigheterna genom anslutningsprocessen och ta ut avgifter från anslutna myndigheter för it-driftsleveransen. Leverantörsmyndigheterna ska medverka i fastställande och utveckling av den samlade tjänstekatalogen tillsammans med den samordnande myndigheten och delta i samverkan på förvaltningsgemensam nivå.
Inom ramen för den samordnade statliga it-driften är huvuduppgiften för leverantörsmyndigheterna att leverera it-driftstjänster till myndigheter. Leverantörsmyndigheterna ska ta ut avgifter från anslutna myndigheter för it-driftsleveransen.
Tar fram tjänstespecifikationer och medverkar i fastställande och utveckling av samlad tjänstekatalog
Leverantörsmyndigheterna ska ta fram tjänstespecifikationer som sedan förvaltas genom en samlad tjänstekatalog som fastställs av den samordnande myndigheten efter samråd med leverantörsmyndigheterna. Leverantörsmyndigheterna ska även i samverkan med den samordnande myndigheten bidra till utvecklingen av tjänsteutbudet inom den samordnade statliga it-driften.
Levererar it-drift till anslutna myndigheter inom ramen för det samordnade statliga tjänsteutbudet
Leverantörsmyndigheterna ska ansvara för relationen med anslutande myndigheter från det att en avsiktsförklaring har tecknats och myndigheten får it-drift levererad fram till att uppdraget upphör och tjänsterna har avvecklats. Leverantörsmyndigheten ska vägleda och stödja den anslutande myndigheten genom stegen i anslutningsprocessen fram till dess att myndigheten är ansluten. Samverkan mellan myndigheterna ska formaliseras genom en samverkansöverenskommelse. Vi beskriver anslutningsprocessen mer i detalj i avsnitt 11.5.1.
Leverantörsmyndigheterna ska även ansvara för att etablera en samverkan med anslutna myndigheter på operativ, taktisk och strategisk nivå. Vid eventuellt nya eller ändrade behov av it-driftstjänster ska leverantörsmyndigheterna ansvara för att undersöka på vilket sätt det går att lösa genom befintlig samverkan och om det inte är möjligt ska behoven eskaleras till den samordnande myndigheten.
Deltar i samverkan på förvaltningsgemensam nivå
Leverantörsmyndigheterna ska delta i samverkan på förvaltningsgemensam nivå. I avsnitt 11.4 finns en beskrivning av vilka forum vi anser bör finnas och vilka parter som bör ingå.
11.3.3. Stöd- och expertmyndigheter
Utredningens förslag: Stöd- och expertmyndigheter ska lämna
stöd i frågor om it-drift inom sina respektive kompetensområden. De ska även delta i samverkan på förvaltningsgemensam nivå.
Den samordnande myndigheten ska samordna det stöd som stöd- och expertmyndigheter lämnar inom frågor som rör it-drift utifrån respektive myndighets kompetensområde. Som ett led i detta ska stöd- och expertmyndigheterna delta i den samverkan på förvaltningsgemensam nivå som leds av den samordnande myndigheten och som beskrivs i avsnitt 11.4.
Det stöd som lämnas av den samordnande myndigheten ska vara av generell (och inte individuell) karaktär och ges i form av t.ex. rådgivning, utbildning, vägledningar, checklistor och metodstöd. Stödet ska bygga på material och vägledning som tas fram av stöd- och expertmyndigheterna inom sina respektive kompetensområden. Det är viktigt att samverkan kring stödgivning med de stöd- och expertmyndigheter som även har ett tillsynsuppdrag utformas på ett sätt som inte kommer i konflikt med berörda myndigheters uppgift att bedriva tillsyn.
11.3.4. Myndigheter med behov av stöd
Utredningens bedömning: Myndigheter som efterfrågar stöd från
den samordnade statliga it-driften ansvarar för att säkerställa att de krav som ställs på verksamhetens informationshantering efterlevs vid val av it-driftslösning.
Myndigheter som efterfrågar stöd från den samordnade statliga itdriften har ansvar för att vald it-driftslösning är förenlig med de regelverk som gäller för myndighetens verksamhet. Myndigheterna har ansvar för att ta ställning till vilka regelverk som är tillämpliga för den information som hanteras inom it-driften och vilka krav dessa regelverk ställer på myndighetens it-driftslösningar samt för att klassificera informationen utifrån tillämpliga regelverk inom säkerhetsskydd, dataskydd och informationssäkerhet. Myndigheterna måste även ta ställning till vilka krav som offentlighets- och sekretesslagen ställer på informationshanteringen samt hur andra regleringar avseende hanteringen av allmänna handlingar kan uppfyllas utifrån den it-driftslösning som väljs.
11.4. Forum för samverkan
Utredningens bedömning: Det finns behov av samverkan i olika
forum. Samverkan bör bedrivas på flera nivåer.
Utredningens förslag: Den samordnande myndigheten ska ha
till uppgift att leda samverkan på förvaltningsgemensam nivå med leverantörsmyndigheter, myndigheter med behov av stöd samt stöd- och expertmyndigheter. Leverantörsmyndigheterna ska samverka och följa upp leveransen med anslutna myndigheter på operativ, taktisk och strategisk nivå med utgångspunkt i den övergripande modell för samverkan som beslutas av den samordnande myndigheten.
För att den samordnade statliga it-driften ska fungera krävs enligt vår bedömning en samverkansmodell som innefattar flera olika forum för samverkan och stöd med olika syften och medverkande aktörer.
Samverkan behöver dessutom bedrivas på flera nivåer: dels i relationen mellan anslutande myndighet och leverantörsmyndighet på operativ, taktisk och strategisk nivå, dels på en förvaltningsgemensam, strategisk nivå avseende den samlade samordnade statliga it-driften.
Samverkan på den förvaltningsgemensamma nivån ska enligt våra förslag ske under ledning av den samordnande myndigheten. Leverantörsmyndigheterna ansvarar för samverkan med de myndigheter som är anslutna till det samordnade statliga tjänsteutbudet.
Figur 11.2 Samverkan inom den samordnade statliga it-driften
Källa: Egen illustration.
11.4.1. Samverkan mellan anslutande myndigheter och leverantörsmyndigheter
Erfarenheterna från Försäkringskassan visar att det krävs samverkan på flera olika nivåer när it-driftstjänster tillhandahålls av en myndighet till en annan myndighet. Samtidigt är det viktigt att säkerställa att en samverkansmodell inte blir mer omfattande och resursdrivande än nödvändigt. Erfarenheterna från Försäkringskassans samordnade it-drift visar att samverkan riskerar att bli tungrodd och kostnadsdrivande om den inte är anpassad till förutsättningar hos båda parter. Mindre myndigheter har inte alltid resurser att möta en större myndighet på samma nivå. En utgångspunkt för samverkan mellan leverantörsmyndigheter och myndigheter som ansluter till det samordnade statliga tjänsteutbudet måste därför vara flexibilitet. Samverkan måste kunna anpassas utifrån de tjänster som tillhanda-
Samverkan på förvaltningsgemensam nivå
Samverkan mellan anslutande myndigheter
och leverantörsmyndigheter
Samverkansforum
Samverkansmodell Anslutna myndigheterleverantörsmyndigheter
Leverantörs-
råd
Myndighets-
råd
Expertråd
hålls (avseende mängd och komplexitet) och anslutande myndigheters förutsättningar (avseende resurser och kompetenser).
