Kan 1177-skandalen bli en reboot för vård-it?

Först en disclaimer. Denna text är skriven med ett visst undertryckt ursinne. Under 7-8 år under mina vittflygande studier jobbade jag samtidigt på ett boende för psykiskt funktionsnedsatta barm och ungdomar. Den erfarenheten gör att jag framförallt tänker på de patienter och anhöriga som drabbats av 1177-skandalen men också på den vårdpersonal som till skillnad från digitaliseringsbyråkrater, ”visionärer” och ”evangelister” möter patienter. De ska nu leva i oro över hur deras arbetsgivare hanterar den information som de i förtroende tar emot och där samtal från hjälpsökande patienter studsar vidare för hantering i Thailand. Jag jobbade också i ett landsting under 90-talet då politiker, it-leverantörer och byråkrater gick in i en lustiger dans om digitalisering som var mycket lösligt kopplad till verksamhetsbehov. Att försöka skjuta in frågor om informationssäkerhet eller kvalitet i informationshanteringen stämplades som närmast illojalt eller i bästa fall som tugg som man måste genomlida innan man gick vidare precis som förut. Det var New public management utan management. Sedan dess har det bara fortsatt.

Filifjonkan på bilden har inte bara med ångestridna patienter att göra utan också känslan av den annalkande katastrofen som hon symboliserar. Det finns inget som är så lätt som att förutspå framtiden i efterhand. Många är nu chockade och totalt överraskade över vad som framkommit om 1177 och dess underleverantörer. Jag: not so much. Att försöka påpeka vikten av god informationssäkerhet vid digitaliseringen har som sagt varit ett arbete i stark motvind för att inte säga full stormstyrka i 25 år. Ofta har den berättigade oron för den alltmer bristande säkerheten inom vård-it utmålats som ett Filifjonka-aktigt beteende och att varningarna för riskerna skulle ha lika litet med vår verklighet att göra som Filifjonkans permanenta ängslighet i Mumindalens idyll. När det nu exempelvis framkommer att Region Värmland har anlitat en underleverantör för att hantera den extremt känsliga informationen i telefonrådgivning endast med dessa säkerhetskrav:

Leverantören ska skydda sin information mot otillbörlig åtkomst och förstörelse i enlighet med gällande lagar, förordningar och föreskrifter. Hur skyddet genomförs ska dokumenteras. Leverantören ska på begäran kunna uppvisa denna dokumentation för landstinget. Leverantören ska följa landstingets vid var tid gällande riktlinjer för informationssäkerhet.

ger det en indikation om hur relevant oron faktiskt var/är.  Observera att inga ytterligare krav ställts till exempel i form av en säkerhetsbilaga som förtydligar vad det är man vill ha, inte ens ett personuppgiftsbiträdesavtal i någondera riktningen finns. Otroligt nog verkar hela den massiva hypen kring dataskyddsförordningen gått regionen förbi.

Med tanke på att hela härvan ännu inte är utredd ska jag, för att undvika förhastade slutsatser, inte kommentera alla juridiska och tekniska detaljer. Enkla lösningar är det redan alltför många som kommer med. Inte heller finner jag det meningsfullt att ägna mer tid åt den lyteskomik som svaren från de olika leden i leverans av telefontjänsten i 1177 gett utrymme för. Istället ska jag försöka ringa något av det systemfel som ligger som grund för den uppkomna situationen. 

Grundproblemet ligger i att vård-it i Sverige under trettio år har fått växa fram inte som en sammanhängande infrastruktur utan som en brädhög där olika aktörer kunnat lägga på sin egen bräda utan att behöva ta hänsyn till någon gemensam plan.

Detta skapar naturligtvis en låg grad av funktionalitet trots de enorma resurser som lagts på digitaliseringen men dessutom har det också skapar de oöverblickbara säkerhetsrisker som 1177-skandalen är ett av de mest flagranta exemplen på. Den främsta säkerhetsrisken är att det i många fall är omöjligt att klarlägga ansvaret för säkerheten vilket med all önskvärd tydlighet framgår i fallet med 1177. Intuitivt skulle nog de flesta säga att det största ansvaret ligger hos sjukvårdshuvudmännen, det vill säga främst regionerna/landstingen som i den svenska förvaltningsmodellen delegerats ansvaret för och där ansvaret definieras i hälso- och sjukvårdslagen:

2 §   Med huvudman avses i denna lag det landsting eller den kommun som enligt lagen ansvarar för att erbjuda hälso- och sjukvård. Inom en huvudmans geografiska område kan en eller flera vårdgivare bedriva verksamhet.

När det gällde hanteringen av information inklusive säkerhet var detta ansvar inte särskilt besvärligt att definiera på den tiden då landstingen också utförde den absoluta merparten av vården. Då var journalerna allmänna handlingar som tillhörde landstinget och det också ställdes tydliga krav på hanteringen (ja, jag vet att det inte alltid funkade jättebra i verkligheten men jag rör mig nu på systemnivå). I och med kommunalisering (ÄDEL) och privatiseringsvågen blev ansvaret otydligare. Som en andra skänkel i saxen som klippte av tydligheten i ansvarsfördelningen fungerade rörelsen mot alltfler samarbeten mellan landsting som exempelvis Sjunet och de nationella tjänsterna. Det är här jag menar att juridiken inte hängt med, inte genom att ställa krav på integritet i det nya landskapet.  Det juridiska ansvaret läggs nämligen främst på vårdgivaren:

3 §   Med vårdgivare avses i denna lag statlig myndighet, landsting, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.

