Säker och kostnadseffektiv it-drift – förslag till varaktiga former för samordnad statlig it-drift” (SOU 2021:97)

Arbetsgivarverket har anmodats att lämna synpunkter på SOU 2021:97. Arbetsgivarverket besvarar remissen både som förvaltningsmyndighet och arbetsgivarorganisation.

Arbetsgivarverket instämmer i problembilden som utredningen tecknar av förutsättningarna för statens IT-driftslösningar. Arbetsgivarverket delar även utredningens bedömning om att många myndigheter behöver mer stöd för att göra säkra och medvetna val vad gäller IT-drift, samt vikten av att dessa val är långsiktigt varaktiga. De brister avseende säkerhet och kostnadseffektivitet som finns idag behöver adresseras snarast av staten samlat. Förslagen i utredningen har potential att åtgärda stora delar av dessa brister. Det är mycket angeläget att det sker och det behöver ske inom den tidshorisont som utredningen föreslår. Utifrån detta tillstyrker Arbetsgivarverket utredningens övergripande förslag om att införa varaktiga former för samordnad statlig IT-drift.

Arbetsgivarverket anser att det finns vissa oklarheter i utredningens förslag som behöver utredas närmare och föreslår därför förtydliganden/tilläggsuppdrag som löper parallellt med att det stegvisa införandet av den föreslagna modellen påbörjas. Utredningen konstaterar också att brist på kompetens är ett av de främsta hindren för säker och kostnadseffektiv IT-drift i statsförvaltningen idag. Arbetsgivarverket delar denna bedömning och vill framhålla att också denna fråga behöver hanteras, inte minst inom ramen för utbildningspolitiken.

En samordnad statlig IT-drift behövs

Arbetsgivarverket delar i stort de slutsatser som utredningen drar och tycker att analyserna i de flesta fall är både tillräckliga och riktiga.

Frågan om ett varaktigt statligt tjänsteutbud för IT-drift är stor och angelägen och utredningen tar sig an den på ett gediget och grundligt sätt. Som utredningen slår fast har statliga myndigheter begränsad erfarenhet av samverkan och innovation inom det förvaltningspolitiska målet. Förslaget som läggs fram sägs bland annat kunna utgöra en statlig molntjänst. Brådskan i att tillhandahålla statliga driftstjänster illustreras av de vitt skilda val myndigheter gör i nuläget vad gäller till exempel tjänster för digital kommunikation. Likställigheten och därmed förutsebarheten och transparensen i samhället måste öka i dessa delar.

Det som byggs behöver också vara varaktigt, säkert och kostnadseffektivt. Statens IT-drift är både omfattande och betydelsefull och metoden som föreslås är en helt ny modell för samverkan. Därför är det positivt att införande föreslås göras stegvis. Mot bakgrund av att det rör sig om ett helt nytt sätt att samarbeta med stor betydelse för lång tid anser Arbetsgivarverket dock att det bör övervägas att använda lag istället för förordning för den nya regleringen. Om lag väljs istället för förordning är emellertid en extra snabb process viktig; den nya modellen måste kunna användas vid halvårsskiftet 2024 i enlighet med utredningens förslag.

Arbetsgivarverket tycker att det är mycket bra att utredningen använder erfarenheter från uppbyggnaden av Statens Servicecenter liksom Försäkringskassans pilotuppdrag om samordnad statlig IT-drift som grund för vad som föreslås.

Den föreslagna modellen för samarbetet har goda förutsättningar att fungera

Två utgångspunkter styr varför utredningen landar i den modell som de gör. En myndighet kan aldrig delegera bort sitt ansvar för säkerhet och kostnadseffektivitet och olika myndigheter har skilda behov och förutsättningar.

Behovet av en flexibel och valbar modell följer också av att myndigheter bidrar till att lösa gemensamma behov. Utredningen pekar till exempel på en förändrad hotbild, den ökade betydelsen av cybersäkerhet och myndigheters allt större roll i det civila försvaret.

Slutsatserna som utredningen drar att samarbetet även handlar om kompetensfrågor, upphandling och robusthet är riktiga och viktiga. Betydelsen av kopplingen mellan juridik och it som utredningen betonar är också av avgörande betydelse.

Den framtagna tjänstekartan är således central genom att beskriva det avsedda utbudet. Arbetsgivarverket delar slutsatsen i avsnitt 5.1 att små myndigheter sannolikt i större utsträckning efterfrågar ett helhetsåtagande och att myndigheters intresse av tjänsterna sprider sig över hela tjänstekartan. Utifrån det måste lösningen som tas fram således vara flexibel och valbar.

Prioriteringsfrågan för tillhandahållandet av tjänsterna är avgörande för modellens framgång och det är därför bra att den adresseras i ett särskilt avsnitt i utredningen. Det måste stå alldeles klart i vilken turordning tjänster tillhandhålls, särskilt om de tillhandahålls i konkurrens mellan olika myndigheter och mellan leverantörsmyndigheter och myndigheter som tar tjänsterna i anspråk. Modellens framgång förutsätter förutsebarhet kring hur tjänsterna kan användas. Utredningens förslag om prioritering är genomarbetat och ger dessa nödvändiga förutsättningar.