Vår bedömning är att det är önskvärt att modellen för samverkan mellan anslutande myndigheter och leverantörsmyndigheter övergripande är densamma inom den samordnade statliga it-driften. Det underlättar för anslutande myndigheter om de skulle byta leverantörsmyndighet eller vara ansluten till it-driftstjänster som tillhandahålls av flera leverantörsmyndigheter – den anslutande myndigheten kommer då känna igen sig i den samverkansmodell som tillämpas. Det är enligt vår mening mer resurseffektivt med en gemensam modell än om varje leverantörsmyndighet tillämpar sin egen samverkansmodell.
Mot denna bakgrund bör den samordnande myndigheten besluta om en övergripande samverkansmodell som ska tillämpas i relationen mellan leverantörsmyndighet och anslutande myndighet.
Den samordnande myndigheten ska därför ges i uppgift att i samverka med leverantörsmyndigheterna och med utgångspunkt i Försäkringskassans modell för samverkan i regeringsuppdraget om samordnad och säker it-drift utveckla en övergripande samverkansmodell som kan tillämpas inom ramen för det samordnade statliga tjänsteutbudet.
11.4.2. Samverkan på förvaltningsgemensam nivå
Leverantörsråd
Vi ser ett behov av ett forum för samverkan mellan de leverantörsmyndigheter som tillhandahåller tjänster inom den samordnade statliga it-driften och den samordnande myndigheten. En sådan samverkan bör bedrivas inom ett leverantörsråd.
I leverantörsrådet bör samverkan ske i frågor kopplade till det samordnade statliga tjänsteutbudet utifrån de behov av tjänster som identifierats av den samordnande myndigheten. Även frågor kopplade till modellen för samverkan mellan anslutna myndigheter och leverantörsmyndigheter bör hanteras i detta forum. Detsamma gäller andra frågor som rör leverantörsmyndigheternas roll och funktion inom den samordnade statliga it-driften, exempelvis säkerhet.
I leverantörsrådet bör även samverkan kring den långsiktiga planen för utvecklingen av det samordnade statliga tjänsteutbudet ske.
Myndighetsråd
Det finns ett behov av att den samordnande myndigheten samverkar med ett representativt urval av myndigheter för att fånga vilka generella behov av stöd och it-drifttjänster som finns i statsförvaltningen.
Det finns också ett behov av forum för samverkan med de myndigheter som är anslutna till det samordnade statliga tjänsteutbudet. Syftet med detta forum ska vara att samla in och omhänderta de anslutna myndigheternas erfarenheter av och synpunkter på det samordnade statliga tjänsteutbudet, för att säkerställa att det tillhandahålls utifrån de anslutna myndigheternas behov. I forumet kan även de anslutna myndigheternas behov av nya it-driftstjänster fångas upp. Forumet kan även användas för erfarenhetsutbyte mellan anslutna myndigheter. Genom forumet kan den samordnande myndigheten informera anslutna myndigheter om vad som händer i omvärlden samt bidra till kompetensutveckling. Det ger också en möjlighet för anslutna myndigheter att lyfta eventuella problem kopplade till tillhandahållandet av det samordnade statliga tjänsteutbudet till den samordnande myndigheten. De problem som framkommer kan förmedlas av den samordnande myndigheten till leverantörsmyndigheterna, antingen bilateralt eller genom leverantörsrådet.
Expertråd
Syftet med expertrådet är att det ska finnas ett forum där frågor om it-drift kan lyftas samlat till de stöd- och expertmyndigheter som har till uppgift att lämna stöd i frågor som har relevans för den samordnade statliga it-driften.
De myndigheter som vi identifierat som bör ingå i ett sådant råd är IMY, MSB, berörda tillsynsmyndigheter inom säkerhetsskydd och Upphandlingsmyndigheten.
En viktig del i den samordnade statliga it-driften är att bidra till att ge myndigheter bättre förutsättningar att göra de bedömningar som krävs vid val av säkra och kostnadseffektiva it-driftslösningar. En förutsättning för att kunna göra medvetna val är att myndigheten har en god inblick i och kunskap om sin information och vilka krav som tillämpliga regelverk ställer på it-driftslösningarna.
Även frågor kopplade till den samordnande myndighetens uppgifter i förhållande till det samordnade statliga tjänsteutbudet kan
vara aktuella att hantera inom expertrådet. Ett sådant exempel är prioritetsordningen för anslutande myndigheter.
Den samordnande myndighetens ska samordna stödinsatser från stöd- och expertmyndigheter, exempelvis i frågor som är gemensamma för flera myndigheter. Detta innebär en effektivisering jämfört med om alla kontakter skulle ske myndighet till myndighet. Myndigheterna kan genom expertrådet ges ett samlat stöd inom flera kompetensområden som är relevanta för att välja lämplig it-driftslösning. Genom expertrådet kan den samordnande myndigheten även samla upp frågor och problemställningar som är gemensamma för flera myndigheter och på så vis kunna lämna ett samlat stöd i relevanta frågor.
11.5. Anslutning av myndigheter
11.5.1. Anslutningsprocessen
Utredningens bedömning: De lärdomar och investeringar som
gjorts i Försäkringskassans uppdrag om samordnad och säker statlig it-drift bör tillvaratas. Den modell som upparbetats för anslutning av myndigheter bör användas, men kan behöva utvecklas i delar. Det fortsatta utvecklingsarbete som bedrivits inom SITSSAM bör tillvaratas.
Utredningens förslag: Myndigheterna ska gemensamt under led-
ning av den samordnande myndigheten ta fram en modell för anslutning. Den samordnande myndigheten ska ansvara för att vägleda den myndighet som söker stöd genom initiera-fasen och i samverkan med stöd- och expertmyndigheterna lämna ett samordnat stöd. Leverantörsmyndigheterna ska ansvara för att vägleda och ge stöd till anslutande myndigheter från det att en avsiktsförklaring har tecknats och myndigheten erhåller it-drift fram till att uppdraget upphör och tjänsterna har avvecklats.
Vi föreslår att myndigheterna gemensamt under ledning av den samordnande myndigheten tar fram en anslutningsprocess. Anslutningsprocessen bör omfatta de steg som Försäkringskassan har identifierat som nödvändiga, dvs. initiera, planera, bygga och köra. Anslutningsprocessen behöver tydliggöras vad gäller roller och ansvar för den
samordnande myndigheten och leverantörsmyndigheterna. Vi ser även ett behov av att tydliggöra på vilket sätt de olika myndigheternas behov kan omhändertas genom stödinsatser, samordnad upphandling och ett samordnat statligt tjänsteutbud.
