I slutet av september meddelade regeringen att den statliga it-driften ska samordnas och att de planer på ett statligt moln som länge har diskuterats ska bli verklighet. Nästa steg i det arbetet är en utredning som ska komma fram till hur ett sådant moln kan se ut samt givetvis tydliggöra vad myndigheter ska kunna lägga i privata moln.

Försäkringskassan har sedan ett par år tillbaka haft uppdraget från regeringen att erbjuda samordnad och säker statlig it-drift. Sju myndigheter har påbörjat anslutningen av it-drift hos Försäkringskassan varav tre är på plats. Ännu fler har visat intresse av att flytta dit.

Och att regeringens utredning kommer att landa i att ett statligt moln ska placeras hos Försäkringskassan är det många som förutspår. För att skynda på att det blir så har myndigheten även bett konsultföretaget Ramboll titta på frågan, och häromdagen presenterades rapporten med namnet Utvärdering av Försäkringskassans uppdrag om samordnad och säker statlig it-drift.

– Försäkringskassan har gett oss, som extern och oberoende aktör, uppdraget att utvärdera om Försäkringskassan har genomfört detta i enlighet med regeringsbeslutet, säger Josefin Sandström, en av de som utvärderat uppdraget hos Ramboll.

Dialog med MSB om säkerheten

Och vad kommer rapporten då fram till? Inte helt oväntat är svaret på om Försäkringskassan har utfört sitt uppdrag väl i stort sett ja. Men samtidigt tas ett antal viktiga aspekter upp som kommer att vara viktiga om man ska gå vidare med planerna. Det gäller inte minst säkerhetsdiskussionen där det funnits en dialog med MSB, som pekas ut som en viktig aktör i det arbetet.

– Vår utvärdering visar att Försäkringskassan genomfört uppdraget i linje med regeringsbeslutet. Försäkringskassan har särskilt prioriterat att ansluta mindre myndigheter och vi ser även att säkerhetsaspekten har varit vägledande, det vill säga möjligheten att höja säkerhetsnivån hos den enskilda myndigheten. Försäkringskassan har även lärt sig mycket under vägen, och det finns mycket att hämta i de erfarenheterna. Detta gäller både för Försäkringskassan själva och för den kommande utredningen, säger Josefin Sandström.

Josefin Sandström
Josefin Sandström, Ramboll.

Att staten ska sköta it-driften har inte direkt mottagits med stående ovationer av branschens stora outsourcingbolag. Tvärtom har de varit ganska högljudda i sin kritik.

Hur mycket har ni jämfört att uppdraget sköts av marknadens aktörer eller staten?

– Vi har inte gjort någon sådan jämförelse. Vi har undersökt hur myndigheterna upplever skillnaden att gå från privat leverantör till Försäkringskassan för it-drift.

Och vad säger de?

– De upplever att Försäkringskassan är en bra samarbetspartner, kunnig och lösningsorienterad som möter myndigheternas behov. De har också varit lyhörda och närvarande i dialogen.

Gett upphov till en del utmaningar

För de myndigheter som flyttat in hos Försäkringskassan har det inneburit att de tagit steget från en privat it-leverantör till en statlig it-leverantör. Och det har gett upphov till en del utmaningar, enligt Josefin Sandström. Som att gå från enbart ett kund- och leverantörsförhållande till att nu även vara samverkanspartners. Ett annat exempel är när det gäller prissättningsmodeller.

– Oftast är myndigheterna vana vid att få ett pris innan, men Försäkringskassan kan inte sätta ett exakt pris på förhand, utan de måste ta betalt för de faktiska kostnaderna. Där har Försäkringskassan utarbetat en avgiftsmodell för hur man tar betalt. Då blir utmaningen att man inte kan säga exakt vad det kommer att kosta, utan endast ge en ungefärlig uppskattning. Där finns en viss oro hos myndigheterna att kan bli en differens. Samtidigt uppger myndigheterna att den leverans de får från Försäkringskassan är kostnadseffektiv och i vissa fall billigare jämfört med tidigare leverantörer, säger hon och konstaterar att Försäkringskassans prismodell ganska nyligen lanserats.

– Nu under hösten kommer Försäkringskassan att börja ta ut avgifter för de myndigheter som har anslutit sig. Där är det viktigt att kundmyndigheter och Försäkringskassan har en levande dialog.

