It-driftsutredningen har trots de ”lätta” frågeställningarna ett mycket komplext arbete framför sig, för att hitta svaren till betänkandet den 15 oktober.
Vad innebär egentligen it-drift, hur stor ska den vara och ska myndigheter verkligen ha detta som en bisyssla vid sidan om sina ordinarie samhällsuppdrag? Tre viktiga områden som måste behandlas.
Utredningen Säker och kostnadseffektiv it-drift för den offentliga förvaltningen 2019:64 (’It-driftsutredningen’) har gått in i nästa fas och ett förslag på hur staten ska organisera sin framtida it-drift ska presenteras i ett betänkande den 15 oktober. Lite förenklat kan utredningen kokas ner till 3 simpla frågor.
Först och främst tycker vi som arbetar med offentlig sektor på TietoEVRY att allt inte ska utkontrakteras till privata leverantörer, ett ställningstagande vi länge har propagerat för. Vi har introducerat vår modell med 3L där lämplighetsbedömningen är vital. Övervägandet och ställningstagandet om det är lämpligt med utkontraktering måste alltid göras av myndigheten, kommunen eller regionen, utifrån de förutsättningar, lagkrav och uppdrag respektive organisation har.
Det finns saker som inte ska utkontrakteras. Det kan vara sådant som rör Sveriges säkerhet, beredskap eller andra viktiga aspekter som bedöms som vitala för att kunna upprätthålla vårt samhälle, såväl i fred som i höjd beredskap. Vi är fullt övertygade om att it-branschen kan bidra med innovation, kompetens, säkerhet och kostnadseffektivititet på de flesta områden, men vissa saker bör hanteras av myndigheterna själva.
Vad ska statlig drift omfatta?
I sitt delbetänkande tidigare i år avgränsade IT-driftsutredningen begreppet it-drift (avsnitt 2.2.3) till att endast omfatta datacenter och traditionell serverdrift. Med denna relativt snäva definition utesluts områden som applikationsförvaltning, applikationsutveckling, arbetsplatstjänster och servicedesk, några exempel på it-tjänster som således inte ingår i begreppet it-drift. Om it-driften ska bli ett stöd för verksamheten och användarna behövs dock alla tjänster. De små och medelstora myndigheterna vill troligtvis ha ett helhetsstöd och inte bara någon som plockar russinen ur kakan och tar det som är ”kul” och ”enkelt” att göra.
Att innehållet i vad som kommer tillhandahållas är avgränsat innebär i praktiken att de flesta små- och medelstora myndigheterna kommer att ha ungefär samma omfattning av sin it-verksamhet som tidigare, även om ansvaret för datahallar och serverdrift flyttas. Vi tror att risken för att verksamheterna kommer att bli besvikna på sitt minimala framtida it-stöd är stor, särskilt som förväntningarna på ett heltäckande verksamhetsstöd är höga.
Hur stor ska den statliga it-driften vara?
Vi tycker att det är viktigt att definiera vilka system som ska driftas vid en statlig it-drift. Det bör framgå vilka kriterierna är för att systemen ska ingå i en central statlig it-funktion. Ett nytt DAFA med ensamrätt på it-driften är inte vägen att gå, men att respektive myndighet får välja fritt, som det fungerar idag, är heller inte vägen framåt. En blandning är att föredra men det måste finnas tydliga kriterier och riktlinjer så det inte blir godtyckligt – då kommer inte nyttorna att kunna realiseras i slutändan.
Även begreppet ”säker” i delbetänkandet (avsnitt 2.2.1) måste tydliggöras. Även här måste det framgå vad som behöver vara uppfyllt för att statlig it-drift ska vara aktuellt, det kan inte vara en godtycklig bedömning utifrån vad någon tror är viktigt, tydliga riktlinjer måste till. Det är även viktigt att separera system och information som lyder under säkerhetsskyddslagen. Med dagens lagstiftning ställs det särskilda krav på säkerhetsskyddade system gällande fysisk separering och andra skyddsåtgärder enligt framtagna riktlinjer. Detta medför att det till exempel är en utmaning att dela tekniska miljöer mellan olika organisationer.
Vem ska leverera driften?
Den lättaste frågan i utredningen gäller ansvaret och vem som ska leverera driften. Vi vill påstå att det inte går att driva statlig it-drift som en bisyssla vid sidan om det uppdrag en myndighet har. Att lägga ansvaret på en befintlig myndighet är inte ett alternativ även om t ex Försäkringskassans it-avdelning skulle klara det med bravur. De har kompetensen och kunnandet men problemet ligger i att Försäkringskassan skall ägna sig åt sitt huvudsakliga uppdrag:
”Försäkringskassans främsta uppdrag är att administrera en stor del av den svenska socialförsäkringen. Utöver det hanterar myndigheten även ett antal andra bidrag och ersättningar. Vårt arbete är en viktig del av de offentliga trygghetssystemen och har stor betydelse för enskilda, hushåll och företag och därmed hela samhällsekonomin.”
Ingen myndighet såsom Försäkringskassan, Skatteverket eller Arbetsförmedlingen ska ha dubbla lojaliteter mellan sitt uppdrag och en bisyssla som statlig it-leverantör till alla statens myndigheter. Ett tydligt uppdrag och ett tydligt ansvar måste vara ledstjärnan.
Det enda lösningen som kan vara aktuell, som vi ser det, är att uppdraget läggs på en dedikerad myndighet med ett tydligt uppdrag – en myndighet som finns till enbart för att stödja andra myndigheter och deras verksamhet. Det är den enda trovärdiga vägen för en framtida statlig it-drift som ger möjlighet till ansvar, transparens och uppföljning enligt vår svenska tradition.
Det kan konstateras att it-drift inte är något självändamål, målet är att tillhandahålla it-stöd till medarbetarna på myndigheterna. Ett it-stöd som ska ge förutsättningar för de statsanställda att göra sitt arbete för samhället, medborgarna och företagen. Det är det viktigaste i slutändan – att it-stödet är verksamhetstödjande, säkert och kostnadseffektivt. ”Säkert och kostnadseffektivt it-stöd för den offentliga förvaltningen” hade varit en bättre beskrivning av vad utredningen borde handla om. Som vi nämnde inledningsvis, It-driftsutredningen har trots de ”lätta” frågeställningarna ett mycket komplext arbete framför sig, för att hitta svaren på de tre frågorna fram till den 15 oktober.