Säker och kostnadseffektiv it-drift – förslag till varaktiga former för samordnad statlig it-drift (SOU 2021:97)

Myndigheten för digital förvaltning (Digg), som har i uppdrag att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig, lämnar följande synpunkter.

Sammanfattning

Digg tillstyrker utredningens förslag i huvudsak, men lämnar följande synpunkter på utredningens förslag

  • Digg tillstyrker att en samordnande myndighet ska ges i ansvar att samordna den statliga it-driften.
  • Digg delar utredningens uppfattning att Digg, framför andra statliga myndigheter, bör ges i uppgift att vara samordnande myndighet för den samordnade statliga it-driften.
  • Digg vill understryka att i den slutliga utformningen av det som i betänkandet benämns införandefasen noga bör beaktas de skillnader i behov av stöd som finns mellan olika kategorier av myndigheter. Det generella stödet måste således utformas utifrån olika typer av behov.
  • Digg föreslår att det inom det den samordnande statliga it-driftens upphandlade ramavtal ska finnas en särskild tjänst avseende anslutningsstöd för val av it-drift, att avropa i de fall det generella stödet inte är tillräckligt.
  • Digg vill understryka att det finns behov av en ny sekretessbestämmelse i offentlighets- och sekretesslagen som omfattar uppgifter som uppstår hos den samordnande myndigheten i verksamhet som rör den samordnade statliga it-driften. I samband med detta bör även fråga om sekretessbrytande bestämmelser införas för möjligheten att dela uppgifter mellan de myndigheter som har behov av uppgifterna.
  • Digg föreslår att en kostnadsberäkning för samordnande myndighet bör ingå som en del av införandeuppdraget alternativt i det förberedande uppdrag inför införandeuppdraget som Digg föreslår. Digg anser inte att det är möjligt att ta ställning till kostnader för samordnande myndighet i detta läge, då uppdraget för den samordnande myndigheten vad avser stöd till sökande myndigheter behöver förtydligas.
  • Digg föreslår att samordnande myndighet ges ett förberedande uppdrag inför införandeuppdraget, till syfte att kunna ha relevanta delar av organisationen på plats för att kunna omhänderta införandeuppdraget.

Diggs synpunkter

Inledning

Digg har analyserat utredningens förslag utifrån att samordnande myndighet – oaktat vilken myndighet som utses till samordnande myndighet - och övriga aktörer som föreslås ingå i den samordnande statliga it-driften, ska ha tillräckliga förutsättningar och tydlighet för att lyckas med mål och syfte med samordnad statlig it-drift. Med utgångspunkt i detta besvarar Digg remissen med att påpeka vilka behov av ändringar, tillägg och förtydliganden som myndigheten anser utgöra förutsättningar för att myndigheterna ska ha förmåga att genomföra uppdraget.

10 Utgångspunkter och principer för varaktiga former för samordnad statlig it-drift

10.3.3 Hur ska den samordnade it-driften regleras?

Digg delar utredningens bedömning att formerna för den samordnade statliga it-driften bör regleras i förordning. Förordningsreglering av den samordnande statliga it-driften ger ingående myndigheter ett tydligt rättsligt stöd för respektive uppgift och möjliggör en sammanhållen styrning av den samordning och samverkan som ska ske.

10.4 Tjänsteutbud inom den samordnade statliga it-driften

Digg ser ett behov av att förväntansbilden på den samordnade statliga it-driften är proportionerlig i förhållande till förmåga, detta utifrån förväntan hos anslutande myndighet. Digg anser inte att begreppet helhetsåtagande är av relevans för den samordnade statliga it-driften, samt att det skapar en felaktig bild av vad den samordnade statliga it-driften kan klara av att åstadkomma.

Olika myndigheter kan ha olika behov även om de har behov av att all it-drift ska utkontrakteras. Digg anser att regeringen bör överlåta till den samordnande myndigheten att definiera begrepp för vilka slags it-driftstjänster som ska tillhandahållas, i syfte att skapa en enhetlig begreppsmodell som anslutande myndigheter enkelt kan orientera sig i. Denna begreppsmodell bör bilda utgångspunkt för den förteckning som ska föras av den samordnande myndigheten.

