Transportstyrelsens upphandlingsfiasko

Publicerad 27 juli 2017
Säkerhetsläckan på Transportstyrelsen är i grunden ett resultat av det marknadstänk som sedan 1990-talet fått fotfäste inom såväl statlig som kommunal verksamhet.
Säkerhetsläckan på Transportstyrelsen är i grunden ett resultat av det marknadstänk som sedan 1990-talet fått fotfäste inom såväl statlig som kommunal verksamhet.

Transportstyrelsens skandalomsusade IT-upphandling är ytterligare ett exempel på den nyliberala outsourcing-iverns oförenlighet med offentlig verksamhet.

Bilder

Detta innebar att känslig information, som fordonsregister och personuppgifter, gjorts tillgänglig för obehöriga i utlandet.

I samband med att Transportstyrelsen i slutet av 2015 lade över sin IT-drift på amerikanska IT-jätten IBM, gjordes avsteg från flera lagar, allt i syfte att ”effektivisera” upphandlingsprocessen. Detta innebar att känslig information, som fordonsregister och personuppgifter, gjorts tillgänglig för obehöriga i utlandet.

Den borgerliga oppositionen, med den samlade liberala journalistkåren vid sin sida, har under de senaste veckorna pressat regeringen och Transportstyrelsen till att ta ansvar för händelserna, men kritiken mot upphandlingssystemet och outsourcing av känslig IT-drift har lyst med sin frånvaro.

Historien tar egentligen sin början i januari 2011, när Riksrevisionen överlämnar en utredning om myndigheters outsourcing som, i enlighet med nyliberal doktrin, pekar på att svenska myndigheter borde köpa mer av sin IT externt. Regeringen Reinfeldt delar Riksrevisionens bedömning.

Sveriges dåvarande IT-minister, Anna-Karin Hatt (C) driver denna linje och har internt stöd från myndighetsmän som David Karlsson, IT-direktör på Transportsstyrelsen. I en Computer Sweden-intervju från 2014 berättar han att myndigheten gärna ”drar nytta av marknaden” för att få ner kostnaderna.

Transportstyrelsens IT-tjänster, bland annat drift av fordons- och körkortsregistret drivs under denna tid av Trafikverket. Avtalet går ut i början av 2015 och förnyas inte.

Istället får IBM i april månad samma år ett kontrakt värt 800 miljoner kronor för att driva tjänsten och tillhandahålla support. Ingen otippad kandidat, företaget hade sedan tidigare ansvar för andra stora myndighetsrelaterade IT-projekt i Sverige, som systemen för trängselskatterna i Stockholm och Göteborg – kassakor för hundratals miljoner kronor.

Flera anställda på Transportstyrelsen varnar för att det finns risk att icke säkerhetsklassad utländsk personal kan få tillgång till sekretessbelagda uppgifter vid en sådan outsourcing, men beslutet är taget och alla kritiska röster tystas.

En månad senare får Säpo reda på att IBM, för att maximera vinsten, kommer att förlägga driften till lågkostnadsländerna Rumänien och Tjeckien. Viss verksamhet kommer även att drivas från bolagets filialer i Serbien, Kroatien, Holland och Finland. En granskning inleds.

Den 25 november 2015 rekommenderar Säpo ett omedelbart stopp för upphandlingen, men trots denna varning tillåts IBM ta över driften.

Till följd av detta inleder åklagare den 26 januari 2016 en förundersökning om vårdslöshet med hemlig uppgift. Ett år senare, den 19 januari 2017, får Maria Ågren, generaldirektör för Transportstyrelsen, sparken från sin tjänst med motiveringen att hon och regeringen haft ”olika syn på hur arbetet ska bedrivas”.

DN pekar på att Säkerhetspolisens förundersökning tyder på att IT-säkerheten knappast prioriterades av myndigheten under de borgerliga regeringsåren heller. Till exempel kunde Staffan Widlert, som ledde myndigheten 2009-2015, enligt samma förundersökning inte minnas om han deltagit i några diskussioner kring att upphandlingar måste vara säkerhetsskyddade.

– Vi var naiva, säger han till DN.

I en SVT-intervju menar Patrik Fältström, teknik- och säkerhetschef på Netnod, som arbetar med internets infrastruktur, att det är ”generalknas i hela organisationen”. Allt tyder på att detta är en korrekt beskrivning av verksamheten.

Den 6 juli blir det känt att Ågren erkänner ”grov oaktsamhet” och att hon gjort avsteg från Säkerhetsskyddslagen, Personuppgiftslagen och Offentlighets- och sekretesslagen. Hon får böter på 70.000 kronor, drygt hälften av sin månadslön som generaldirektör.

Två veckor senare avslöjar DN att obehörig personal fått tillgång till känsliga uppgifter, däribland information som skulle göra det möjligt att spåra personer med hemliga adresser eller som lever med skyddad identitet.

Ytterligare ett exempel på den nyliberala outsourcing-iverns oförenlighet med all typ av offentlig verksamhet.