Vårdgivaren kan vara vilken aktör som helst som bedriver någon form av vård, till exempel Medhelp. Denne har också ansvaret för informationssäkerheten vilket mycket specifikt beskrivs i Socialstyrelsens föreskrift med regler för vårdens informationshantering. Problemet är bara att den mest säkerhetsmedvetne vårdgivaren ändå inte kan hålla sig för sig själv utan måste fungera i brädhögen av oklara ansvar eftersom man till exempel med nödvändighet måste använda bland annat nationella tjänster. I och med detta faller alla de många goda råd som även säkerhetsexperter av olika dignitet framfört de senaste dagarna om att det bara är att ha tydliga upphandlingsrutiner, följa upp krav o.s.v. Inte ens dataskyddet faller ut som man skulle kunna tro när man läser i avtalet mellan Region Stockholm och Medhelp och ser att regionen är personuppgiftsbiträde åt Medhelp och inte tvärtom….

Det som måste understrykas är att den digitala världen inte bygger på bilaterala relationer utan på multilaterala och att vi saknar verktyg att hantera den nya situationen. Även trogna gamla kämpar som tillsynsvapnet riskerar att bli tandlöst eftersom tillsynen gäller enskilda organisationer. Att skapa ansvarsförhållanden och möjlighet till ansvarsutkrävande avpassade för multilaterala infrastrukturer bedömer jag som den mest fundamentala säkerhetsåtgärden för vård-it. Detta är inte något som en enskild vårdgivare kan ta ansvar för utan måste byggas upp på nationell nivå. Tyvärr har denna grundläggande förutsättning totalt negligerats i de utredningar om e-hälsa som genomfört under senare år. Mer om de moderna strukturerna finns att läsa i den nyligen utkomna antologin Plattsformssamhället.

Ansvaret är alltså idag osynkroniserat med den nationella informationsinfrastrukturen och även med den tekniska infrastrukturen. Ändå tror jag det är viktigt med ett ansvarsutkrävande. Tyvärr kommer nog inte Region Stockholms innovationsregionråd ta sitt ansvar och avgå, inte heller hans motsvarigheter i Region Värmland och Sörmland. SKL:s programansvarige för e-hälsa kommer att på motsvarande sätt skjuta ansvaret ifrån sig och Inera har snabbt varit ute och sagt att de går skuldfria ur denna förödande situation. Tyvärr, inte för att vi behöver ett melodramatiskt utspel som när Toyota-chefen gråtande bad om ursäkt för sina fel eller syndabockar, men för att ge en reboot för vård-it.  Om ett antal digitaliseringspotentater inom vården åtminstone hade omdömet att säga: ”jag har villigt tagit emot all cred för att framstå som nyskapande och innovativ, nu tar jag lika villigt mitt ansvar när det visar sig att vi kört totalt fel inom e-hälsoområdet.”. Detta vore en mycket viktig signal att vi nu inte ska fortsätta som förut utan gå in i en ny tid.

Det jag skriver ovan kan nog de flesta hålla med om på någon nivå men varför ser det då ut som det gör? Jag skulle vilja hävda att det inte enbart beror på inkompetens utan i lika hög grad på attityd, möjligen arrogans. Detta är en något nedslående tanke för sannolikheten för att kunna omvandla inkompetens till kompetens är större en att rå på decennier av negativ säkerhetskultur.  Jag förstår att det är mycket behagligare att ständigt mana framåt och inte hänga upp sig på problem och hinder. I 1177-skandalen är patientens integritet som allvarligt skadats vilket är ett värde som talföra debattörer inom digitaliseringen och e-hälsa till och med i många sammanhang förnekat.                                             