De lärdomar och investeringar som gjorts i Försäkringskassans uppdrag om samordnad och säker statlig it-drift bör tillvaratas. Den modell för anslutning av myndigheter som Försäkringskassan tagit fram upplevs fungera väl, men kan behöva utvecklas i delar. Det gäller t.ex. överlämning från projektet till linjeorganisationen i den dagliga it-driftsproduktionen, processer och arbetssätt för att omhänderta nya och förändrade behov av tjänster när en myndighet är ansluten samt hur myndigheterna ska hantera en eventuell avveckling av en tjänst. Vi har förstått att de myndigheter som ingår i det myndighetsövergripande programmet SITSSAM har vidareutvecklat Försäkringskassans anslutningsprocess för att ytterligare förtydliga delar av de brister som har framkommit. De har bl.a. utvecklat processen genom att komplettera den med processteg för att paketera, förvalta, utveckla och avveckla. Det utvecklingsarbete som bedrivits är viktigt att ta tillvara. Vi har dock i detta läge valt att utgå från den anslutningsprocess som använts inom ramen för Försäkringskassan uppdrag.
Anslutningsprocessen (se figur 11.3) ska fördelas så att den samordnande myndigheten ansvarar för initiera-fasen och leverantörsmyndigheterna ansvarar för planera-, bygga- och köra-faserna. Vi beskriver respektive fas nedan.
Figur 11.3 Anslutning till den samordnade statliga it-driften
Fördelning på olika aktörer
Källa: Utveckling av Försäkringskassans anslutningsprocess i regeringsuppdraget att erbjuda samordnad och säker statlig it-drift.
Initiera
Den första fasen, initiera, inleds i samband med att en myndighet tar kontakt med den samordnande myndigheten med ett behov av stöd. Den samordnande myndigheten ansvarar då för att skapa sig en bild av myndighetens behov och förutsättningar på ett övergripande plan.
Syftet med processteget är att utröna vilket stöd myndigheten är i behov av. Målet är att myndigheten genom vägledning och stöd från den samordnande myndigheten ska kunna fatta beslut om lämplig driftsform: utkontraktering till en privat leverantör, anslutning till ett samordnat statligt tjänsteutbud eller drift i egen regi.
För att kunna göra den bedömningen kan det initialt vara aktuellt med stödjande insatser för att vägleda myndigheten. Det kan t.ex. handla om att informera om eller hänvisa till vägledning för myndighetens systematiska informationssäkerhetsarbete och information om tjänster som kan avropas från ramavtal för it-drift. Stöd- och expertmyndigheter ska bistå för att ge generellt stöd inom sitt kompetensområde, exempelvis genom att informera om vilka vägledningar som erbjuds och fånga upp behov av nya eller uppdaterade vägledningar.
Varje myndighet som vill ansluta sig till en samordnad statlig itdrift måste i alla led av anslutningsprocessen – och därefter – analy-
Egen regi eller privat leverantör
Samordnat statligt tjänsteutbud
sera på vilket sätt myndighetens informationshantering uppfyller de krav som ställs i gällande regelverk.
Anslutning till det samordnade statliga tjänsteutbudet
Om myndigheten ser ett behov av att ansluta sig till ett samordnat statligt tjänsteutbud måste det därefter utredas på vilket sätt leverantörsmyndigheterna kan bidra för att möta myndighetens behov. Vilka myndigheter som ska anslutas ska utgå från den prioriteringsmodell som tas fram av den samordnande myndigheten. Leverantörsmyndigheterna ska vara delaktiga för att bidra med stöd till myndigheterna vid val av tjänster inom det samordnade statliga tjänsteutbudet.
Behov av tjänster som inte kan tillgodoses genom ramavtal eller det samordnade statliga tjänsteutbudet
I de fall som ett behov av tjänster inte kan tillgodoses genom ett samordnat statligt tjänsteutbud eller avrop från befintliga ramavtal ska den samordnande myndigheten genomföra en bredare behovsfångst för att analysera hur stort behovet är.
Om behovet bedöms finnas hos flera myndigheter bör den samordnande myndigheten med utgångspunkt i vilka tjänster som efterfrågas, vilka krav som bör ställas på en eventuell leverantör och vad som erbjuds på marknaden utreda möjligheten till samordnad upphandling av ytterligare ramavtal. Ett naturligt led i detta arbete är att samverka med Kammarkollegiet, som ansvarar för att genomföra en eventuell upphandling.
Om behovet inte kan eller bör tillgodoses genom en upphandlad tjänst bör den samordnande myndigheten tillsammans med leverantörsmyndigheterna utreda möjligheten att utveckla den förmåga som krävs inom det samordnade statliga tjänsteutbudet för att kunna tillgodose det nya behovet.
Fasen avslutas genom att en avsiktsförklaring tas fram mellan den anslutande myndigheten och den eller de leverantörsmyndigheter som är aktuella. Därefter tar leverantörsmyndigheten över ansvaret för processens nästa fas, planera.
Planera
I planera-fasen tar leverantörsmyndigheten över ansvaret för att i detalj planera och undersöka vad som krävs för att myndigheten ska kunna ansluta sig, även utifrån leverantörsmyndighetens egen verksamhet. Leverantörsmyndigheten ansvarar även för att vägleda och stödja anslutande myndighet i vilka frågor som behöver besvaras, t.ex. genom checklistor likt de Försäkringskassan använder i sitt uppdrag om samordnad och säker statlig it-drift. Den anslutande myndigheten och leverantörsmyndigheten ska vara överens om innehåll, omfattning och styrande principer för fortsatt anslutning och samverkan. De ekonomiska ramarna och styrformerna för kommande fas – bygga – ska vara förankrade hos båda parter. Fasen avslutas genom att en samverkansöverenskommelse tas fram och undertecknas av båda parter.
Bygga
I bygga-fasen detaljeras anslutningen ytterligare och leverantörsmyndigheten ansvarar för att se över vilka förutsättningar som krävs internt för att kunna ansluta en myndighet. Leverantörsmyndigheten ansvarar även för att säkerställa att den anslutande myndigheten förstår vad som krävs för en migrering och bör finnas tillgänglig som stöd under processen även i dialog med eventuella befintliga leverantörer.
Under denna fas är det viktigt att leverantörsmyndigheten förbereder den interna organisationen inför överlämningen till den dagliga it-driftsproduktionen. Linjeorganisationen behöver ges möjlighet att i god tid skapa rätt förutsättningar för de medarbetare som efter anslutningen av en ny myndighet ska tillhandahålla it-drift.
Vartefter leverantören och den anslutande myndigheten fastställer ytterligare detaljer i samverkan kompletteras överenskommelsen med eventuella bilagor, t.ex. när det gäller ekonomi och säkerhet. Fasen avslutas med att det finns en accepterad leverans av såväl den anslutande myndigheten som av leverantörsmyndigheten. När så är fallet är det dags för lansering i köra-fasen.
