Låt en särskild Cybermyndighet ta hand om våra viktiga register

Vad är det med statsförvaltningen och våra statliga myndigheter och deras generaldirektörer: har de ingen koll alls eller vill myndighetscheferna att staten ska lägga ut och outsourca så mycket som det bara går till externa aktörer? Detta oavsett risker för att känsliga personuppgifter och annat säkerhetsklassat i informationsväg i nästa led kan läckas eller säljas vidare till snart sagt vem det vara månde. Och hur ser det ut med direktiv och regleringsbrev till våra myndigheter? Är det bara att outsourca och lägga ut till vem som helst inom och utom landet bara det görs så billigt som möjligt? Haveriet på Transportstyrelsen med outsourcingen av IT-hanteringen till multinationella IBM utan någon som helst koll av säkerhetsklassning av tekniker som ska göra jobbet exploderade i media nu i sommar. Och nu Polismyndigheten och dess rikspolischef som nu också visat sig år 2015 ha lagt ut känslig, säkerhetsklassad registerinformation hos en extern, privat dataoperatör (kanadensiska CGI, samma som sköter BASUN). Finns det mer? Vill dessa uppenbarligen tämligen självständigt fungerande myndighetschefer inte att staten längre alls ska sköta statlig myndighetsutövning? Eller har de gått helt vilse i New public management-yrans tänkande och outsouringambitioner och omdömet löpt amok med våra statliga myndighetschefer? Finns det inget statligt ämbetsmannaansvar av den sort vi en gång var så vana vid och som fungerade med omdöme och oväld? Och hur är det egentligen ställt med rekryteringen till våra statliga myndigheter? Frågorna börjar bli många och under våra fötter gungar marken mer och mer. Mer och mer tyder på att det som nu skett och sker inte är några olycksfall i arbetet utan speglar en mera grundläggande förändring i hur statliga myndigheter styrs och tillåts styras enligt principer och styrsystem som rena lånegods från privata näringslivet. Och det utan några som helst hänsynstaganden till att statlig myndighetsutövning med dess komplexa krav på oväld, icke gynnande av någon part samt krav på rättssäker hantering av beslutsunderlag och genomförande inte är som att sälja gurka och tomater på en marknad. Uppenbart är att vi nu är i behov av en generaldiskussion om statens roll och uppgift, ämbetsmannaansvar, vilka krav som kan och ska ställas på lämpliga statliga myndighetschefer, tydligare direktiv om hur respektive myndighet som styras och skötas och när det exempelvis är klart olämpligt att externt lägga ut och outsourca arbetsuppgifter där säkerhetsklassning är ett absolut måste av personal som ska göra arbetsuppgifterna. En av flera lärdomar som nu måste dras av såväl outsouringhaveriet i Transportstyrelsen som nu senast i Polismyndighetens personregister är hur hanteringsslarv – systemfel? - med våra centrala, känsliga register ska stramas upp och göras säkrare i egen regi. Här finns en del som talar för att staten borde inrätta en särskilt, statlig Cybermyndighet med ansvaret att hantera landets centrala register. Lärdomarna från haveriet på Transportstyrelsen m fl visar att staten nu måste bygga upp ett system där sekretessbelagda och för rikets säkerhet samt försvar viktiga uppgifter kan säkras och risken för läckor minimeras. Den typ av outsourcing och utförsäljning av hanteringen till privata entreprenörer som gjordes vid Transportstyrelsens register i jakten på billigare lösningar måste fasas ut snarast från offentlig förvaltning. Bara risken för att hela register eller sekretessbelagda uppgifter ska kunna läcka ut borde vara skäl nog till att inte låta aktörer som drivs av kortsiktiga vinstintressen (inhemska och utländska) få tillgång till dessa. I det här sammanhanget finns det också skäl att påminna om det mindre välbetänkta av den i början av 1990-talet av Bildt-ledda regeringen tagna besluten att lämna över allt mer av det tidigare av stat och kommun skötta, skyddsvärda register och i stället överlåta dessa känsliga personregister i händerna på olika privata operatörer. Också detta var i grunden den från Storbritannien hämtad förvaltningsmodellen ”New Public Management” (NPM). En modell som går ut på att konkurrensutsätta och läggas ut på marknaden också säkerhets- och integritetskänslig registerinformation. I stället för att inom myndigheter och offentlig förvaltning utveckla verksamheten har jakten på billigast tänkbara lösning blivit ett helt överordnat mål. Verkscheferna i våra myndigheter fick redan då delvis lite för fria händer att agera, något som sedan följts upp i nya kompletterande direktiv från 20111 och 2014 om outsourcing av IT etc och som i fallet med Transportstyrelsen i jakten på billiga IT-lösningar ledde till rena lagöverträdelser och avgång för generaldirektören. Och sedan även till avgång för två statsråd under sommaren 2017 för att de saknade full koll och inte ingrep i tid. Det faktum att såväl SPAR (det svenska personregistret) som BASUN (företags- och fastighetsregistret) numera ligger i händerna på delvis utanför landet placerade privata företag borde förskräcka. Båda registren innehåller i förhållande till det från Transportstyrelsen outsourcade en betydligt större mängd integritetskänsligt och sekretessbelagt material. Detta sedan början av 1990-talet outsourcade personregistret har genom åren hanterats av ett stort antal olika utländska bolag. I dag ligger det i händerna på EVRY - ett i huvudsak av norskt riskkapital ägt företag. Också datahanteringen hos BASUN finns i händerna på företag utanför Sverige. Uppdraget att sköta registren har växlat. Företagen har varit allt från franska Sema Group till ATOS Orgin, Logica och kanadensiska CGI. De säkerhetsklassade registren har fått vandra runt mellan olika företag samtidigt som de kommersialiserats och marknadsförts som adress- och upplysningskälla för till exempel mängder av olika, nischade massutskick. Att säkerheten för register som SPAR och BASUN borde rimligen betraktas som viktigare än att jaga billigast möjliga driftkostnader för viktiga register borde vara självklart. Genom att inrätta och låta en statlig Cybermyndighet ta hand om driften, ansvaret och säkerheten borde minska risken att inte säkerhetskontrollerad personal och operatörer kan få tillgång till dessa integritetskänsliga uppgifter. Att kunna garantera detta är inte minst för rikets säkerhet och medborgarna här långt viktigare än att kanske spara någon eller några procent på IT-driftkostnaden. Mot bakgrund av erfarenheterna från bland annat haveriet i Transportstyrelsen borde det vara en prioriterad uppgift för regeringen att nu skapa en Cybermyndighet och se till att de offentliga register som finns i Sverige hamnar i säkert förvar. Att det sedan därutöver uppenbarligen nu finns behov också av en mera övergripande generaldiskussion om om våra statliga myndigheters roll och hur de bäst borde styras och ledas utan systemfel börjar bli allt mera uppenbart. Robert Björkenwall och Jaan Ungerson Lästips: Trump förebild för svenskt näringsliv? Knappast...och heller inte New Public Management. http://www.dn.se/debatt/skydda-det-offentliga-fran-affarsman-som-trump/ "Om man rensar bort hans grova främlingsfientlighet och manschauvinistiska tirader är Trump i mångt och mycket en idealtyp för hur även det svenska näringslivets ledare tänker och resonerar. Han vill 'få saker och ting gjorda', är misstänksam mot 'byråkrati och regler' och är mycket negativ till 'tjafs'; att åsikter stöts och blöts, i synnerhet om de inte överensstämmer med de egna." Skrev två professorer i företagsekonomi på DN debatt 22/8. Utmärkt bra och klargörande varför NPM borde utmönstras ur statliga myndigheter.