Den bristande samordningen kan också ses som ett resultat av SKL:s framgångsrika arbete som lobbyorganisation. SKL är en intresseorganisation för regioner och kommuner som arbetsgivare och har med stor frenesi hävdat det kommunala självstyret inom hälso- och sjukvård. Varje försök till styrning från staten nagelfars och min bedömning är att staten efter nedmonteringen av Socialstyrelsen inte ens har möjlighet till en effektiv myndighetsstyrning vilket lämnat fältet ännu mer fritt för SKL. Ur ett samhällsperspektiv har det även lett till en starkt minskad insyn eftersom SKL, trots att man är helt finansierad av offentliga medel, inte lyder under offentlighetsprincipen. Vad som pågår inom SKL och vilken agenda som drivs är därför svårgenomträngligt.  Under den tid jag jobbade på MSB och, bland annat inspirerad av den norska lösningen Normen, försökte få till en styrning bättre avpassad till de multilaterala relationerna fick jag ofta känna av SKL:s maktanspråk. Ärligt talat så var intresset inte särskilt stort ens i min egen myndighet och inte heller i de andra myndigheter som hade uppdrag i någon form som påverkade säkerhetsaspekterna i vården. Men var det ett svalt umgänge i myndighetssfären så var SKL:s engagemang i frågan på nollpunkten. Mitt käcka erbjudande om att MSB skulle kunna samordna och tillföra väsentliga resurser och kompetens för att göra den så skakiga informationssäkerheten i vården bättre möttes mycket kallsinnigt. Budskapet var att detta var en uppgift som regionerna kunde klara själva (med SKL:s hjälp) och att myndigheter inte hade i territoriet att göra.  Själv kände jag mig som en ovälkommen budbärare från de många medlemsorganisationer som satt med sin usla säkerhetssituation utan reell möjlighet att göra något åt den. Med ett avancerat tjat lyckades det till slut att få SKL att skriva under den gemensamma strategi som jag tagit fram som underlag och som nu litet patetiskt ligger kvar på MSB webbplats. Någon gemensam styrning á la Normen är lika fjärran som då strategin skrevs. SKL har alltså haft alla möjligheter att själva ta fram de stöd som så väl skulle behövas i deras medlemsorganisationer. Så har inte skett förutom det tveksamma verktyget för informationsklassning som jag skrivit om här. Något gemensamt regelverk för att hantera den multilaterala ansvarssituationen inom vården kan jag fortfarande inte hitta på SKL: s webbsida. Intressant nog har ju inte SKL något formellt ansvar för informationssäkerheten i vården eftersom man är en intresseorganisation och kommer säkerligen inte att påta sig något sådant nu heller. När nu nästa trend är AI i vården blir man inte direkt lugnare, särskilt inte när SKL:s programansvarige för e-hälsa ifrågasätter lagstiftningen snarare än ansvarskänslan hos införarna som här.

 I mina dystrare stunder tror jag vi nått vår kollektiva inkompetensnivå där vi ska skapat ett it-monster som ingen längre kan styra. Vi har en situation med i princip outtömliga tekniska möjligheter promotas av aggressiva leverantörer. Tekniken möter en omogen organisationsstruktur där verklig styrning ersatts av fritt spelrum för särintressen. Till detta kommer den bristande självinsikten om att det är så här det ser ut och den negativa säkerhetskulturen inom vården. Och slutligen juridik och företrädare för informationssäkerhet som fortsätter att leverera lösningar gjorda för enstaka organisationer eller möjligen bilaterala relationer vilken inte är till någon större hjälp i den dagens multilaterala arkitekturer.

Självklart kan vi inte ge upp utan istället ställa oss frågan hur vi kan genomföra de absolut nödvändiga förändringar som skulle göra vård-it till en seriös verksamhet.  Här vill jag anslå en ny ton för att markera att detta är mycket komplexa frågor som vi idag i huvudsak saknar svar på. Det är inte enkla förbättringar av upphandlingsrutiner som kan leda framåt utan förändringar av en helt annan dimension som är nödvändiga. Det är inte beställningar mellan kund och leverantör som är det verkliga problemet utan beställningen från regeringen till sjukvårdshuvudmännen som inte fungerar där sjukvårdshuvudmännen som leverantörer inte klarar av att skapa en säker vård-it.

Mina förslag, som jag inte när något större hopp om att de kommer att anammas, är att likna vid ett undantagstillstånd. Det kan tyckas dramatiskt men allvaret i situationen kräver extraordinära åtgärder . Parallellt med åtgärderna bör även en attitydförskjutning initieras där vi slutar se digitalisering som ett självändamål utan blir förmögna att ta in olika perspektiv som till exempel säkerhet. Utgångspunkten bör också att det är en nationell struktur som ska byggas och förvaltas där de gamla organisationsgränserna inte längre får sätta käppar i hjulet. Här kan man ana att en del integritetsnihilister vädrar morgonluft men bedra er inte; målet är att stärka integriteten, inte nedmontera den ytterligare!

  1.  Inför ett moratorium inom vård-it och inför inte några nya lösningar som inte är absolut nödvändiga. 
  2.  Gör en heltäckande genomgång av säkerhetsbristerna inom den svenska vård-it.
  3.  Stärk Socialstyrelsens roll i förhållande till sjukvårdshuvudmän vårdgivare när det gäller vårdens informationshantering. Detta bör även gälla myndigheter som främst ska leverera e-tjänster som E-hälsomyndigheten.
  4.  Utred hur ansvarsförhållandena för informationshanteringen i vården ser ut och hur de borde se ut. En central fråga är det reella ansvarsutkrävandet.
  5. Säkerställ att även det långsiktiga behovet av vårdinformationen beaktas, både den enskilda patientens behov och samhällets behov av informationen för forskningsändamål.
  6. Ta fram en strategi och en arkitektur för den nationella nivån som inte bara är fluff.
  7. Ta fram en gemensam styrmodell för informationssäkerhet i vården och låt den förvaltas av myndigheter – inte av intresseorganisationer eller utförare i första hand.
  8. Skapa ett ackrediteringssystem för anslutning till den nationella arkitekturen.
  9. Skapa verktyg för systematisk uppföljning av informationssäkerheten inom vård-it och lita inte på att tillsyn av enskilda organisationer skapar säkerhet.
  10. Utveckla utbildningar för de som ska arbeta med informationssäkerheten i vården. 
  11. Utveckla ett forskningsprogram för informationssäkerhetsstyrning i miljöer med multilaterala ansvarsförhållanden.