Läs också: ”Ett statligt moln kräver bättre samordning – hög tid att införa en nationell cio”

Fakta

Huvudtesen i rapporten är att Försäkringskassan bör fortsätta på inslagen väg. Fokus bör vara att ha kvar det som har upparbetats hittills. It-drift för fler myndigheter kan etableras, men bara i en omfattning som gör att förmågan bibehålls. Sedan lämnas följande rekommendationer:

Rekommendationer till Försäkringskassan:

  • Systematisera och ta vara på kunskapen. Det är ännu osäkert hur det ser ut efter 2022. De flesta processer finns på plats och för att underlätta är det särskilt viktigt att Försäkringskassan fortsätter arbetet med tjänstekataloger, samt att dokumentera risker och hantering av dessa. Dessutom ska erfarenheter och lärdomar för att säkerställa lärande dokumenteras.
  • Förtydliga vad som ingår. Försäkringskassan har inte gjort en tydlig avgränsning för vad som ska ingå i åtagandet och därmed framgår inte heller vad som inte ingår. Ramboll bedömer att det finns en risk att kundmyndigheterna inte fullt ut förstår vilket eget ansvar de själva har, när de har lämnat över hela it-driften till Försäkringskassan.
  • Öka förståelse kring resultat och effekter. Rambolls bedömning, som grundar sig på kundmyndigheternas bedömning, är att informationssäkerheten och kostnadseffektiviteten har stärkts hos de myndigheter som är hos Försäkringskassan idag. Men tillräckligt underlag som redovisar hur informationssäkerheten och kostnadseffektiviteten har ökat saknas. Därför bör Försäkringskassan ställa krav på att framtida kundmyndigheter tar fram underlag om tidigare kostnader för it-drift.
  • Planera för olika scenarier. Enligt Ramboll bör Försäkringskassan förbereda sig för den kommande organiseringen av den statliga it-driften även om formerna för den efter 2022 ännu är oviss. Oavsett hur det blir kommer Försäkringskassans it-organisation att påverkas. Om regeringen bedömer att Försäkringskassan ska fortsätta erbjuda statlig it-drift kommer man behöva utöka verksamheten och it-drift kommer att bli en central del i Försäkringskassans uppdrag. Men det innebär också stora förändringar om regeringen vill knoppa av it-driften till en annan aktör.

Rekommendationer till regeringen:

  • Regeringens styrsignaler måste samordnas. Hittills har det varit olika styrsignaler från regeringen om vilka myndigheter de ska prioritera att ansluta. Försäkringskassan har hittills haft möjlighet att hantera det, men framöver kan det få konsekvenser, särskilt om kundmyndigheten har en it-miljö som skiljer sig mycket från Försäkringskassans. Därför behöver regeringen samordna sina styrsignaler.
  • Samverka med MSB. En stor anledning till att Försäkringskassan har fått i uppdrag att samordna statlig it-drift är myndighetens erfarenhet av att hantera säkerhetsklassad information. I regeringsuppdraget framgår även att Försäkringskassan ska samverka med MSB, men här har inga konkreta åtgärder synts. Därför är det relevant att formalisera MSB:s roll, dels för att sätta mätkriterier för att systematiskt kunna följa upp informationssäkerheten hos de anslutna myndigheterna.
  • Definiera regeringens åtaganden. Försäkringskassan har i sitt uppdrag utvecklat en bred definition av vad samordnad säker it-drift innebär, där bland annat digitala postutskick, it-arbetsplatser och dataservicetjänster ingår.
  • Statsförvaltningen skulle kunna få ut mer av samordnad it-drift om regeringen pekar ut en definition av statlig it-drift eftersom det möjliggör tydligare styrning från regeringen och förbättrade förutsättningar för samverkan mellan myndigheter. Frågan bör hanteras inom ramen för utredningen Säker och kostnadseffektiv it-drift för den offentliga förvaltningen.
  • Säkerhetsnivån ska avgöra. Uppdraget är inriktat på att höja informationssäkerheten bland myndigheterna. Försäkringskassan har dock inte som uppdrag att prioritera it-drift för myndigheter med särskilt låg informationssäkerhet. Ramboll anser att prioriteringsordningen för statlig it-drift bör göras utifrån ett förvaltningsgemensamt perspektiv där även fler kompetenser från till exempel MSB, Säpo och Digg bör vara involverade för att fram riktlinjer för bedömning av en enskild myndighets behov av statlig it-drift. Här kan säkerhetsnivån beaktas i första hand och kostnadseffektivitet i andra hand.