Köra
Under köra-fasen samverkar myndigheterna enligt fastställd samverkansmodell. Eventuella avvikelser och uppföljningar lyfts och hanteras på rätt nivå inom respektive myndighet. Båda parter är överens om hur tjänsterna ska följas upp och en god samverkan utvecklas och bibehållas.
Vid eventuellt nya eller ändrade behov ska den anslutna myndigheten i första hand anmäla det till leverantörsmyndigheten för att undersöka på vilket sätt leveransen kan utökas eller ändras inom befintlig samverkansstruktur. Om det skulle uppstå ett behov som ligger utanför aktuell leverantörsmyndighets befintliga förmåga ska leverantörsmyndigheten och den anslutna myndigheten vända sig till den samordnande myndigheten som då ansvarar för att analysera på vilket sätt privata leverantörer eller andra leverantörsmyndigheter kan bistå. Även i detta fall ansvarar den samordnande myndigheten för att genomföra en behovsfångst och analysera om det kan vara aktuellt att genom Kammarkollegiet genomföra en samordnad upphandling eller om förmågan ska utvecklas som en ny tjänst inom det samordnade statliga tjänsteutbudet.
11.5.2. Prioritering av drift mellan leverantörsmyndighet och anslutna myndigheter
Utredningens bedömning: Leverantörsmyndigheternas säker-
hetsnivå bör dimensioneras efter de högst ställda kraven på säkerhet från en anslutande myndighet. En prioriteringsordning mellan myndigheterna bör även formaliseras genom samverkansöverenskommelsen.
För att säkerställa att myndigheter med olika grad av säkerhetskrav, olika typ av verksamhet och olika tekniska krav ska kunna ansluta sig till ett samordnat statligt tjänsteutbud bör det samordnade statliga tjänsteutbudet i framtiden kompletteras med ytterligare leverantörsmyndigheter.
Av våra direktiv framgår att vi särskilt ska analysera risken att en myndighets kärnverksamhet blir lidande om en myndighets behov inte kan tillgodoses eller prioriteras av den myndighet som sköter it-
driften. Vi har i vårt arbete fått kännedom om exempel som visar på vilka utmaningar och frågor som kan uppstå. Vi vet t.ex. att användande av viss teknisk plattform kan ha betydelse för om det är möjligt eller lämpligt för en myndighet att samordna sin it-drift med en annan myndighet. Det kan även finnas beroendeförhållanden mellan myndigheternas olika uppgifter, t.ex. tillsyn, som innebär att en samordning är olämplig.
Vi har även fått kännedom om exempel där det funnits utmaningar att fastställa en prioriteringsordning mellan myndigheterna vid ett eventuellt driftsstopp. Det har visat sig vara särskilt utmanande när den myndighet som tillhandahåller it-drift har lägre säkerhetskrav än den myndighet som vill ansluta sig. Vi har förstått att de högst ställda kraven på säkerhet dimensionerar för den nivå av säkerhet som krävs när en myndighet tillhandahåller it-driftstjänster till andra myndigheter. För att hantera risken att det uppstår en konflikt om vilken myndighet som bör prioriteras bedömer vi det som lämpligt att leverantörsmyndigheternas säkerhetskrav avgör säkerhetsnivån i tjänsterna som erbjuds och därmed vilka myndigheter som går att ansluta. Det innebär att en leverantörsmyndighet kan ansluta en myndighet som har motsvarande eller lägre krav på säkerhet. En prioriteringsordning i förhållande till andra myndigheter som är anslutna till samma leverantörsmyndighet bör därefter formaliseras myndigheterna emellan i samverkansöverenskommelsen. Prioriteringsordningen skulle t.ex. kunna baseras utifrån grad av samhällskritisk verksamhet.
För att säkerställa att myndigheter med olika grad av säkerhetskrav, olika typ av verksamhet och olika tekniska krav ska kunna ansluta sig till ett samordnat statligt tjänsteutbud kan det finnas behov av att på sikt komplettera den samordnade statliga it-driften i framtiden kompletteras med ytterligare leverantörsmyndigheter än de vi föreslår.
På sikt kan det övervägas om det behövs ett inbäddat ramverk för styrning av prioritet för tillgång till it-drift. Det skulle kunna liknas vid den metod för planering, Styrel, som Energimyndigheten tillsammans med andra aktörer har utarbetat för att kunna prioritera sam-
hällsviktiga elanvändare vid en frånkoppling. Frågan har även adresserats av MSB i en rapport från 2015.1
11.6. Förutsättningar utifrån säkerhetsskydd
Utredningens bedömning: Varje myndighet som vill ansluta sig
till det samordnade statliga tjänsteutbudet måste ta ställning till om det är möjligt och lämpligt utifrån de krav som säkerhetsskyddslagen ställer på myndighetens verksamhet. De myndigheter som tillhandahåller tjänster inom det samordnade statliga tjänsteutbudet måste löpande ta ställning till hur tillhandahållandet påverkar myndighetens verksamhet utifrån säkerhetsskyddssynpunkt.
Verksamhetsutövaren är ansvarig för att göra de bedömningar som säkerhetsskyddslagen kräver. Detta innefattar bland annat att identifiera vilka delar av verksamheten som omfattas av säkerhetsskydd. Om det finns sådana delar, så måste säkerhetsskyddsregleringen följas oavsett om verksamheten bedrivs i egen regi eller om någon del av verksamheten som omfattas av säkerhetsskyddslagen utkontrakteras. Vid en utkontraktering spelar det ingen roll om en privat leverantör anlitas eller om it-drift erhålls från en annan statlig myndighet – säkerhetsskyddregleringen ska tillämpas av verksamhetsutövaren oavsett. Beroende på hur känslig en verksamhet eller uppgift är ur säkerhetssynpunkt så är utkontraktering överhuvudtaget i vissa fall inte ett alternativ, varken till en privat leverantör eller till en annan statlig myndighet.
En myndighet som har för avsikt att ansluta sig till ett samordnat statligt tjänsteutbud måste därför först och främst ta ställning till om säkerhetsskyddslagen gäller för de uppgifter eller för den verksamhet som då ska hanteras inom ramen för samordnad statlig it-drift. Finns det någon osäkerhet om huruvida säkerhetsskyddslagen ska tillämpas för någon del av verksamheten så bör en säkerhetsskyddsanalys göras för att få svar på den frågan.
Vi har redogjort i avsnitt 3.4.1 för att nytillkomna ändringar i säkerhetsskyddslagen, innefattande bl.a. en utvidgning av skyldigheten
1 MSB (2015), It- och informationssäkerhet i Sverige Erfarenheter och reflektioner från några
större it-incidenter under 2012–2014.
att ingå säkerhetsskyddsavtal. Tillämpningen av samrådsbestämmelsen inom ramen för samordnad statlig it-drift har vi berört i avsnitt 10.6.5.
En fråga som uppkommit under vårt arbete är om säkerhetsskyddsregleringen innebär ett krav på att en myndighet som önskar ansluta sig till ett samordnat statligt tjänsteutbud i sin säkerhetsskyddsanalys behöver beakta hur skyddsvärdet av myndighetens uppgifter påverkas av andra myndigheters uppgifter som hanteras av samma leverantörsmyndighet, och av leverantörsmyndighetens uppgifter. Vår bedömning är att säkerhetsskyddsanalysen ska genomföras utifrån den egna verksamheten. En verksamhetsutövare kan inte förväntas ha, eller kunna få tillgång till, sådan information som kan krävas för att ta ställning till vilken påverkan andra myndigheters uppgiftsmängder kan ha på skyddsvärdet av de egna uppgifterna. Däremot kan verksamhetsutövaren i lämplighetsbedömningen behöva analysera lämpligheten i en åtgärd som innebär att uppgifter ska hanteras av en aktör som kan vara en intressant måltavla på grund av sitt innehav av aggregerade mängder uppgifter.
En annan, sammanhängande fråga är vilka skyldigheter en leverantörsmyndighet har att bedöma hur hanteringen av anslutande myndigheters information påverkar behovet av säkerhetsskydd i den egna verksamheten (som består dels av verksamheten att tillhandahålla itdrift till andra myndigheter, dels leverantörsmyndighetens övriga verksamhet). Vår bedömning i denna del är att leverantörsmyndigheterna löpande behöver bedöma och ta ställning till hur hanteringen av anslutande myndigheters it-drift och därmed sammanhängande informationshantering påverkar behovet av säkerhetsskydd för den samlade verksamheten som leverantörsmyndigheten bedriver.
Den samordnande myndigheten behöver ta ställning till vilka krav säkerhetsregleringen uppställer avseende hantering av uppgifter om myndigheters behov av it-drift, uppgifter kopplade till det samordnade statliga tjänsteutbudet och andra uppgifter som den samordnande myndigheten hanterar om samordnad statlig it-drift.
Den samordnande myndigheten och leverantörsmyndigheten behöver verka för att motarbeta oönskade beroenden där ett övervägande antal eller samtliga myndigheter använder en eller ett fåtal produkter, tjänster, eller leverantörer inom det samordnade statliga tjänsteutbudet.
11.7. Reglering av villkoren för leverantörsmyndigheternas behandling av personuppgifter
Utredningens förslag: En leverantörsmyndighets personuppgifts-
behandling för en ansluten myndighets räkning, när den anslutna myndigheten är personuppgiftsansvarig och leverantörsmyndigheten personuppgiftsbiträde, ska regleras i den förordning som vi föreslår. De villkor som uppställs i artikel 28.3 i dataskyddsförordningen, som inte är möjliga att reglera i förordningen, ska vara en del av den skriftliga överenskommelsen.
Vår bedömning är att leverantörsmyndigheterna som utgångspunkt kommer att vara personuppgiftsbiträden ifråga om den personuppgiftsbehandling som kommer att utföras inom ramen för it-driften som tillhandahålls anslutna myndigheter. De anslutna myndigheterna kommer sannolikt i de allra flesta fall vara personuppgiftsansvariga, men det kan inte uteslutas att det finns fall då en ansluten myndighet är personuppgiftsbiträde åt en annan myndighet.
I de fall den anslutna myndigheten är personuppgiftsansvarig så kommer ett personuppgiftsbiträdesavtal behöva slutas mellan leverantörsmyndigheten och den anslutna myndigheten, om inte villkoren för personuppgiftsbehandlingen regleras på annat vis. Vi har uppfattat att slutande av personuppgiftsbiträdesavtal utgör en inte obetydlig administrativ börda inom den offentliga förvaltningen. Det är inte otänkbart att denna administrativa börda dessutom relativt sett är mer betungande för mindre myndigheter. Att införa bestämmelser om villkoren för leverantörsmyndigheternas behandling av personuppgifter i nationell rätt är ett sätt att minska denna administrativa börda.
Inom det samordnade statliga tjänsteutbudet kommer varje leverantörsmyndighet ha flera anslutna myndigheter, och därmed flera personuppgiftsbiträdesavtal att förhålla sig till. Regleringen i artikel 28.3 lämnar ett utrymme att närmare precisera villkoren för personuppgiftsbiträdets behandling i det enskilda fallet. En leverantörsmyndighet kan inte kräva av en personuppgiftsansvarig anslutande myndighet att en viss avtalsmall ska användas. I den utsträckning som inte en och samma avtalsmall kan användas för samtliga myn-
digheter som en leverantörsmyndighet ansluter (eller för samtliga myndigheter som ansluter sig till det samordnade statliga tjänsteutbudet) så kan en nationell reglering av villkoren för leverantörsmyndigheternas behandling bidra med tydlighet och enhetlighet för de registrerade som berörs av personuppgiftsbehandlingen.
Vi kan också konstatera att till skillnad från den typsituation för vilken regleringen i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (dataskyddsförordningen) är utformad, när en från den personuppgiftsansvarige separat aktör ska utföra behandling av personuppgifter för den ansvariges räkning, så är det i det aktuella fallet fråga om två aktörer – myndigheter – som ingår i den juridiska personen staten. Den personuppgiftsansvariga myndigheten och personuppgiftsbiträdet, dvs. leverantörsmyndigheten, utövar reglerad verksamhet och lyder i stor utsträckning under samma lagar och regler. Utrymmet för att råda över personuppgiftsbehandlingen är i stor utsträckning redan begränsat genom det regelverk som gäller för offentlig verksamhet. Det är enligt vår uppfattning önskvärt utifrån de registrerades perspektiv att regleringen av personuppgiftsbiträdets behandling för den ansvariges räkning inom ramen för ett samordnat statligt tjänsteutbud i så stor utsträckning som möjligt är enhetlig. Det finns enligt vår bedömning inga integritets- eller dataskyddsaspekter som talar emot en författningsreglering – snarast tvärtom.
Mot denna bakgrund föreslår vi att villkoren för personuppgiftsbiträdets behandling ska regleras i den förordning som vi föreslår. Som vi läser artikel 28.3 i dataskyddsförordningen kan den nationella lagstiftaren – om den väljer att i nationell rätt införa de regler som nämns i artikeln – nöja sig med att i princip kopiera förordningstexten. De villkor som framgår av artikel 28.3 (a)–(h) ska därför införas i förordningen vi föreslår om samordnad statlig it-drift.
Det bör framhållas att oavsett hur den nationella regleringen utformas kommer det återstå vissa frågor relaterade till behandlingen av personuppgifter i den enskilda uppdragsrelationen. Det är alltså fråga om förhållanden som varierar från personuppgiftsbehandling till personuppgiftbehandling och därmed inte låter sig regleras i en förordning, som ju måste innehålla generella bestämmelser. Som exempel på sådant som behöver regleras i det enskilda fallet kan näm-
nas föremålet för behandlingen, behandlingens varaktighet, art och ändamål, typen av personuppgifter, kategorier av registrerade och instruktionerna till personuppgiftsbiträdet. Vår bedömning är att regleringen av dessa delar kan utgöra en del av den skriftliga dokumentationen av samverkansöverenskommelsen.
