(En Anbud365-kommentar) Gjennom historien har vi sett IT-kontrakter i det offentlige som senere har fått karakteristikken «skandale». Store millionbeløp har gått fløyten – eller blitt en lærepenge. I det siste har et par av verdens mest ressursrike og digitaliserte land opplevet IT-kontrakter som har medført lekkasjer av sensitive opplysninger til fremmede. Hva er det med IT-kontrakter, tro? Ille nok med tap av millioner av kroner, men at personlige og nasjonale sikkerhetsdata ikke er trygge ved konkurranseutsetting?
I både Sverige og Norge har virksomheter oppdaget at utenlandske aktører har kunnet få tilgang til sensitive opplysninger. Det dreier seg om leverandører av ulike former for IT-tjenester. I begge land har opplysninger om slikt vakt betydelig – og rimelig – politisk forferdelse, i Sverige nær regjeringskrise. Men de som følger med på meldte skriftlige spørsmål fra Stortinget til regjeringen, vil ha oppdaget stor interesse fra norske politikere for å få hindret gjentakelser.
Anbud365 har i inneværende uke hatt to artikler med utgangspunkt i den såkalte «IT-skandalen» i Sverige. Det er interessant lesning, ikke bare som nyheter, men også for dem som ønsker å øke sin kompetanse i håndtering av kontrakter der ulike former for sensitive opplysninger kan tenkes å være innbefattet.
Egenregi?
Det står enhver offentlig virksomhet som omfattes av regelverket for offentlige anskaffelser, fritt til å la være å konkurranseutsette. Mange grunner taler for at det ofte ikke er en praktisk/økonomisk løsning. Dessuten er det unntaksmuligheter i regelverket som kan benyttes der man har grunn for ekstra vern mot lekkasjer av sikkerhetsinformasjon.
Generelt tyder innspill fra ulike myndigheter knyttet til vern av norske sikkerhetsinteresser på at det gjenstår en god del før nødvendig aktsomhetsnivå er nådd. Det gjelder så vel i det offentlige som i det private. Dersom man ikke er på nivå i en slik sammenheng, innebærer det i seg selv en iboende risiko når konkurransegrunnlag og kontrakt med eksterne skal lages.
Ulike sikkerhetsinteresser
Vi snakker om ulike sikkerhetsinteresser. Det kan f.eks. være pasientopplysninger, alminnelige persondata, infrastrukturopplysninger og nasjonale sikkerhetsopplysninger. I Sverige innebar Transportstyrelsens IT-kontrakt at eksterne fikk tilgang til opplysninger som kunne sette Sveriges sikkerhet i fare. Det gjaldt førerkortregistre med tilhørende personopplysninger og landets bilpark.
Säkerhetspolisen i Sverige har overfor sin regjering rapportert om kontrakter som er så generelle at de er vanskelige å følge opp når det gjelder sikkerhetsvern. Vi kjenner oss igjen.
Egen sikkerhetsstatus
For at en kontrakt skal være presis og egnet til å kunne følges opp, trengs kunnskap om egen sikkerhetsstatus. Er ikke denne god nok, hjelper det ikke om kontrakten ser aldri så god ut. Hvis kunnskapen er til stede, er det selvsagt lettere å formulere seg slik at en god kontraktsoppfølging er mulig. Ofte snakkes det om bruk av formuleringer i en anskaffelsesprosess som gjør måling mulig. Det er det samme når det gjelder enhver kontrakt – den må være mulig å følge opp etter intensjonene.
Så er jo kontraktsoppfølging en akilleshæl. Både i Sverige og i Norge begynner det med manglende kunngjøring av inngåtte kontrakter. De to landene er blant de de dårligste i Europa på det området. Og blant de mest ressurssterke.
IT spesielt vanskelig?
Mange leverandører opplever at straks kontrakt er inngått med offentlige virksomheter, overlates leveransen nærmest til seg selv. Vi må her ile til med å slå fast at det trolig er en økende årvåkenhet her, ikke minst i noen bransjer der tilførselen av useriøse leverandører er påtakelig. Kanskje er det slik at det innenfor IT er spesielt vanskelig.
Offentlige «IT-skandaler» har vi jo hørt om opp gjennom tidene. Millioner av kroner benyttes, så skrotes prosjektet – eller det virker ikke. Og nå sikkerhetshullene. Dreier det seg om prosjekter/kontrakter helt i randsonen av hva vi mennesker er i stand til å gripe? Eller er det manglende/utilstrekkelig kompetanse? Vi har vel vanskelig for å tro at noen åpner for sikkerhetslekkasjer av egen vinnings skyld. Men det som avdekkes av «IT-skandaler» her nord, kan selvsagt friste noen uten hederlige hensikter å tappe oss for opplysninger de – eller en fremmed makt – overhodet ikke skulle ha.
Bli den første til å kommentere på "Greier vi ikke å lage kontrakter som hindrer lekkasjer av sensitiv informasjon?"