10.4.5 Teknisk lagring och teknisk bearbetning

Digg vill tydliggöra att myndigheten uppfattar att utredningens förslag till förordning möjliggör att utkontraktering av it-drift kan ske både inom ramen för 2 kap. 13 § tryckfrihetsförordningen (hädanefter kallad TF), teknisk lagring och teknisk bearbetning för annans räkning och genom sådan it-drift som går utöver teknisk lagring och teknisk bearbetning för annans räkning. Digg vill påtala att en skrivning i avsnitt 10.4.5 tycks ge uttryck för att samordning som innebär informationshantering som går utöver 2 kap. 13 § TF inte kan ske. Digg delar inte denna uppfattning.

Digg vill dock understryka att det är av vikt att de it-driftstjänster som kan hanteras i enlighet med 2 kap. 13 § TF också gör det. I annat fall är risken stor att handlingar anses förvarade hos både anslutande myndighet och leverantörsmyndigheten och att ansvaret för att tillgodose offentlighetsprincipen framstår som otydligt. Vidare vill Digg uppmärksamma att handlingar som förvaras hos en leverantörsmyndighet och hanteras på ett sätt som går utöver 2 kap. 13 § TF riskerar förlora erforderligt sekretesskydd för uppgifter.

Slutligen vill Digg påtala att myndigheten delar utredningens uppfattning om att det finns vissa rättsliga osäkerheter avseende tillämpningen av 2 kap. 13 § TF. En förutsättning för en omfattande statlig it-drift som bygger på vissa rättsliga utgångspunkter är att gällande rätt är tydlig och att myndigheterna också har samsyn kring gällande rätts innebörd. Digg önskar påtala att rättsliga osäkerheter i takt med att utkontraktering växer i omfattning även riskerar att bli rättsliga risker. Digg ser inte att enbart myndighetens rättsliga stöd på området ensamt kan läka de rättsliga osäkerheter som finns kopplade till hantering av handlingar enligt 2 kap. 13 § TF.

11 Förslag till varaktiga former för samordnad statlig it-drift

11.2 Organisering av en samordnad statlig it-drift

Digg delar utredningens uppfattning om att det krävs en samordningsorganisation för den samordnade statliga it-driften och att det behövs en samordnande myndighet som har det övergripande ansvaret för samordningen (se även 11.3.1).

11.3 Aktörer: uppgifter, ansvar och roller

11.3.1 Den samordnande myndigheten

Samordnar stöd till myndigheter i it-driftsfrågor

Digg delar betänkandets uppfattning att det finns behov av både generellt, passivt och individuellt, aktivt stöd till myndigheter som ska fatta beslut om it-drift. Digg gör dock bedömningen att det av utredningen föreslagna stödet, som till sin övervägande del är av generell karaktär, inte kommer att vara tillräckligt. Digg anser att stöd till anslutande myndigheter bör kompletteras med möjligheten att även ge ett mer individuellt stöd.

För att tillgodose det individuella behovet av stöd föreslår Digg att en ramavtalsupphandlad tjänst avseende anslutningsstöd ska finnas inom den samordnande statliga it-driften. Leverantörer av tjänsten ska förbinda sig att följa generella guider, riktlinjer och liknande som tagits fram av den samordnande myndigheten.

Följer upp och återrapporterar den samordnade statliga it-driften till regeringen

Digg anser att det är viktigt att regeringskansliet har en funktion för att samordna styrningen av myndigheterna på övergripande nivå utifrån de behov som kan uppstå inom den samordnade it-driften. Detta inte minst därför att de olika utpekade myndigheterna med ansvar inom den samordnade statliga it-driften tillhör olika departement. Regeringen bör även ta in återrapporteringen i tid för att kunna införa ändringar och förslag kopplade till den samordnade statliga it-driften i myndigheternas årliga regleringsbrev.

11.3.2 Leverantörsmyndigheter

Levererar it-drift till anslutna myndigheter inom ramen för det samordnade statliga tjänsteutbudet

Digg anser att leverantörsmyndigheter behöver ha ett fortsatt och intensifierat samarbete för en teknisk infrastruktur och även erbjuda den via sina infrastruktur- och plattformstjänster, exempelvis för att kunna hörsamma behov av standarder i större utsträckning. De behöver även erbjuda tjänster inom hela tjänstekartan. Det möjliggör och förenklar för flyttbarhet och integration mellan leverantörer.

Digg föreslår att anslutande myndigheter ska kunna vända sig direkt till leverantörsmyndighet. Anslutande myndighet som utvecklar egna it-tjänster har oftast behov av ett flertal underordnade it-tjänster från samma leverantörsmyndighet. Detta medför att en anslutande myndighet behöver kunna ha kontakt direkt med leverantörsmyndighet och direkt kunna nyttja infrastruktur- och plattformstjänster utan att gå via en samordnande myndighet. Leverantörsmyndigheten ska säkerställa att den prioritering som upprättas inte påverkas genom denna typ av direkt anslutning. I de fall det anses får konsekvenser på det statliga tjänsteutbudet ska samråd med samordnande myndighet genomföras.

