Tjenesteutsetting er i dag vanlig i alle sektorer og i alle typer virksomheter. Det er en ønsket utvikling. Offentlig sektor bør i utgangspunktet ikke skjermes for konkurranse fra private. Effektiv ressursbruk tilsier at en gitt tjeneste leveres av den mest effektive leverandøren, uavhengig av om den er privat eller offentlig. Det slo kommunal- og moderniseringsminister Monica Mæland fast i et svar til Stortinget.
Til det svarte kommunal- og moderniseringsminister Monica Mæland at for mange virksomheter bidrar tjenesteutsetting til at de får mer ressurser til å fokusere på sin kjernevirksomhet. I tillegg vet vi at mange virksomheter mangler nødvendig kompetanse internt, og derfor vil øke sikkerhet og tilgjengelighet for sine løsninger gjennom bruk av profesjonelle aktører.
Ikke noe motsetningsforhold
Statsråden konstaterte at det ikke er noe motsetningsforhold mellom informasjonssikkerhet og tjenesteutsetting, men hun understreket at det alltid er kunden – den offentlige virksomheten – som har ansvaret for at det stilles krav til informasjonssikkerhet og for å følge opp leverandøren etter at kontrakt er inngått.
– Virksomheter som vurderer tjenesteutsetting av sin IT, må kjenne sine egne IT-systemer og de dataene de forvalter, fremholdt kommunal- og moderniseringsministeren. Ikke all informasjon egner seg for tjenesteutsetting, og for enkelte typer informasjon setter regelverket begrensninger på hva man har lov til å gjøre. Gjennom-føring av risiko- og sårbarhetsanalyser er et viktig verktøy for å avdekke hvilke krav som må stilles til driften av IT-systemene det er snakk om.
IT-systemer
For IT-systemer som behandler personopplysninger, gjelder personopplysningsloven- og forskriften. Disse gjelder enten virksomheten selv drifter sine IT-systemer, eller om systemene er satt ut til andre. I utgangspunktet kan personopplysninger – også sensitiv personinformasjon – overføres til andre land, såfremt landet har et regelverk som kan sikre en forsvarlig behandling av opplysningene. Dette gjelder blant annet hele EØS-området.
Lov om offentlige anskaffelser regulerer anskaffelser av varer og tjenester. Statsråden fremhevet at i henhold til dette regelverket er det i utgangspunktet ikke tillatt å avgrense tjenestekontrakter mot leverandører innenfor EØS-området, med mindre det gjelder løsninger som komme inn under sikkerhetslovens virkeområde. Hun fortsatte:
Sikkerhetsgradering
– For IT-systemer som inneholder sikkerhetsgradert informasjon, gjelder sikkerhetsloven. I utredningen som ligger til grunn for ny sikkerhetslov, peker man på at det også er et behov for at IT-systemer som i utgangspunktet ikke inneholder gradert informasjon, men som er avgjørende for driften av en grunnleggende nasjonal funksjon, skal omfattes av sikkerhetsloven. Det framgår at det er departementene som skal identifisere og holde oversikt over virksomheter som har vesentlig betydning for grunnleggende nasjonale funksjoner (kapittel 2 i loven). Dette vil gjelde et fåtall av det samlede antall offentlige virksomheter. De virksomhetene det gjelder vil måtte ta høyde for dette i sine vurderinger av sourcing og risiko.
Bli den første til å kommentere på "Vil i utgangspunktet ikke skjerme offentlig sektor for konkurranse fra private"