E-arkiv och e-arkiv

Det är högintressanta tider då vissa frågor ställs på sin spets. I min begränsade värld är en av dessa frågor det så kallade e-arkivet, denna företeelse så omgiven av förväntningar och föreställningar.

Under den senaste tiden har två stora händelser timat inom området: Statens servicecenter misslyckades med sin upphandling av e-arkiv och SKL Kommentus Inköpscentral (fortsättningsvis kallad SKI) lyckades med sin. Det kan tyckas vara två mycket likartade händelser men ju mer man gräver så framstår skillnader allt tydligare. Jag är ju en enkel konsult vars främsta uppgift är att försörja mig men eftersom jag misstänker att ingen annan bättre lämpad funktion tänker göra någon analys av varför det gick som det gick fattar jag ändå pennan/tangentbordet. En brasklapp är naturligtvis att jag inte har den tid och de resurser som krävs för att göra en fullständig analys utan att jag enbart kommer att ta upp vissa aspekter som särskilt intresserar mig och då främst säkerhetskraven. I ingetdera fallet kommer jag att kommentera de konsulttjänster som ingår i upphandlingarna utan endast upphandlingen av själva tjänsten eller applikationen.

Bakgrund

För att förstå dessa upphandlingar behöver några basala förutsättningar slås fast.  Något som är självklart för den med litet insikt i arkivfrågor är att lagring av digital information inte täcker begreppet e-arkiv. Här finns dock inte utrymme att gå igenom alla intrikata aspekter men låt mig poängtera vissa grundläggande frågor:

  • Om vi särskiljer lagring och arkiv innebär arkiv den slutliga förvaringen av information som ska bevaras i hundra-, ja tusentals år. Att införa e-arkiv är alltså inte något som kan vidtas med en händelsehorisont på tio år.
  • I den svenska myndighetsvärlden råder en viss begreppsanarki där ”arkiv” kan betyda olika saker som en lokal, en institution och en myndighets bestånd av allmänna handlingar vilket jag skrivit om bland annat här.
  • En myndighet (inklusive kommuner och regioner) skapar och tar emot stora mängder information av vilka en del utgör allmänna handlingar som enligt huvudregeln ska bevaras för framtiden såvida inte ett formellt gallringsbeslut upprättas som sätter en gallringsfrist.
  • Gallring kan alltså ske efter olika lång tid vilket gör att viss information ska sparas för all framtid medan annan kan gallras efter viss tid. För pappersbunden information har man därför ofta skapat mellanarkiv för att avställa inaktuell information i väntan på långtidsbevarande respektive gallring.
  • Det är arkivmyndigheten som i huvudsak ska fatta gallringsbeslut. Här finns dock en mycket stor skillnad mellan statliga myndigheter och kommuner/regioner. För statliga myndigheter är Riksarkivet arkivmyndigheter medan i kommuner och regioner är deras egna styrelser som utgör arkivmyndigheter
  • En arkivmyndighet har inte bara uppgiften att fatta gallringsbeslut utan även ansvaret för bland annat arkivvård och tillsyn. I det nu aktuella sammanhanget är det en central förutsättning att när en arkivmyndighet tar hand om ett arkiv så är det också arkivmyndigheten som ”äger” arkivet. Arkivmyndigheten ansvarar för utlämnande av allmänna handlingar och den ursprungliga arkivbildaren (d.v.s. myndigheten som lämnat in) kan inte hålla på att rumstera om i informationen.
  • Trots att arkivredovisningen ska vara processorienterad och att vi idag har stora sammanhängande informationsinfrastrukturer med ett otal antal bärare är e-arkivfrågan fortfarande inriktad på att överföra informationsmängder från enskilda system för arkivering.
  • I den enkät jag gjorde 2018 bland myndigheter, kommuner och regioner var ett starkt intryck att e-arkivfrågan inte i någon högre grad kopplats samman med informationssäkerhet. Få att de tillfrågade hade gjort informationsklassningar och riskanalyser, ännu färre kunde redovisa säkerhetskrav att ställa på e-arkiv.

Ovanstående punkter sammantaget med att Riksarkivet, för att uttrycka det milt, inte är direkt sugna på att ta emot digital arkivinformation och det inte heller finns en övergripande strategi för den långsiktiga nationella arkivverksamheten försätter myndigheterna i en svår situation. Man har helt enkelt en exponentiellt växande digital informationsmängd att långsiktigt ta hand om utan det finns tydliga lösningar för hur det ska ske. Förutom myndigheters, kommuner och regioners vånda så är vi nog en hel del som känner en stor oro på samhällsnivå för de stora informationsförluster vi riskerar att göra. En informationsförlust som inte bara är ett stort hot mot dagens och framtida forskning utan också för vårt gemensamma minne. Det finns naturligtvis enstaka ljus i mörkret som Sydarkivera som förtjänar att lyftas fram men som helhet ser det tämligen mörkt ut.