Arbetsgivarverket ställer sig slutligen positivt till att modellen ska bygga på samarbete och gemensamt ansvarstagande från ett antal myndigheter. Eftersom det idag råder brist på de kompetenser som krävs för kravställning och upphandling av IT-driftslösningar är det centralt att modellen utformas så att befintlig expertis och potentiella synergieffekter nyttjas väl. Arbetsgivarverket anser att utredningens förslag avseende vilka myndigheter som ska vara samordnande, leverantörs- och stödjande myndigheter är rimligt ur det perspektivet. Med den föreslagna uppdelningen nyttjas statens samlade resurser på ett ansvarsfullt sätt som ger förutsättningar för ett lyckat införlivande och en väl fungerande förvaltning.

Utredningens förslag behöver tydliggöras avseende säkerhetsskyddet

I utredningen konstateras att myndigheters stödbehov är stort vad gäller hanteringen av säkerhetskänsliga uppgifter. Den grundläggande utgångspunkten att varje myndighet ansvarar för hanteringen av dessa uppgifter betonas också, det vill säga det ansvar som en myndighet har för sin egen verksamhet kan inte överlåtas.

Att försvarsmyndigheterna och Säkerhetspolisen undantas från samarbetet förefaller rimligt utifrån att det typiskt sett finns en hög grad av säkerhetskänsliga uppgifter hos dessa myndigheter.

För övriga myndigheter, varav många med stort stödbehov, är det emellertid oklart hur denna typ av uppgifter får hanteras inom den statliga IT-driften. Å ena sidan sägs att tjänsteutbudet inte innefattar säkerhetsskyddsklassificerade uppgifter. Å andra sidan finns inte något förbud mot hantering av sådana uppgifter i den föreslagna förordningen.

Arbetsgivarverket noterar att Försvarsmakten öppnar för möjligheten att hantera också säkerhetsklassificerade uppgifter inom modellen. Slutsatsen skulle därmed kunna vara att sådan hantering är möjlig och får avgöras i dialog med den samordnande myndigheten och leverantörsmyndigheten, eventuellt med stöd av expertmyndighet. Arbetsgivarverket anser att denna fråga behöver klargöras, eventuellt i form av en tilläggsutredning/ny utredning.

För många mindre myndigheter som hanterar små mängder säkerhetsskyddsklassificerade uppgifter, till exempel Arbetsgivarverket, skulle det vara av stor betydelse att alla uppgifter kan hanteras i modellen. En helhetslösning för IT-drift skulle vara värdefull ur effektivitets- och säkerhetsperspektiv. Ett förbud mot hantering av säkerhetsskyddsklassificerade uppgifter medför å andra sidan betydande behov av dubbelreglering och därmed följande ineffektivitet och extra kostnader. Risken att det skulle kunna bli dyrare och svårare att inkludera säkerhetsskyddsklassificerade uppgifter i modellen är således inte ett tillräckligt argument för att inte göra det. Att fördela tjänsteleverans på några myndigheter och privata aktörer utgör en tillräcklig säkerhetsåtgärd utifrån det ökade hot som större mängder av samlad information hos myndigheter kan utgöra. Vi befarar sammantaget att en modell där denna typ av uppgifter inte inkluderas blir av begränsat värde för statsförvaltningen.

Det är oklart om utredningens förslag stödjer att allmänna handlingar med sekretess kan utväxlas

Utredningens genomgång kring allmänna handlingar leder till slutsatsen att allmänna handlingar normalt inte utväxlas i en modell för IT-drift men att det å andra sidan inte är något problem ifall det faktiskt görs. Resonemanget stöds av exemplet med Försäkringskassans tidigare pilotuppdrag och att frågan då inte utgjort något problem. Med det stannar utredningen vid att någon ny reglering inte behövs.

Konsekvensen av att ingen reglering föreslås blir ökad osäkerhet för alla berörda myndigheter och privata aktörer. Arbetsgivarverket anser att det behöver tydliggöras att uppgifterna får hanteras av annan aktör och hur frågor om utlämnande av uppgifter ska lösas hos dessa tjänsteleverantörer. Det som behöver förtydligas är, mot bakgrund av det redovisade materialet, själva analysen kring vad som faktiskt gäller för att skicka vidare och lämna ut uppgifter inom ramen för den föreslagna modellen.