Digg anser att regeringen behöver säkerställa att anslutande myndighets insynrätt – med tillräcklig begränsning för skydd av säkerhetslösningar hos leverantörsmyndigheter – tas omhand på ett erforderligt sätt. Enligt förslaget har leverantörsmyndigheterna ansvar för att tillhandahålla it-säkerhet genom it-driftstjänsterna. Ansvaret för informationssäkerhet kvarstår emellertid hos anslutande myndighet som väljer att utkontraktera sin it-drift till en leverantör.

Deltar i samverkan på förvaltningsgemensam nivå

Digg vill understryka vikten av aktivt deltagande från leverantörsmyndigheten i samordningen av den statliga it-driften. Sådant deltagande kan regleras genom att även leverantörsmyndigheterna åläggs att samverka med utpekade säkerhetsmyndigheter, samt ett eventuellt behov av samordningsskyldighet mellan leverantörsmyndigheterna för att exempelvis säkerställa tillräcklig samordning i tjänsteutbudet.

11.3.3 Stöd- och expertmyndigheter

Digg anser att de myndigheter som är experter, och som har olika typer av säkerhet som sin kärnuppgift, bör ha ett mer utpekat och definierat ansvar och större skyldigheter att aktivt arbeta med frågeställningar kopplade till informationssäkerhet och säkerhetsskydd inom den samordnade statliga it-driften. Digg konstaterar vidare att förordningens förslag innebär behov av en gemensam samsyn i säkerhets- och integritetsfrågor, vilket i sig kan bli en utmaning.

Digg anser att förordningen bör förtydligas så att även expertmyndigheter som Säkerhetspolisen, Försvarsmakten, Integritetsskyddsmyndigheten och Myndigheten för samhällsberedskap har i uppgift att lämna stöd till anslutande myndigheter, men att den samordnande myndigheten ansvarar för samordning av stödet.

11.4 Forum för samverkan

Digg anser att samordningsorganisationen behöver omfatta helheten i den samordnande statliga it-driften. Samverkan, samordning och samråd så som de framgår av förordningen tycks i vissa delar ligga utanför denna samverkan på förvaltningsgemensam nivå som är beskriven i avsnittet, exempelvis i fråga om att ge stöd och uppföljning för att nämna några exempel. Vidare är det inte helt klart varför de olika begreppen har valts, och hur de skiljer sig från varandra i den tänkta organisationen för samordningen.

Digg föreslår att förordningen omformuleras och att de utpekade myndigheterna åläggs att bistå i samordningen utifrån sina respektive ansvar (som leverantörsmyndighet eller som expertmyndighet). Här vill Digg också lyfta att Kammarkollegiet har en central roll i samordningen.

En sådan samordningsorganisation innebär inte att samtliga utpekade myndigheter behöver delta i alla aktiviteter i den samordnade it-driften, men det innebär att organisationen blir sammanhållen och på ett ändamålsenligt sätt kan leverera de olika aktiviteter som behövs för att åstadkomma den samordnade statliga it-driften. Digg föreslår därför att den samordnande myndigheten i det stegvisa införandet leder myndigheterna i att gemensamt utforma och etablera en ändamålsenlig samordningsorganisation (se även avsnitt 11.11).

11.5 Anslutning av myndigheter

Digg anser att den roll som en sökande myndighet har i den initierande fasen behöver synliggöras i förordningen. Det saknas en beskrivning eller definition av den myndighet som ännu inte beslutat att ansluta sig till den samordnande statliga it-driften, men som befinner sig i ett skede av att utforska en eventuell anslutning och som kan vara föremål för stöd från samordnande myndighet inför en sådan anslutning. En myndighet som är i detta tidiga skede i anslutningsprocessen bör identifieras som en faktisk och utpekad roll i den statliga it-driften, samt åläggas visst ansvar avseende kompetens och material som ska kunna presenteras för att ta emot samordnande myndighets stöd i val av statlig it-drift.

