Bristande eller utebliven bedömning av lämpligheten En samhällsförändring som har haft stor inverkan på En samhällsförändring som har haft stor inverkan på

säkerhets-skyddet är avregleringen av offentlig verksamhet. De senaste decen-niernas konkurrensutsättningar har medfört att verksamheter som rör Sveriges säkerhet i relativt stor utsträckning bedrivs i enskild regi. Samtidigt innebär den tekniska utvecklingen i förening med kraven på effektivitet och hushållning med statens resurser att offent-liga verksamheter i större utsträckning ställts inför frågan om alla delar av verksamheten bör utföras inom den egna organisationen eller om tjänster i stället ska utföras av andra. Utkontraktering av

it-verksamhet nämns ofta som en möjlighet för att minska verksam-heters kostnader.¹⁰

Vi har vid flera tillfällen uppmärksammats på att det förekommer att myndigheter mer eller mindre tar för givet att delar av deras verksamheter ska utkontrakteras, utan att myndigheterna dessför-innan har prövat det lämpliga i att utkontraktera säkerhetskänslig verksamhet. Denna bild bekräftas av Upphandlingsmyndigheten, som till utredningen har framfört att om säkerhetsfrågor över huvud taget tas upp med dem så sker det nästan alltid efter att de upphand-lande myndigheterna redan har fattat beslut om konkurrensutsättning.

Samma bild framträder också i granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6). I promemorian dras nämligen slutsatsen att Transportstyrelsen inte hade gjort ett tillfredsställande arbete med informationsklassning, säkerhetsanalys och dokumenta-tion av it-system vid tidpunkten då upphandlingen inleddes. Dess-utom saknade myndighetens it-försörjningsstrategi allmänna över-väganden om lämpligheten att utkontraktera verksamhet, och strategin behandlade inte heller säkerhetsfrågor. Fokus låg i stället på effek-tivitet, kostnader och utvecklingspotential (s. 225).

Det är uppenbart att säkerhetskänslig verksamhet, och i förläng-ningen Sveriges säkerhet, kan äventyras när säkerhetsfrågor får en så undanskymd roll som beskrivits ovan. Den centrala fråga som inte besvaras om någon lämplighetensprövning inte genomförs är om det alls är möjligt för leverantören att upprätthålla skyddet av den säker-hetskänsliga verksamheten och de säkerhetsskyddsklassificerade uppgifterna vid en utkontraktering. Det kan finnas verksamheter där det aldrig är lämpligt med en utkontraktering av t.ex. it-driften eller där bara begränsade delar kan utkontrakteras. Det finns också en risk för att man utelämnar frågan hur beställaren ska kunna följa sina skyddsvärden när utkontrakteringen väl är inledd.

För att vi ska kunna föreslå lämpliga förebyggande åtgärder vid utkontraktering har vi försökt att konkretisera några av de problem som enligt vår bedömning förklarar varför lämpligheten att utkon-traktera säkerhetskänslig verksamhet har fått en så undanskymd roll i offentligt drivna verksamheter. Problembeskrivningen bygger på vad som framkommit i våra möten med experter, myndigheter och enskilda. Vi ser i huvudsak följande problem.

10 Riksrevisionens rapport IT inom statsförvaltningen – har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet? (RiR 2011:4) s. 14.

1. Verksamhetsutövare har otillräcklig kunskap om verksamhetens egna skyddsvärden, vilket vi har behandlat i avsnitt 6.4.3. Vi be-dömer att bristande kunskap om egna skyddsvärden bidrar till att beslut om utkontraktering fattas på undermåliga underlag.