Arbetsgivarverket tillstyrker att anslutning till den samordnade statliga IT-driften ska vara frivillig

Den svenska förvaltningsmodellen och den arbetsgivarpolitiska delegeringen anger att de statliga myndigheterna själva ska besluta om hur verksamheten ska bedrivas. Arbetsgivarverket menar att detta är ett viktigt skäl för varför anslutning till den samordnade statliga IT-driften bör vara frivillig. Vi tillstyrker därför utredningens förslag i avsnitt 10.5 om frivillig anslutning och att myndigheterna ska kunna välja i vilka delar och i vilken omfattning de ansluter till det samordnade tjänsteutbudet. Det finns skillnader i behov såväl som förutsättningar mellan myndigheter och den samordnade IT-driften behöver ta höjd för dessa variationer för att tjänsteutbudet ska vara relevant.

Finansieringen föreslås ske genom en avgift (avsnitt 10.7). Denna konstruktion betonar myndigheternas valfrihet och ansvar kring anslutning, vilket Arbetsgivarverket anser är positivt. Arbetsgivarverket ställer sig även positivt till att mindre myndigheter ska kunna söka extra bidrag vid behov, samt att det ska finnas extra medel att söka för leverantörsmyndigheter som åtar sig att utveckla nya tjänster i tjänsteutbudet.

Arbetsgivarverket anser att förslaget om bidrag för nyutveckling är särskilt viktigt. Tjänsteutbudet kommer att behöva utvecklas kontinuerligt samtidigt som det finns en risk att olika myndigheter gör olika bedömningar om vilka tjänster som bör prioriteras. Det kan i sin tur försvåra gemensam finansiering. Arbetsgivarverket anser därför att det är rimligt att politiken säkerställer finansiering för nyutveckling.

Kompetensbristfrågan behöver adresseras vidare

Ett övergripande mål med att samordna den statliga IT-driften är att minska enskilda myndigheters sårbarhet och skapa förutsättningar för skalfördelar och ökad kostnadseffektivitet. Utredningen konstaterar inledningsvis att ett stort hinder för statens IT-drift idag är brist på kompetens inom IT, säkerhet och juridik. Kompetensbristen utgör en säkerhetsrisk och riskerar att leda till att fel IT-driftslösningar väljs på felaktiga grunder.

Modellen som föreslås innebär att utförande, utkontraktering och upphandling av tjänsteutbud samordnas samtidigt som ansvaret för säkerhet och kostnadseffektivitet fortsatt åligger varje myndighet. Avvägningen mellan risk kontra potentiell vinst samordnas således inte, trots att det är i riskbedömningen som många myndigheter efterfrågar stöd. Det kan sammanfattningsvis vara nödvändigt för myndigheterna att säkerställa en viss kritisk kompetens i verksamheterna även med en samordnad statlig IT-drift.

Arbetsgivarverket vill i anslutning till detta lyfta behovet av att specificera vad den samordnande myndighetens uppgift att tillhandahålla ”stöd” innebär. Det behöver vara tydligt i kommunikationen kring ansvarsförhållandena i den samordnade statliga IT-driften vad som gäller så att inga missförstånd eller felaktiga förväntningar uppstår. Exempelvis är det viktigt att det är tydligt att tillsynsmyndigheterna bistår vid frågor kring säkerhetsskyddsklassificering och att det stödet inte ges av den samordnande myndigheten.

Eventuella konsekvenser för berörd personal

Arbetsgivarverket saknar en analys av förslagens konsekvenser avseende berörda myndigheters personal. I de fall myndigheter som idag har IT-drift i egen regi överlåter hela eller delar till den samordnade IT-driften kan det innebära mer eller mindre omfattande personalomflyttningar. Detta skulle potentiellt kunna få konsekvenser som är att likna vid verksamhetsövergång enligt 6 b § LAS.

Avslutande kommentarer

Även förutsatt en lyckad finansiering behöver en aktiv samverkan och uppföljning ske för att veta att den valda modellen faktiskt svarar mot de högt ställda förväntningarna. Utbudet måste fungera som förutsatt i hela kedjan för att ge ett väl fungerande resultat. För dessa ändamål behöver indikatorer väljas och följas upp enligt utredningens förslag.

En ytterligare förutsättning är att den aktiva samverkan som föreslås i praktiken blir av. I utredningens konsekvensanalys konstateras att förslaget förutsätter en ökad samordning mellan berörda departement inom regeringskansliet. Arbetsgivarverket vill framhålla vikten av denna slutsats. Regeringens aktiva roll är nödvändig för att säkra att den här nya och innovativa modellen fungerar. Om förslaget om samordnad statlig IT-drift ska få önskad effekt krävs också att myndigheterna får erforderliga resurser att fullgöra sina nya uppdrag.

Arbetsgivarverket vill avsluta med att instämma i utredningens bedömning om att ökad säkerhet behöver vara överordnad kostnadseffektivitet.

Beslut i detta ärende har fattats av generaldirektör Gunnar Holmgren efter föredragning av utredaren Sofie Andersson och verksjuristen Patrik Havermann. I den slutliga handläggningen deltog även enhetscheferna Lars Andrén, Anna Falck, Åsa Krook och Hedda Mann.