Det är alltså i denna kontext som de två upphandlingarna ska sättas in och som kanske kan ge en förklaring till varför de utfallit som de gjort.

Vad skulle då upphandlas?

Inledningsvis kan slås fast att de två upphandlingsprojekten knappast kan ha haft mycket samröre. Olikheten i synsätt och begrepp är iögonfallande trots att det i båda fallen handlar om offentlig sektor och delvis överlappande verksamheter. En sak är dock den samma för båda upphandlingarna: det handlar inte om att upphandla en lösning för det långsiktiga arkivbehovet. I stället uppfattar jag det mer som att göra en quick fix i väntan på något mer bestående. Det är alltså möjligen lösningar för mellanarkiv vi pratar om där information av olika karaktär (allmänna handlingar och annat) lagras under en i arkivperspektivet begränsad tid för att därefter gallras, rensas eller föras över till en slutförvaring. Såvitt jag kan se handlar också lösningar om överföring från system till system eller från system till tjänst, ingen inriktning mot ett mer infrastrukturellt tänkande finns med. Jag är inte förvånad över detta men vill ändå betona detta.

Trots likheten i behov har SSC och SKI hamnat i två helt olika upphandlingar.

Statens servicecenter

SSC har sedan 2014 bedrivit sitt upphandlingsprojekt där också ett antal statliga myndigheter deltagit och varit utsedda som ”pilotmyndigheter” (bakgrunden finns här). Utifrån regeringsuppdraget lämnades en första delrapport 2015 med ett förord signerat både av SSC:s GD och riksarkivarien. Jag vill inte undanhålla läsaren sammanfattningen i rapporten som var följande (felstavning inkluderad):

Det finns goda förutsättningar för att skapa en förvaltningsgemensam tjänst för e-arkiv.
· Det blir en minskad investeringskostnad och en besparing för staten som helhet.
· Bara genom att etablera ett gemensamt e-arkiv istället för sju separata för pilotmyndigheterna, sparar staten flera tiotals miljoner kronor.
· Det finns etablerade arbetsätt för e-arkivering
· Marknaden är mogen och det finns system och leverantörer.
· Sju pilotmyndigheter har skrivit på en avsiktsförklaring om att ansluta sig till tjänsten. Förutsättningar för fortsatt arbete:
· Regeringen behöver undanröja de juridiska hindren genom en förordningsändring.
· Statens servicecenter (SSC) och Riksarkivet förordar att projektet går vidare till krav- och upphandlingsfas, under förutsättning att regeringen bidrar med tillräcklig finansiering.

Även den som är luttrad från digitaliseringsprojektens närmast obligatoriska glädjekalkyler kanske ändå hoppar till litet vid sådana diffusa fördelar som att staten ska ”spara flera tiotals miljoner kronor”. Konstateranden som att det finns en mogen marknad för e-arkiv och dessutom etablerade arbetssätt för e-arkivering känns idag 2019 som önsketänkanden och var det ännu mer 2015.

Det var utgångspunkterna för projektet som visserligen har haft riksarkivarien som styrgruppens ordförande och en stilig projektdokumentation men som ändå slutade i att upphandlingen av en nationell molntjänst avbröts strax före jul 2018.

Vad SSC under fyra år försökt upphandla är alltså en molntjänst för ett stort antal myndigheters e-arkiv (om man ser till de tillväxtstaplar som presenterats i projektet):

Den ”tjänst” som Statens servicecenter efterfrågar i denna upphandling är således att betrakta som en sammanhållen leverans och ska inte förväxlas med begreppet ”Software as a service” (SaaS). Skillnaden är att den grundläggande arkivmjukvaran upphandlas i form av en programvarulicens medan de övriga delarna i leveransen upphandlas som en tjänst på månadsbasis.

Istället för en normal upphandling av molntjänsten valde SSC att göra en så kallad konkurrenspräglad dialog.

Statens servicecenter har valt konkurrenspräglad dialog som upphandlingsförfarande då det inte är möjligt att utforma samtliga krav på tjänsten i förväg. Med tanke på komplexiteten i uppdraget och de rättsliga förutsättningarna krävs dialog med erfarna leverantörer för att slutgiltigt utforma kraven.

Detta är enligt mig en mycket svår upphandlingsform inte minst när det gäller applikationer och molntjänster. För att kunna styra en sådan upphandling krävs en mycket fast hand från kunden för att inte hamna på olika typer av grynnor och skär. När då kunden redan inledningsvis skriver att man inte kunnat utforma kraven på tjänsten känns den fasta handen rätt avlägsen. Som säkerhetsintresserad börjar man skruva på sig; att upphandla en nationell molntjänst med en glidande kravspec känns…obehagligt.

Låt oss då se på säkerhetsinriktningen i SSC:s konkurrenspräglade dialog. För det följande är det viktigt att ha i åtanke att syftet med processen att nå fram till en leverantör av en molntjänst, d.v.s. en tjänst där stora mängder offentlig ackumuleras.  Kravet på tjänsten har varit att den ska kunna hantera den information som kundmyndigheterna väljer att stoppa in, även sekretessreglerad information. Däremot inte hemliga handlingar:

  • den förvaltningsgemensamma tjänsten för e-arkiv ska inte dimensioneras för hantering och lagring av hemliga uppgifter och handlingar. Hemliga uppgifter och handlingar ska därför fortsatt, och av kundmyndigheterna själva, förvaras på annat sätt

  • e-arkivet som sådant bör betraktas som säkerhetskänslig verksamhet – av betydelse för rikets säkerhet. Detta bland annat mot bakgrund av de stora informationsmängder, från många myndigheter, som ansamlas i lösningen och de konsekvenser som till exempel ett bortfall av tjänsten skulle kunna medföra för berörda verksamheter – och för samhället

Redan här väcks många frågor. Om man ser det potentiella e-arkivet som en säkerhetskänslig verksamhet enbart p.g.a av att det ansamlas stora informationsmängder varför då utan närmare argumentation välja en lösning som leder just till detta? Följden av beslutet har blivit att man valt att göra en upphandling med krav på säkerhetsskyddsavtal på nivå 1, alltså den högsta nivån. Detta ställer stora krav på leverantören som att införa en säkerhetsskyddsorganisation, att välja vissa specifika säkerhetslösningar och att införa utvidgade säkerhetskontroller av anställda. Förutom att säkerhetsskyddsåtgärderna av naturliga skäl kan minska effektiviteten i lösningen innebär ökade kostnader och därmed ökat utpris för kunden. Det innebär minskad integritet för anställda och i många fall även fördyrande krav i kundens egen verksamhet.

I detta fall ställer jag mig också tveksam till på vilket sätt e-arkivet om det inte upprätthåller tillgängligheten skulle utgöra ett hot mot Sveriges säkerhet liksom att antagonistiska hot skulle vara den primära risken (jag går inte djupare på den nya lagens syn på riktighet och tillgänglighet eftersom den är i bästa fall oklar).  Om detta synsätt sprids, d.v.s. att det visserligen inte är säkerhetskänslig information som kommer att hanteras i lösningen men vi kommer ändå att använda SUA, så kommer i princip varenda molntjänst som används i offentliga uppdrag av privata och offentliga aktörer att falla under säkerhetsskyddslagen. Om säkerhetsskyddslagens syfte är att skydda ”det mest skyddsvärda” så kan vi inte låta det gå inflation i tillämpningen så att den blir det nya normala. Jag vill bara framföra ett milt: sansa er och försök tänk på konsekvenserna av detta (även om utredningen som ny säkerhetsskyddslag hade en ytterst sangvinisk konsekvensanalys, återkommer till det i ett senare inlägg).

Det kanske mest häpnadsväckande är att informationsklassning och skyddsnivåer inte nämns vare sig i inbjudan eller bilagan. Utan kommentar förutsätts alla myndigheter ha samma behov av säkerhet och kravs ställs inte på leverantören att kunna leverera tjänsten på olika fastställda skyddsnivåer. Min fundering blir då vem som blir riskägare i det här konceptet om kundmyndigheten inte kan påverka tjänsten. Detta känns igen från SSC:s övriga tjänster vilket jag ser som ett grundproblem med hela konstruktionen.

Förutom detta ställde SSC även krav på certifiering mot ISO 27001 eller motsvarande icke-certifierat ledningssystem, SOA samt beskrivning av säkerhetskontroller. Detta är ett krav som måste finnas med men som i praktiken, enligt min erfarenhet, inte utgör en garant för ett väl fungerande säkerhetsarbete.

Hunnen så här långt i genomgången av upphandlingen pockar två frågor på. För det första har SSC begränsat antalet möjliga leverantörer mycket starkt. Fyra års utredande borde ha gett en marknadsanalys som påvisat att det finns mycket få svenska leverantörer som kan eller vill leverera på dessa villkor. Historien visar ju också att endast en leverantör återstod när upphandlingen avslutades. Den andra frågan är varför denna upphandlingen sker över huvud taget. Ett alternativ hade varit att gå ut i en vanlig ramavtalsupphandling där Riksarkivet kunnat bistå med expertkunskap på samma sätt som de nu gjort i SSC:s upphandling. Vad exakt tillför SSC som inte myndigheterna skulle kunna få i en direktrelation med leverantörerna? Eftersom man då skulle kunna få fler leverantörer skulle förhoppningsvis den koncentration som påkallat säkerhetsskydd kunnat undvikas (ja, här ligger en mycket, mycket större fråga om den totala mängden tjänster hos leverantörerna och ramavtalens oligopolskapande kraft men jag hinner inte ta den nu).