En möjlig invändning mot vårt förslag är att den administrativa bördan inte helt försvinner eftersom det fortfarande kommer att krävas förhandling och dokumentation av vissa frågor kopplade till uppdraget att behandla personuppgifter, t.ex. avseende säkerhetsnivåer. Det kan konstateras att utformningen av artikel 28 närmast är anpassad för ett förhållande mellan två parter. Vårt förslag omfattar en mängd aktörer och personuppgiftsbehandlingar, varför regleringen av nödvändighet måste hållas generell. Vår bedömning är dock, inte minst utifrån att det här är fråga om ett antal myndigheter som ingår i samma juridiska person och inte två mer eller mindre ojämnbördiga parter, att det finns mycket som talar för att införa en författningsreglering av villkoren för personuppgiftsbiträdets behandling av personuppgifter inom ett samordnat statligt tjänsteutbud och att dessa skäl inte förtas av att det inte är möjligt att införa en reglering som ersätter personuppgiftsbiträdesavtal i sin helhet.
Ett alternativ till att införa samtliga villkor för personuppgiftsbiträdets behandling i förordningen är att enbart införa en bestämmelse om rätt för den samordnande myndigheten att, i likhet med vad som gäller för Lantmäteriet och som vi beskrivit i avsnitt 9.3.3, besluta om föreskrifter om leverantörsmyndigheternas behandling av personuppgifter för anslutna myndigheters räkning. Vi bedömer dock att det bidrar till en större tydlighet att regleringen genomförs i form av en förordning. Att den effektivisering som vi ser som ett starkt skäl för att införa en reglering sker blir annars beroende av att föreskrifter faktiskt beslutas. När det gäller Lantmäteriets föreskriftsrätt så är den dessutom knuten till rollen som personuppgiftsansvarig. Den samordnande myndigheten kommer inte att ha någon roll i personuppgiftsbehandlingen som äger rum inom det samordnande statliga tjänsteutbudet. Det kommer inte heller, som i fallet med Lantmäteriet, att finnas en personuppgiftsansvarig utan det kommer vara fråga om ett obestämt antal personuppgiftsansvariga myndigheter som berörs. Detta talar också enligt vår mening emot en föreskriftsrätt i stället för reglering genom förordningen. Vi ser egentligen inga skäl som talar för en föreskriftsrätt framför en förordningsreglering.
11.8. Samordnad upphandling av privata leverantörers tjänster
11.8.1. Behovsstyrd och samordnad upphandling av tjänster inom samordnad statlig it-drift
Utredningens förslag: Kammarkollegiet ska ges i uppgift att sam-
verka med den samordnande myndigheten om upphandling av ramavtal för tjänster inom it-drift avsedda för statliga myndigheter. Upphandlingen ska utgå från de behov som den samordnande myndigheten bedömt finns hos myndigheterna och de krav som den samordnande myndigheten bedömt måste vara uppfyllda för att de upphandlande tjänsterna ska kunna användas av myndigheterna.
Den samordnande myndigheten ska ansvara för behovsinsamling och teknisk och rättslig kravställning inför Kammarkollegiets ramavtalsupphandlingar av tjänster inom it-drift.
Vår bedömning är att det kommer finnas ett fortsatt behov hos statliga myndigheter av privata leverantörers it-driftstjänster.
Upphandling är ett område där vi identifierat att det finns kompetensbrist. Upphandlingar är dessutom resurskrävande. Det är därför enligt vår uppfattning rationellt att i så stor utsträckning som möjligt samordna upphandlingar av it-driftstjänster.
Redan i dagsläget finns en samordning genom de ramavtal som upphandlas av Kammarkollegiet. Vi har under utredningsarbetet erfarit att dessa avtal avropas i begränsad utsträckning. Skälen till detta har vi förstått är flera, och bl.a. beroende på den osäkerhet som råder kring de rättsliga krav som ställs på statliga myndigheters informationshantering utifrån bl.a. dataskyddsregleringen. Kammarkollegiets uppgift när det gäller upphandling av ramavtal inom it-området är dessutom brett; upphandlingarna ska tillgodose både statliga, regionala och kommunala myndigheters behov av it-drift.
Som vi beskrivit i avsnitt 11.3 ska den samordnande myndigheten ha en samlad bild av de behov av it-driftstjänster som finns bland myndigheterna och av vilka krav som ska vara uppfyllda avseende bl.a. säkerhet och dataskydd för att tjänsterna ska kunna användas av myndigheterna.
Ett alternativ som vi övervägt är att ge den samordnande myndigheten i uppgift att upphandla de ramavtal för tjänster som det finns behov av inom den samordnade statliga it-driften. Vi bedömer dock att detta skulle innebära uppbyggnad av en parallell struktur till den som redan finns inom Kammarkollegiet. Det skulle dessutom sannolikt krävas rekrytering av ytterligare kompetens inom upphandling, oavsett vilken aktör som får i uppgift att vara samordnande myndighet. Av dessa skäl har vi avfärdat alternativet att den samordnande myndigheten ska i uppgift att upphandla ramavtal för tjänster inom samordnad statlig it-drift.
Ett annat alternativ är att överföra uppgiften att genomföra samordnad upphandling av ramavtal från Kammarkollegiet till den samordnande myndigheten, tillsammans med berörd personal. Kammarkollegiets uppgift att upphandla ramavtal inom it-drift gäller dock i förhållande till hela den offentliga förvaltningen. Den samordnande myndighetens uppgift är begränsat till vissa myndigheter under regeringen. Det är bl.a. av detta skäl inte lämpligt att överföra uppgiften till den samordnande myndigheten.
Kammarkollegiet bör därför enligt vår uppfattning även fortsättningsvis upphandla ramavtal för it-driftstjänster för statliga myndigheter. Det är den samordnande myndigheten som kommer att ha den samlade behovsbilden avseende tjänster och vilka krav dessa ska uppfylla för att kunna användas i statliga myndigheters verksamhet.
För att säkerställa att de tjänster som upphandlas svarar mot de behov som finns inom statlig förvaltning bör Kammarkollegiet ges i uppgift att samverka med den samordnande myndigheten om upphandlingar av ramavtal inom it-drift. Den samordnande myndigheten ska ges i uppgift att ansvara för behovsinsamling och teknisk och rättslig kravställning inför Kammarkollegiets ramavtalsupphandlingar av tjänster inom samordnad statlig it-drift.
11.8.2. Ramavtal för it-drift för små myndigheter
Utredningens bedömning: Regeringen bör säkerställa att Kammar-
kollegiet upphandlar ett ramavtal för it-drift för myndigheter med färre än 100 anställda.