11.6 Förutsättningar utifrån säkerhetsskydd

Digg delar utredningens uppfattning om att säkerhetsskyddsklassificerade uppgifter inte bör hanteras inom ramen för den samordnade statliga it-driften. Digg vill dock synliggöra att information som kan komma att omfattas av säkerhetsskydd kommer att vara en central och nödvändig produkt av den samordnande myndighetens verksamhet. Digg konstaterar att det kan medföra högre kostnader för utrustning samt för personal med specialistkompetens hos samordnande myndighet, samt att rådande världsläge ytterligare kan driva behovet av säkra lösningar och kostnader för dessa.

Digg önskar särskilt att Säkerhetspolisen ges i uppdrag att klargöra begreppet verksamhetsutövare i förhållande till de olika rollerna och informationshanteringen inom den samordnade statliga it-driften.

11.7 Reglering av villkoren för leverantörsmyndigheternas behandling av personuppgifter

Digg tillstyrker utredningens förslag om att villkoren för leverantörsmyndigheternas behandling av personuppgifter regleras i förordningen. Detta bedöms kunna underlätta i arbetet för att ta fram överenskommelser inom den samordnade statliga it-driften.

11.10 Aktörer som kan vara aktuella i en samordnad statlig it-drift

11.10.1 Samordnande myndighet

Digg tillstyrker att Digg ges i uppgift att vara samordnande myndighet för den samordnade statliga it-driften.

Digg kan konstatera att detta innebär att en ny verksamhetsgren behöver etableras hos myndigheten.

11.11 Införande av varaktiga former för samordnad statlig it-drift

Digg föreslår att Digg ska ges ett särskilt uppdrag inför införandeuppdraget. Syftet med detta uppdrag ska vara att etablera formerna och förutsättningar för den samordning och organisation som kommer att behövas för att i rollen som samordnande myndighet kunna leda införandet av en samordnad statlig it-drift.

12.5 Ekonomiska konsekvenser av förslagen

12.5.1 Anslag för regeringsuppdraget att etablera former och förmåga för en samordnad statlig it- drift

Digg tillstyrker utredningens förslag att vissa myndigheter ska tilldelas anslagmedel för att etablera former och förmåga för en samordnad statlig it-drift. De medel som föreslås för den samordnande myndigheter behöver dock justeras, utifrån betänkandets slutliga utformning av uppgifter och ansvar för den samordnande myndigheten. Utöver de kompetenser och roller som tidigare identifierats behövs även organisationsutvecklare, processutvecklare, verksamhetsarkitekt, jurist samt kompetens inom rekrytering. Till det kommer även kostnader för systemstöd.

12.5.2 Anslag för den samordnande myndigheten

Digg tillstyrker att den samordnande myndigheten ska finansieras med anslagsmedel. Digg instämmer i utredningens uppfattning att det är svårt att göra en exakt bedömning av resurs- och kompetensbehovet i nuläget. Digg föreslår att den samordnande myndigheten ska få i uppdrag att ta fram en uppdaterad kostnadsuppskattning baserad på en fördjupad analys av sökande myndigheters behov, befintligt tjänsteutbud och ramavtal och plan för att ansluta myndigheter (se även avsnitt 11.11).

Övriga synpunkter

Digg vill påpeka att det är sannolikt att de uppgifter som kommer att förvaras hos den samordnande myndigheten kan vara av sådan art att de behöver kunna sekretessbeläggas. Det är inte klart om sekretess för uppgifter enligt 15 kap. 2 §, 18 kap. 8 § eller 18 kap. 13 § offentlighets- och sekretesslagen (2009:400) fullt ut kommer att tillgodose detta behov av att skydda informationen. Om erforderligt sekretesskydd för uppgifter inte kan garanteras hos den samordnande myndigheten uppstår risker i förhållande till vilka uppgifter som anslutande myndigheter kan lämna till den samordnande myndigheten om sina behov, uppgifter leverantörsmyndigheter kan lämna avseende sina förmågor att tillhandahålla it-driften och slutligen de uppgifter som uppstår med anledning av samverkan och samråd med säkerhetsmyndigheterna. Regeringen bör därför se över behovet av och införa en sekretessbestämmelse för att skydda uppgifterna som nämns ovan.

Detta yttrande har beslutats av generaldirektören Anna Eriksson. I handläggningen har strateg Jan Bergdahl, informationssäkerhetsexpert Johan Lindberg, jurist Mathea Franzén, verksamhetsarkitekt Mikael Skyman och it-chef Tomas Stenlund deltagit. I den slutliga handläggningen har leveransområdeschef Annika Bränström och chefsjuristen Linn Kempe deltagit. Föredragande har varit jurist Louise Wikström.

DNR: I2021/03265

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Publicerad: