Må sørge for å ha nødvendig kompetanse ved IKT-tjenesteutsetting

- Vi må sørge for at man ved tjenesteutsetting har kompetanse og stiller de kravene som er nødvendige, poengterte justis- og beredskapsminister Tor Mikkel Vara da Stortinget nylig drøftet tjenesteutsetting av IKT-tjenester. I Stortinget ble det bl.a. pekt på at grundige risiko- og sårbarhetsanalyser skal legges til grunn ved sikkerhetsgraderte anskaffelser. Flere uttrykte bekymring for konsekvensene av tjenesteutsetting av IKT-drift. I «Meld. St. 38 (2016–2017) IKT-sikkerhet — Et felles ansvar.» skriver regjeringen at tjenesteutsetting av IKT-tjenester til profesjonelle aktører vil kunne gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Det kan også gi lavere og mer forutsigbare kostnader og bidra til bedre prioritering av virksomhetens kjerneområder. Dette fordrer at virksomheten besitter kompetanse til å følge opp leverandører de setter ut tjenester til. Samtidig må virksomheten være bevisst hvilke verdier som eksponeres ved tjenesteutsetting, og iverksette nødvendige tiltak. Behovet for konfidensialitet, integritet og tilgjengelighet bør særlig vektlegges i vurderingene, og hvilke lover, krav og regler som gjelder for sektoren nasjonalt og internasjonalt.

Tjenesteutsetting av skytjenester

Det eksisterer i dag få skyleverandører med anlegg i Norge. Tjenesteutsetting ved bruk av skytjenester innebærer derfor at lagring og prosessering primært utføres på skyleverandørens anlegg utenfor Norge og dermed utenfor nasjonal kontroll.

I forbindelse med at Helse Sør-Øst RHF var i ferd med å sette ut drift av IKT-infrastruktur til en internasjonal leverandør, ble det avdekket sviktende rutiner og risikovurderinger. Tjenesteutsetting til eksterne driftsoperatører fordrer kontrollregimer og risiko- og sårbarhetsanalyser som sikrer at krav til behandling av personopplysninger ivaretas.

Helse- og omsorgsdepartementet, ble det opplyst, vil derfor sette i gang et arbeid for å se på håndtering av informasjonssikkerhet ved bruk av private underleverandører i helse- og omsorgssektoren.

Kompetansesenter

Kommunal- og moderniseringsdepartementet har gitt Difi i oppdrag å etablere et kompetansemiljø og veiledningsressurser knyttet til anskaffelse av skytjenester. Dette inkluderer vurderinger knyttet til sikkerhet og risiko, bl.a. verdivurdering av informasjon, og å samle anbefalinger fra de ulike sektorene på dette området.

Ved behandlingen av Innst. 187 S (2017–2018) i Stortinget nylig understreket et flertall (Ap, H og Fr.p.) i Justiskomiteen at grundige risiko- og sårbarhetsanalyser skal legges til grunn ved sikkerhetsgraderte anskaffelser. Et annet flertall i komiteen (A, Sp. og SV) var bekymret for konsekvensene av tjenesteutsetting av IKT-drift. En konsekvens etter tjenesteutsetting av IKT i Helse Sør-Øst var at helseforetaket måtte bruke flere hundre millioner kroner på å komme seg ut av avtalen Helse Sør-Øst hadde inngått.

Bestillerkompetanse

I stortingsdebatten om innstillingen forleden dag understreket justis- og beredskapsminister Tor Mikkel Vara: Denne regjeringen mener at det skal være bedre bestillerkompetanse. - Det er ingen tvil om, etter mitt syn, sa han, at dette har sviktet ved flere anledninger. Vi har ikke vært gode nok på dette. Vi må sørge for at man ved tjenesteutsetting har kompetanse og stiller de kravene som er nødvendige.

#IKTanskaffelser