Statens inköpscentral vid Kammarkollegiet har i uppgift att upphandla samordnade ramavtal för den offentliga förvaltningen inom bl.a. itområdet. I uppgiften ingår att tillhandahålla stödverksamhet för inköp vid avrop från de samordnade ramavtal som myndigheten har upphandlat. Statens inköpscentral har upphandlat två nu gällande ramavtal för it-drift; ett för större myndigheter (fler än 400 anställda) och ett för mellanstora myndigheter (100–400 anställda).
Det finns för närvarande inte något ramavtal för it-drift som myndigheter med färre än 100 anställda kan avropa från. Kammarkollegiet hade för avsikt att upphandla ett sådant ramavtal som skulle gälla i sju år, men efter tvist i domstol om den sjuåriga löptiden så kom inte något ramavtal till stånd. Kort därefter lämnade regeringen uppdraget om samordnad och säker statlig it-drift till Försäkringskassan. Eftersom små myndigheter var en prioriterad målgrupp i Försäkringskassans uppdrag inledde Kammarkollegiet inte någon upphandling av nytt ramavtal för it-drift för små myndigheter.
Vår utvärdering av Försäkringskassan har visat att det av olika skäl inte funnits möjlighet att ansluta alla myndigheter som visat intresse för samordnad it-drift tillhandahållen av Försäkringskassan. Inte minst av den anledningen finns det enligt vår mening ett fortsatt stort behov av ett ramavtal för it-drift, i synnerhet för de mindre myndigheterna, då dessa mer sällan besitter den kompetens och de resurser som krävs för att genomföra en upphandling av it-drift. Kvar står då alternativet att behålla driften i egen regi, vilket i vissa fall varken är det mest lämpliga, säkra eller kostnadseffektiva alternativet.
Mot denna bakgrund anser vi att det är angeläget att Kammarkollegiet upphandlar ett ramavtal för it-drift för små myndigheter (med färre än 100 anställda). Regeringen bör därför säkerställa att Kammarkollegiet genomför en sådan upphandling.
11.9. Konkurrensrättsliga överväganden
I avsnitt 8.2 har vi redogjort för reglerna i EU-fördraget och i konkurrenslagen om bl.a. konkurrensrättens tillämplighet. I detta avsnitt gör vi vissa överväganden utifrån de förslag avseende samordnad statlig it-drift som vi presenterat i det föregående. Det är viktigt att framhålla att det i slutändan är de myndigheter som berörs av sam-
ordnad statlig it-drift som måste bedöma om konkurrensrätten ska tillämpas i någon del av myndigheternas verksamhet.
11.9.1. Verksamhet på utbudssidan
Utredningens bedömning: Tillhandahållande av tjänster inom
ett samordnat statligt tjänsteutbud kan vara företag i konkurrensrättslig mening.
Våra förslag innebär att statliga myndigheter – leverantörsmyndigheter – kommer att erbjuda tjänster inom it-drift mot avgift till andra statliga myndigheter. Att tjänsterna kommer att erbjudas mot betalning (i form av avgifter) talar enligt vår bedömning för att det är fråga om tjänster av ekonomisk art.
De tjänster som kommer att erbjudas inom det samordnade statliga tjänsteutbudet är sannolikt sådana som redan i dag erbjuds av privata aktörer, dvs. det finns redan i dag ett utbud och en efterfrågan. Det ligger därför nära till hands att göra bedömningen att det är fråga om en marknad för sådana tjänster, i den meningen att leverantörsmyndigheterna kommer att utgöra konkurrenter till de befintliga privata leverantörerna som erbjuder dessa tjänster, även om leverantörsmyndigheterna uteslutande riktar sig till statliga myndigheter. De statliga myndigheterna behöver säkerställa tillgången till it-driftstjänster på något sätt för att lösa sina behov och om en statlig aktör löser detta behov minskar möjligheterna för privata aktörer att tillgodose den totala efterfrågan. Detta talar enligt vår bedömning för att tillhandahållandet av tjänster inom det samordnade statliga tjänsteutbudet som vi föreslår är att betrakta som ekonomisk verksamhet.
Konkurrensrätten är inte tillämplig vid utövande av offentlig makt. Verksamheten att tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud innefattar enligt vår bedömning dock inte myndighetsutövning. Det är inte heller fråga om en direkt lagreglerad verksamhet. Möjligen skulle verksamheten kunna betraktas som indirekt lagreglerad i de fall den informationshantering som utförs inom ramen för ett samordnat statligt tjänsteutbud faller in under en registerförfattning. Oavsett om detta är riktigt eller inte kan tillhandahållandet av it-driftstjänster inte betraktas som en verksamhet specifik för myndigheter. Det är tvärtom så att it-drifttjänster i regel erbjuds
av privata leverantörer, även till myndigheter. Att den verksamhet som omfattas av våra förslag ska bedrivas samordnat innebär inte någon skillnad i det avseendet. Så länge de it-driftstjänster som erbjuds inom det samordnade statliga tjänsteutbudet motsvarar de tjänster som erbjuds av privata leverantörer kan verksamheten inte anses myndighetsspecifik.
Det kan inte uteslutas att det finns it-drift som är nära knuten till en myndighets specifika uppdrag och kärnverksamhet på ett sätt som medför att det ändå eventuellt skulle kunna vara fråga om verksamhet som inte träffas av konkurrensrätten på grund av att verksamheten i någon mening är att betrakta som offentlig maktutövning. Denna typ av it-drift torde dock inte komma ifråga att tillhandahållas eller erhållas samordnat, mot bakgrund av verksamhetens myndighetsspecifika karaktär.
Sammanfattningsvis är vår bedömning att leverantörsmyndigheternas tillhandahållande av tjänster inom ramen för ett samordnat statligt tjänsteutbud kan utgöra sådan ekonomisk verksamhet som medför att verksamheten utgör företag i konkurrensrättslig mening och därför omfattas av konkurrensregleringen.
11.9.2. Verksamhet på inköpssidan
Utredningens bedömning: Erhållande av tjänster inom ett sam-
ordnat statligt tjänsteutbud är sannolikt inte företag i konkurrensrättslig mening, under förutsättning att tjänsterna som erhålls inte erbjuds vidare till annan myndighet. Leverantörsmyndigheterna bör utreda vilken verksamhet inom respektive myndighet som utgör företag i konkurrensrättslig mening. Exempelvis kan aktiviteter på inköpssidan innefattas i den ekonomiska verksamheten, om inköpen avser tjänster som erbjuds inom det samordnade statliga tjänsteutbudet.
Utgångpunkten för våra förslag är att myndigheter som erhåller tjänster från ett samordnat statligt tjänsteutbud inte ska tillhandahålla dessa tjänster vidare till någon annan myndighet. Det blir under den förutsättningen inte fråga om ekonomisk verksamhet och konkurrensrätten är därmed inte tillämplig på myndigheters erhållande av samordnade it-driftstjänster.
