Så ser det ofta ut när offentliga verksamheter upphandlar IT-stöd.
Niklas Nikitin, Karlstads universitet, har tillsammans med kollegor gjort en studie av upphandlingsavrop baserade på Kammarkollegiets ramavtal.

 

Säkerhetskraven i 24 olika offentliga upphandlingar har studerats, det största på totalt över 1 000 sidor.
– Nästan 30 procent har inte bifogat sin informationssäkerhetspolicy. Hur ska företagen då veta vad som gäller? undrade Niklas Nikitin.

 

Resultaten visade också att bara 20 procent bifogat sin risk- och sårbarhetsanalys och att 40 procent tagit hänsyn till personuppgiftslagen i sina krav.
– Ansvarsfördelningar är inte klargjorda mellan kund och leverantör. En del hänvisar till iso-standard, men inte hur den ska användas. Säkerheten måste hanteras av den upphandlade, men då måste säkerhetskraven med i upphandlingen, säger Nikitin.

 

Erik Carlson, Foi, har gjort intervjuserier om utkontraktering av kommuners IT-drift. 122 kommuner svarade och 80 procent säger sig ha utkontrakterat någon del av driften.
– Omfattningen är omätbar. Men konstateras kan att kommunsamarbeten, centralisering av IT-drift och nyttjande av molntjänster ökar. Däremot undviks utkontraktering av det som är samhällsviktigt, säger Erik Carlson.

 

41 procent säger att de i kontrakt reglerat att leverantören ska lösa eventuella driftproblem. 14 procent har inte gjort det och övriga säger att det finns med men inte tillfredsställande.
– På frågan varför man lägger ut verksamheten är det ingen som säger att ekonomin inte spelar någon roll.

 

Henrik Tedeby, som jobbar med IT-säkerhet i Haninge kommun, känner igen problemställningarna.
– Vi som köper tjänsten har yttersta ansvaret. Men vad ingår i tjänsten och vad är tilläggstjänster? Ansvarsskrivandet är viktigt. Vi blev utsatta för Ddos-attacker förra året, vem bär ansvaret då? sa Tedeby.

 

Haninge har utkontrakterat huvuddelen av IT-driften och Tedeby konstaterar att mycket fungerar bra. En konsekvens blev att personalstyrkan minskades från 20 till sex.
– Vi blev för få att hantera dagliga uppgifter och avtalsfrågor. Nu är vi tolv på beställarenheten. Det behövs breda kunskaper för att följa upp och kontrollera avtal.