Till detta kommer en bilaga med ganska ordinära säkerhetskrav. Några reflektioner kan dock göras. Påfallande många av kraven är inexakta av typen att leverantören ska beskriva vilken säkerhetsfunktionalitet finns. En förvånansvärt stor andel av det som kan kallas säkerhetskrav ägnas åt fysisk säkerhet. Och som sagt: nivåer saknas. Sammantaget skulle det skapa stora svårigheter för kundmyndigheten att bedöma vilken den faktiska säkerheten i leveransen blir.

Om man summerar SSC:s kravbild inklusive orimliga krav som att leverantören ska ha erfarenhet av att tillämpa Riksarkivets FGS i praktiska lösningar vilket i princip är en omöjlighet eftersom det knappt finns några FGS:er så undrar jag om SSC verkligen velat ha en leverantör. I förtroende har leverantörer förmedlat att har saknats dialog trots den upphandlingsform som valt och som bygger på just dialog. Trots att endast en leverantör återstått under det sista året har upphandlingen rullat på och därefter avslutats bland annat med motiveringen att det var för få leverantörer. I upphandlingsunderlaget återkommer följande formulering:

Under avtalstiden kan uppdraget komma att begränsas eller på annat sätt förändras med anledning av författningsändringar eller förändrade uppdrag för Statens servicecenter. Bland annat kan det bli aktuellt för statliga myndigheter att ansluta till en så kallad statlig molntjänst.

Med tanke på att företrädare för SSC ofta vädrat en önskan om att få uppdraget att ta över statlig it-drift och skapa en statlig molntjänst så kan inte tanken att angelägenheten att få affären i hamn kanske inte var helt odelad helt viftas bort.

SKI

SKI:s upphandling är en förnyad sådan så man får anses ha mera erfarenhet på området än SSC.

Av teoretiska och praktiska orsaker är jag tilltalad av SKI:s inriktning att använda definitionen ”funktion för e-arkivering” även om det finns aningen av ironi i motstridigheten när funktionen beskrivs som

I definitionen av funktionen för e-arkivering beskrivs e-arkiv i termer av vad e-arkivet ska klara av, vilka behov som ska tillgodoses, snarare än vilka funktioner som ska finnas.

Detta är en betydligt mer öppen upphandling i meningen att det finns möjlighet för kunderna att använda avtalet både för att kunna köpa en molntjänst och för att köpa en applikation för egen drift. I alla fall hypotetiskt minskar det risken för den koncentration som föranledde kravet på SUA för SSC. SKI har alltså valt att inte göra en SUA, helt korrekt enligt mig. Det ger också kunden möjlighet att lägga till egna säkerhetsåtgärder i en applikationsdrift och anpassa applikationsdriften till egna skyddsnivåer.

Att flera leverantörer finns på ramavtalet minskar inte bara koncentrationen av information utan gör också lättare att välja en leverantör som motsvarar den egna kravbilden utöver det som står i ramavtalet. Jag tror (med betoning på tror) att ramavtal är en bättre lösning även ur säkerhetssynpunkt om det är oklart vad en mellanliggande myndighet ska tillföra eftersom kunden då har möjlighet att ha direktkontakt med leverantören.

Applikationsdrift i all ära men för mindre verksamheter kan molntjänster innebära en mycket bättre säkerhet än vad man kan skapa själv (har redan skrivit om detta ett antal gånger så jag vevar inte argumentationen ytterligare en gång).

Inte heller i SKI:s upphandling finns skyddsnivåer definierade även om informationsklassning nämns som en del i de konsulttjänster som kan avropas. Krav på certifiering ställs inte och säkerhetskraven är inte frilagda på samma sätt som i SSC:s upphandling. Likaså är många kraven av samma något diffusa karaktär som i SSC:s upphandling. Det är därför svårt att på rimlig tid skapa en bild av hur den tänkta säkerhetsarkitekturen ser ut. Jag tror dock att det varit enklare att hitta fram till ett samförstånd i denna upphandlingstyp än i den konkurrenspräglade dialogen som SSC valde som upphandlingsform.

Slutsatser

Ett problem med båda upphandlingarna är att det är svårt att se vilka riskbedömningar som gjorts och det är även svårt att se något systematiskt arbete som föranlett de säkerhetskrav som faktiskt ställts. Jag uppfattar det inte som att säkerhet varit en väl analyserad fråga i upphandlingarna även om SSC drämde i med storsläggan säkerhetsskydd. Generellt skulle jag vilja hävda att kunden som använder SKI:s ramavtal har större möjlighet att påverka säkerheten i sin informationshantering än den tänkta kunden hos SSC. Hur stora koncentrationer av information ska hanteras är en fråga på nationell nivå där jag inte tror att säkerhetsskydd är lösningen.

I båda fallen har (eller skulle ha haft) kunden ett drygt arbete att analysera sitt säkerhetsbehov innan en tjänst kan tas i drift. En from förhoppning är fortfarande att ta fram gemensamma skyddsnivåer till gagn både för kunder och leverantörer. Ytterligare en önskan skulle vara att tydligare utgå från de tilltänkta kundernas situation och möta dem där de är.

