Den tidigare regeringens och näringsministerns ansvar gällande Transportstyrelsens upphandling av IT-verksamhet

KU-anmälan 2016/17:43 (2656-2016/17) av BIRGER LAHTI (V)

BIRGER LAHTI (V)

BIRGER LAHTI
Riksdagsledamot (V)
2017-08-09
Dnr 2656-2016/17

Granskning av den tidigare regeringens och i synnerhet näringsministerns ansvar gällande Transportsstyrelsens upphandling av IT-verksamhet

Transportsstyrelsens uppmärksammade upphandling föranleder en rad frågor som rör information och ansvar. Det är uppenbart att hanteringen av känsliga uppgifter har skötts illa och att viktiga säkerhetsfrågor har frångåtts. Därför är det nödvändigt och välkommet att ansvarsfrågan utreds så att de brister som funnits i regeringens hantering klargörs. Ansvaret delas dock i hög grad av den förra regeringen som drev igenom en politik för ökad outsourcing av myndigheternas IT-verksamhet, någonting som i Transportsstyrelsens fall medfört mycket allvarliga konsekvenser.

Sedan myndighetens start 2009 har Transportsstyrelsens IT-tjänster hanterats av Trafikverket. I Riksrevisionens rapport "IT i statsförvaltningen" från 2011 kritiseras svenska myndigheter för att inte i tillräckligt hög utsträckning pröva frågan om outsourcing av IT-verksamheten. Den borgerliga regeringen gjorde sin hållning klar när man i efterföljande skrivelse slog fast att det är "önskvärt att en större del av myndigheternas IT-behov tillfredsställs med hjälp av outsourcing".

År 2014 beslutade Transportstyrelsen att avbryta samarbetet med Trafikverket och i stället outsourca verksamheten. Upphandlingen vanns året därpå av IT-företaget IBM som tog över driften av IT-tjänsterna. Uppgifter i media gör gällande att avtalen var värda drygt 700 miljoner kronor och därmed en av de största affärerna i sitt slag som gjorts av en svensk myndighet.

Redan i maj 2015 uppdagades dock en rad problem gällande säkerhetsgranskningen av berörda tekniker hos IBM. För att skynda på processen och undvika att Transportsstyrelsens register tillfälligt skulle behöva stängas ner beslutade dåvarande generaldirektör Maria Ågren att göra avsteg från såväl säkerhetsskyddslagen, personuppgiftslagen och offentlighets- och sekretesslagen som från myndighetens egna krav på informationssäkerhet. Detta ledde i sin tur till att känsliga uppgifter om b.la. skyddade identiteter, viss information gällande militära fordon och sårbar infrastruktur blev tillgängliga för IBM:s underleverantörer i både Tjeckien, Rumänien och Serbien och därmed för personal som inte genomgått någon säkerhetsgranskning. Upphandlingen skedde trots uppmaningar från både Säpo och Transportstyrelsens internrevisor om att avbryta affären.

Riksrevisionens rapport slår fast att sekretess och känsliga uppgifter kan vara skäl för att inte outsourca IT-verksamheten hos en myndighet. Man poängterar också att det visserligen kan vara möjligt att bibehålla en hög informationssäkerhet vid en outsourcing, men att "det förutsätter en noggrann analys och god kravställning", någonting som tycks ha saknats i Transportsstyrelsens upphandling.

Det är tydligt att upphandlingen i fråga inte hanterats på ett sätt som säkerställer att tillräckliga säkerhetshänsyn har tagits. Frågan är om en upphandling av det här slaget alls är lämplig. Trots detta gav tidigare regeringen tydligt uttryck för att en större del av myndigheternas IT-verksamhet skulle outsourcas. Mot denna bakgrund bör det anses åligga den dåvarande näringsministern att tillse att tillräckliga kriterier sätts upp vid påbörjan av en sådan upphandling.

Mot bakgrund av ovanstående bör konstitutionsutskottet granska den tidigare näringsministern Annie Lööfs ansvar för den bristande upphandlingen. Vilken information hade den dåvarande regeringen och i synnerhet näringsministern om Transportsstyrelsens planerade outsourcing? Fanns tillräckliga kriterier att tillgå vid upphandlingen? Bidrog den dåvarande regeringens hållning till att Transportstyrelsen tog förhastade beslut? Förekom någon diskussion på Näringsdepartementet eller inom regeringen inför upphandlingen gällande riskanalys eller utbildning av berörda tjänstemän?

Birger Lahti (V)