Samhälle

Låt en särskild cybermyndighet ta över viktiga register

Ill: egmontinstitute.be.

Vad är det med statsförvaltningen och våra statliga myndigheter och deras generaldirektörer: har de ingen koll alls eller vill myndighetscheferna att staten ska lägga ut och outsourca så mycket som det bara går till externa aktörer?

Detta oavsett risker för att känsliga personuppgifter och annat säkerhetsklassat i informationsväg i nästa led kan läckas eller säljas vidare till snart sagt vem det vara månde.

Och hur ser det ut med direktiv och regleringsbrev till våra myndigheter? Är det bara att outsourca och lägga ut till vem som helst inom och utom landet bara det görs så billigt som möjligt?

Haveriet på Transportstyrelsen med outsourcingen av IT-hanteringen till multinationella IBM utan någon som helst koll av säkerhetsklassning av tekniker som ska göra jobbet exploderade i medierna nu i sommar.

Och nu Polismyndigheten och dess rikspolischef som nu också visat sig år 2015 ha lagt ut känslig, säkerhetsklassad registerinformation hos en extern, privat dataoperatör (kanadensiska CGI, samma som sköter BASUN).

Finns det mer? Vill dessa uppenbarligen tämligen självständigt fungerande myndighetschefer inte att staten längre alls ska sköta statlig myndighetsutövning? Eller har de gått helt vilse i New public management-yrans tänkande och  sina outsourcingambitioner?  Det verkar som om omdömet löpt amok med våra statliga myndighetschefer.

Inga olycksfall i arbetet

Finns det inget statligt ämbetsmannaansvar av den sort vi en gång var så vana vid och som fungerade med omdöme och oväld? Och hur är det egentligen ställt med rekryteringen till våra statliga myndigheter? Frågorna börjar bli många och under våra fötter gungar marken mer och mer.

Mer och mer tyder på att det som nu skett och sker inte är några olycksfall i arbetet utan speglar en mera grundläggande förändring i hur statliga myndigheter styrs och tillåts styras enligt principer och styrsystem som rena lånegods från privata näringslivet.

Och det utan några som helst hänsynstaganden till att statlig myndighetsutövning med dess komplexa krav på oväld, icke gynnande av någon part samt krav på rättssäker hantering inte är som att sälja gurka och tomater på en marknad.

En generaldiskussion om statens roll

Uppenbart är att vi nu är i behov av en generaldiskussion om statens roll och uppgift, ämbetsmannaansvar, vilka krav som kan och ska ställas på lämpliga statliga myndighetschefer.

Det behövs tydligare direktiv om hur respektive myndighet som styras och skötas.

En av flera lärdomar som nu måste dras av såväl outsourcinghaveriet i Transportstyrelsen som nu senast i Polismyndighetens personregister är hur hanteringen av våra centrala, känsliga register ska stramas upp och göras säkrare i egen regi.

Här finns en del som talar för att staten borde inrätta en särskilt, statlig cybermyndighet med ansvaret att hantera landets  centrala register.

Lärdomarna från haveriet på Transportstyrelsen med flera visar att staten nu måste bygga upp ett system där sekretessbelagda och för rikets säkerhet samt försvar viktiga uppgifter kan säkras och risken för läckor minimeras.

Den typ av outsourcing och utförsäljning av hanteringen till privata entreprenörer som gjordes vid Transportstyrelsens register i jakten på billigare lösningar måste fasas ut snarast från offentlig förvaltning.

Bara risken för att hela register eller sekretessbelagda uppgifter ska kunna läcka ut borde vara skäl nog till att inte låta aktörer som drivs av kortsiktiga vinstintressen (inhemska och utländska) få tillgång till dessa.

I det här sammanhanget finns det också skäl att påminna om det mindre välbetänkta av den i början av 1990-talet av Bildt-ledda regeringen tagna besluten att lämna över allt mer av det tidigare av stat och kommun skötta, skyddsvärda register och i stället överlåta dessa känsliga personregister i händerna på olika privata operatörer.

Också detta var i grunden den från Storbritannien hämtad förvaltningsmodellen ”New Public Management” (NPM). En modell som går ut på att konkurrensutsätta och läggas ut på marknaden också säkerhets- och integritetskänslig registerinformation.

I stället för att inom myndigheter och offentlig förvaltning utveckla verksamheten har jakten på billigast tänkbara lösning blivit ett helt överordnat mål.

Verkscheferna i våra myndigheter fick redan då delvis lite för fria händer att agera, något som sedan följts upp i nya kompletterande direktiv från 20111 och 2014 om outsourcing av IT.

I fallet med Transportstyrelsen ledde jakten på billiga IT-lösningar till rena lagöverträdelser och avgång för generaldirektören. Och sedan även till avgång för två statsråd under sommaren 2017 för att de saknade full koll och inte ingrep i tid.

Det faktum att såväl SPAR (det svenska personregistret) som BASUN (företags- och fastighetsregistret) numera ligger i händerna på delvis utanför landet placerade privata företag borde förskräcka. Båda registren innehåller i förhållande till det från Transportstyrelsen outsourcade en betydligt större mängd integritetskänsligt och sekretessbelagt material.

Säkerhetsklassade register vandrar runt

Detta  sedan början av 1990-talet outsourcade personregistret har genom åren hanterats av ett stort antal olika utländska bolag. I dag ligger det i händerna på EVRY – ett i huvudsak av norskt riskkapital ägt företag.

Också datahanteringen hos BASUN finns i händerna på företag utanför Sverige. Uppdraget att sköta registren har växlat. Företagen har varit allt från franska Sema Group till ATOS Orgin, Logica och kanadensiska CGI.

De säkerhetsklassade registren har fått vandra runt mellan olika företag samtidigt som de kommersialiserats och marknadsförts som adress- och upplysningskälla för till exempel mängder av olika, nischade massutskick.

Säkerheten för register som SPAR och BASUN borde rimligen betraktas som viktigare än att jaga billigast möjliga driftkostnader för viktiga register.

Genom att inrätta och låta en statlig cybermyndighet ta hand om driften, ansvaret och säkerheten borde minska risken att inte säkerhetskontrollerad personal och operatörer kan få tillgång till dessa integritetskänsliga uppgifter.

Att kunna garantera detta är inte minst för rikets säkerhet och medborgarna här långt viktigare än att kanske spara någon eller några  procent på IT-driftkostnaden.

Mot bakgrund av erfarenheterna från bland annat haveriet i Transportstyrelsen borde det vara en prioriterad uppgift för regeringen att nu skapa en cybermyndighet och se till att de offentliga register som finns i Sverige hamnar i säkert förvar.

Att det sedan därutöver uppenbarligen nu finns behov också av en mera övergripande diskussion om om våra statliga myndigheters roll och hur de bäst borde styras och ledas utan systemfel börjar bli allt mera uppenbart.

2 Kommentarer

  1. Monika Olin Wikman

    Robert, viktigt det du tar upp om ämbetsmannaansvar, vad ska det betyda att arbeta för staten och det offentliga?
    Bland annat ST och Britta Lejon har krävt en obligatorisk utbildning av statstjänstemän, bra. Hoppas det får gehör. Redan Axel Oxenstierna insåg att det är något annat och mer att arbeta för staten, det krävs ett etos och det krävs utbildning.

  2. Robert Björkenwall

    Ense Monika både om det och om vad du skriver om Axel Oxenstierna och hans syn på arbeta för staten.

Leave a Reply

Underhålls av Jenkler IT AB


Kontakta oss | Vi som gör Nyfikengrå
Ansvarig utgivare: Ingrid Lindgren