2. Verksamhetsutövare har otillräcklig kunskap om utkontraktering när det gäller internationella förhållanden. Det handlar enligt vår mening om i huvudsak två problem.

a) För det första saknas det kunskap om leverantörsförhållanden och regelverken om upphandling. Vi syftar här på att mark-naden, inte minst när det gäller it-tjänster, är internationell och att många leverantörer erbjuder tjänster som utförs i olika länder för att vara konkurrenskraftiga. Vi syftar även på att upphandlingslagstiftningen tar sikte på hela den inre mark-naden i Europeiska unionen och att diskriminering av leveran-törer på grund av nationalitet är förbjudet. Detta problem illustrerades i granskningen av Transportstyrelsens upphand-ling av it-drift (Ds 2018:6). En av iakttagelserna vid gransk-ningen var nämligen att Transportstyrelsen hade svårt att besvara anbudsgivarnas frågor om eventuella restriktioner för leveransmodeller och att Transportstyrelsen därmed öppnade upp för leverans med utländska underleverantörer (s. 142). En annan iakttagelse var att det inte från början stod klart för Transportstyrelsen att leveransen faktiskt omfattade utländska leverantörer (s. 101).

b) Det andra problemet handlar om okunskap om hur säkerhets-skyddet fungerar i ett internationellt sammanhang. Vi tänker då framför allt på att flera viktiga verktyg går förlorade eller får begränsad betydelse när leverantören verkar utanför Sverige;

underlaget för personalkontroll blir kraftigt begränsat, möjlig-heten att utöva kontroll och utnyttja maktbefogenheter faller bort och det blir svårare att bedöma hotbilden mot den säker-hetskänsliga verksamheten som utkontrakterats. Även detta problem illustrerades i Ds 2018:6, där det konstaterades att det dröjde lång tid innan Transportstyrelsen insåg att register-kontroll av utländska medborgare som arbetar i utlandet inte kunde genomföras på ett meningsfullt sätt (s. 228).

3. I den mån det finns kunskap om verksamhetens skyddsvärden når kunskapen inte alltid fram till rätt funktion inom organisa-tionen. Vår bild är att beslut om utkontraktering ofta fattas på en hög nivå inom organisationen. Ofta saknas det ett naturligt sam-spel mellan funktionen som äger frågan om utkontraktering och säkerhetsfunktionen. Vi anser att det är av högsta vikt att infor-mation om verksamhetens skyddsvärden och överväganden om säkerhetsskyddet alltid ingår i underlaget inför beslut om utkon-traktering.

4. Vår bild är att myndigheter inför beslut om utkontraktering ofta ställs inför målkonflikter där andra krav regelmässigt överordnas säkerhetsskyddet. Ett annat sätt att uttrycka det är att effektivi-sering och kostnadsbesparingar nästan alltid tillmäts betydligt större värde än säkerhetsskyddet. Offentligt drivna verksamheter har generellt en hög kostnadsmedvetenhet men betydligt lägre medvetenhet när det kommer till konsekvenserna av bristande säkerhet. I granskningen av Transportstyrelsens upphandling av it-drift (Ds 2018:6) beskrivs Transportstyrelsen som en myndig-het där man upplevt sig ha stränga besparings- och effektivi-seringskrav och där synpunkter som gått på tvärs med dessa am-bitioner haft svårt att vinna gehör (s. 231). Vi anser att det är en beskrivning som kan appliceras på fler myndigheter och som väl beskriver de spänningsförhållanden som ofta uppstår inför beslut om utkontraktering.

5. Många verksamhetsutövare upplever att de inte får tillräckligt stöd när det kommer till utkontraktering och andra externa kon-takter som rör den säkerhetskänsliga verksamheten.

I våra resonemang ovan har vi framför allt utgått från offentligt driv-na verksamheter. Vi ser dock att de problem som har uppmärk-sammats lika väl kan uppstå i säkerhetskänsliga verksamheter som bedrivs i enskild regi. Det finns därmed behov av förebyggande åt-gärder i ovanstående avseenden för såväl enskilda som offentliga verksamhetsutövare. Vi ser även att en bristande prövning av lämp-ligheten kan ha allvarliga negativa konsekvenser i samband med andra förfaranden än utkontraktering, t.ex. vid vissa upplåtelser och upp-handlingar där utomstående på något sätt får tillgång till den säker-hetskänsliga verksamheten.