De tjänster som kommer att tillhandahållas av leverantörsmyndigheterna inom ramen för ett samordnat statligt tjänsteutbud kan komma att bygga på licenser eller tjänster som köps in från privata leverantörer. Om verksamheten att tillhandahålla tjänster inom det samordnade statliga tjänsteutbudet bedöms utgöra företag så kan det påverka karaktären av verksamheten på inköpssidan (dvs. inköp av t.ex. licenser och tjänster som utgör en del av de tjänster som erbjuds till anslutna myndigheter) såtillvida att denna verksamhet också träffas av konkurrensregleringen. Det är därför viktigt att leverantörsmyndigheterna analyserar den verksamhet som de kan komma att bedriva för att tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud i sin helhet, med avseende på både inköp och tillhandahållande, för att säkerställa att den bedrivs i enlighet med konkurrensrätten, om den befinns tillämplig.
11.9.3. Utformning av verksamheten
Utredningens bedömning: För att förebygga att förfaranden i
säljverksamhet som bedrivs av leverantörsmyndigheterna blir otilllåtna utifrån regeln om konkurrensbegränsande offentlig säljverksamhet så bör själva uppgiften att tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud författningsregleras. Dessutom bör det införas en bestämmelse i förordningen som vi föreslår om att leverantörsmyndigheterna endast får erbjuda tjänster inom samordnat statligt tjänsteutbud till andra myndigheter. Principerna för avgiftsuttag följer av författning. Det bör övervägas om ett krav på särredovisning ska införas.
En konkurrensbegränsande offentlig säljverksamhet kan endast vara försvarlig om den bedrivs i enlighet med gällande rätt. Detta talar enligt vår bedömning för att det bör finnas ett tydligt rättsligt stöd för verksamheten att tillhandahålla samordnade it-driftstjänster. Det finns därför konkurrensrättsliga skäl för att själva uppgiften att tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud bör författningsregleras, utöver de andra skäl som vi redogör för i avsnitt 10.3.
Reglerna om konkurrensbegränsande offentlig säljverksamhet kan aktualiseras för leverantörsmyndigheterna. Förbud kan meddelas mot konkurrenssnedvridande eller hämmande förfaranden i en statlig sälj-
verksamhet. Författningsreglering kan dock leda till att regeln om konkurrensbegränsande offentlig säljverksamhet inte kan tillämpas på ett sådant förfarande.
Begränsningar som medför att leverantörsmyndigheterna inte kan sätta marknadsmässiga priser på de tjänster som erbjuds kan medföra att en säljverksamhet bedrivs på ett konkurrenssnedvridande sätt. Om exempelvis avgiftsuttaget, eller principerna för detta, är författningsreglerat kan det därmed medföra att en viss avgiftsnivå inte kan förbjudas. Av 5 § andra stycket avgiftsförordningen (1992:191) framgår att om inte regeringen har föreskrivit något annat, ska avgifter beräknas så att de helt täcker verksamhetens kostnader (full kostnadstäckning). Vi föreslår inte någon bestämmelse om beräkning av avgifter, varför full kostnadstäckning kommer att gälla som princip för avgiftssättningen. Full kostnadstäckning innebär enligt vår tolkning att avgifterna ska täcka tillhandahållandet av tjänsten, varken mer eller mindre än så. Leverantörsmyndigheterna är därmed förhindrade att bestämma avgifternas storlek utifrån marknadsmässiga principer.
Av regleringen av den samordnade statliga it-driften bör det dessutom framgå att tjänster som ingår i det samordnade statliga tjänsteutbudet enbart får erbjudas till statliga myndigheter. Genom en sådan bestämmelse begränsas den samordnade statliga it-driftens möjliga inverkan på konkurrensen ytterligare.
Det kan konstateras att ett samordnat statligt tjänsteutbud kan utformas på ett sätt som i större eller mindre utsträckning riskerar att leda till konkurrensstörningar. En offentlig tillhandahållare av itdrift bedriver sin verksamhet under andra förutsättningar än en privat aktör – en myndighet kan exempelvis inte gå i konkurs.
En utgångspunkt bör därför vara att tillhandahållandet av det samordnade statliga tjänsteutbudet ska utformas så att förutsättningarna för konkurrens blir så neutrala som möjligt mellan tillhandahållare av samordnade it-driftstjänster (dvs. leverantörsmyndigheter) och andra aktörer som är verksamma på samma marknad. Detta kan åstadkommas genom att verksamheten att tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud hålls separerad från den verksamhet som en leverantörsmyndighet i övrigt ägnar sig åt. En sådan ordning minskar risken för att leverantörsmyndigheten drar nytta av den övriga organisationen i den offentliga säljverksamheten, eftersom det kan innebära en konkurrensmässig fördel jämfört med andra
aktörer på marknaden. Dessutom bör den finansiella styrningen och redovisningen hållas så separerat som möjligt i förhållande till eventuell övrig verksamhet som bedrivs av tillhandahållaren. Om leverantörsmyndigheterna bedömer att verksamheten att tillhandahålla ittjänster inom ramen för ett samordnat statligt tjänsteutbud är att betrakta som företag i konkurrensrättslig mening kan det övervägas om det ska införas ett explicit krav i författning på särredovisning (jfr Konkurrensverkets yttrande den 21 november 2020 över Kommuner som utförare av tjänster åt Arbetsförmedlingen – en analys av de rättsliga förutsättningarna [SOU 2020:41], dnr 409/2020). Vi ser dock i dagsläget inte anledning att utifrån enbart konkurrensrättsliga överväganden föreslå en sådan bestämmelse.
11.9.4. EU:s statsstödsregler och ett samordnat statligt tjänsteutbud
Utredningens bedömning: Om verksamheten att tillhandahålla
tjänster inom ett samordnat statligt tjänsteutbud ska finansieras helt eller delvis genom anslag från regeringen eller anslag som fördelas via den samordnande myndigheten bör det utredas om finansieringen kan utgöra ett otillåtet statsstöd. Anslag som lämnas till myndigheter för att de ska kunna förbereda den egna organisationen för en anslutning till det samordnade statliga tjänsteutbudet utgör sannolikt inte statsstöd, så länge som anslagen inte används för att täcka avgifter för det samordnade statliga tjänsteutbudet.
Som vi redogjort för i avsnitt 8.2.2 kan stöd som ges av en medlemsstat eller med hjälp av statliga medel som snedvrider eller hotar att snedvrida konkurrensen genom att gynna vissa företag eller viss produktion, vara oförenliga med EU-rätten. I den utsträckning som verksamheten att tillhandahålla tjänster inom ett samordnat statligt tjänsteutbud finansieras helt eller delvis genom anslag från regeringen eller anslag som fördelas via den samordnande myndigheten behöver det utredas om anslagen kan utgöra ett otillåtet statsstöd.
Vi har ovan gjort bedömningen att verksamhet på inköpssidan under vissa förutsättningar inte utgör företag i konkurrensrättslig mening. Anslag som tilldelas myndigheter för att de ska kunna för-