Om ett nationellt ”e-arkiv” ska byggas upp bör behov och lösningar analyseras mycket mer noggrant. Det handlar om både organisation, tjänster och infrastruktur. De utredande ansatser som gjort av SSC övertygar mig inte om att denna myndighet är rätt instans för detta uppdrag. Under en övergångsperiod menar jag att den realistiska lösningen är att upphandla tjänster. En observation som kan göras är att den organisation som har till uppgift att göra upphandlingar är den som lyckas. En lärdom av detta kan vara att uppmärksamma hur komplicerad själva upphandlingsprocessen är och att den bäst sköts av en organisation med expertkompetens.

Att ha icke-koordinerade lösningar mellan stat och kommun/region är olyckligt. Eftersom informationen flödar mellan arkivbildare bör det konceptuellt vara samma typ av lösningar. Här finns även möjlighet att ge stöd för de privata utförarna av offentliga uppgifter – ett område som nu tycks bortglömt.

Slutligen vill jag, som så ofta, understryka betydelsen av att Riksarkivet tar ett betydligt större ansvar för e-arkivfrågan. Det gäller både operativt i rena kravställningar men också strategiskt. Redan nu görs enorma informationsförluster vilket borde sporra Riksarkivet till att göra det till sin huvudfråga. Föreställningen om att e-arkiv handlar om att överföra information från ett system till ett annat måste överges och de stora informationsarkitekturerna prioriteras.

För att lyckas med krävs mycket stora insatser. Två viktiga steg menar jag är att befria SSC från uppdrag inom e-arkivområdet och att inse att det som nu kallas e-arkiv egentligen är ett informationshanteringssystem som inte löser den långsiktiga arkivfrågan. Därefter bör ett nytt uppdrag skapas.  Grunden för ett sådant uppdrag bör vara att staten nu (och sannolikt inte under överskådlig tid)inte har förutsättning att utveckla informationshanteringslösningar i den omfattningen själv. Att omforma eller kopiera SKI:s ramavtal så att även statliga myndigheter kan använda det är ett sätt att skapa förutsättningar för en mogen marknad där leverantörer kan se en långsiktighet som gör att de vågar investera i utveckling.

Tillägg 2019-02-10: Uppmärksamma läsare har hört av sig och sagt Kammarkollegiets ramavtal ”Informationsförsörjning” innebär en möjlighet för alla aktörer inom offentliga sektor att upphandla e-arkivlösningar för installation i den egna miljön. Definitionen av e-arkiv är på samma sätt som övriga sparsmakad och på samma gång förbryllande, arkivarie som jag är har jag svårt att uppfatta skillnaden mellan arkivering och långtidsarkivering:

Anbudsgivare ska erbjuda minst en programvara för e-arkiv för installation i kunds it-miljö.
Med e-arkiv menas en programvara för arkivering och långtidsarkivering av handlingar för
installation i kunds it-miljö

Naturligtvis borde jag nämnt avtalets existens. Jag har dock redan i ett tidigare inlägg beskrivit hur jag försökt få svar på vilken säkerhet dessa leverantörer kan erbjuda utan att lyckas (ingen svarade). Dessutom går ramavtalet såvitt jag kan se ut den sista november i år. Att avtalstiden snart går ut ökar möjligheterna för att ta ett större grepp om frågan.

 

Ta det lugnt och läs en bok

2018 har varit ett bra år för mig personligen men knappast för världen i stort. Jag kommer därför inte att ge några julgåvor, inte skicka några godiskorgar eller julkort utan istället investera litet pengar som ett mycket anspråkslöst sätt att påverka vår gemensamma framtid i rätt riktning. Om andra får inspiration att göra detsamma – desto bättre!

Jag donerar därför 10 000 kronor till Civil Right Defenders som arbetar för att försvara människors medborgerliga och politiska rättigheter och stärker människorättsförsvarare som är utsatta för risker. Idag när grundläggande demokratiska värden ifrågasätts av allt fler känns detta som en organisation med större relevans än någonsin. Det går att swisha
valfri summa till 900 12 98 men man kan också bli månadsgivare. Flera alternativ finns här.

Det är lätt att glömma bort allt gott arbete som sker lokalt och som gör vårt samhälle bättre. När man som jag lever ett kringflackande liv är det svårt att bidra till detta arbete i det dagliga men då kan man ändå stödja de fantastiska människor som varje dag gör livet litet bättre för människor. Jag har därför valt att även ge 10 000 kronor till Världen i Värmland som är ett nätverk som arbetar för att förbättra situationen för unga människor som kommit som flyktingar till Värmland. Nätverket samarbetar med flera av kyrkorna i länet, Röda Korset m.fl. För den som också vill bidra till detta finns swish 123 262 5648 och bg 510-3338. På facebook-gruppen med samma namn finns information om de många aktiviteter och insatser som görs.

(Jag kommer även att ge en summa till Djurskyddet som tar hand om katter i nöd men det säger jag inte för att undvika att framstå som en crazy cat lady…).
Annars önskar jag alla en god jul och ett gott nytt 2019 där allt blir litet, litet bättre! Och att alla tar det litet lugnt och läser en god bok.