Publikasjoner

Rapportsøk

Sourcingstrategier for IKT i offentlig sektor
Om skytjenester og digitale veivalg i fire statlige virksomheter og fire kommuner

Åsmund Arup Seip

Fafo-rapport 2020:17

Last ned nettutgave

| English summary

Forskningstema: Tjenester og tjenesteutvikling

Prosjekt: Sourcingstrategier for IKT i offentlig sektor

Forskere på Fafo: Åsmund Arup Seip

Denne rapporten handler om sourcingstrategier for IKT og bruk av skytjenester i offentlig sektor i Norge. Undersøkelsen bygger blant annet på intervjuer i fire statlige virksomheter og fire kommuner. Regjeringen har i sine strategidokumenter sterkt oppfordret virksomheter i offentlig sektor til å ta i bruk skytjenester, men har presentert få motforestillinger mot å bruke slike tjenester. Hvilke vurderinger og veivalg gjør virksomhetene i offentlig sektor? De reiser blant annet spørsmål om sikkerhet, framtidig avhengighet av leverandører og tjenestenes tilpasning til offentlig sektor. Med et sideblikk til Tyskland, hvor staten har valgt ikke å ta i bruk allmenne skytjenester, men vil bygge opp en egen statlig skytjeneste, stiller rapporten spørsmål om det også i Norge bør tas en offentlig diskusjon om sikkerhet og digital autonomi.

Utgitt: 2020 Id-nr.: 20752

Sammendrag

Denne rapporten handler om sourcingstrategier for IKT og bruk av skytjenester i offentlig sektor i Norge. Undersøkelsen bygger på intervjuer i fire statlige virksomheter og fire kommuner, samt dokumenter stilt til rådighet av virksomhetene og kommunene og en gjennomgang av offentlige dokumenter som beskriver myndighetenes politikk og utredninger på området.

Den digitale utviklingen har gått i retning av økt bruk av digitale tjenester levert over internett, såkalte skytjenester. Samtidig har nye plattformer som mobil, nettbrett og bærbare PC-er gjort at kommunikasjon over internett har blitt svært nyttig. Under koronakrisen våren 2020 har vi i hele verden sette en vekst i bruken av videotjenester og skybasert kommunikasjon. Digitaliseringen av biler, hjem og gjenstander vi omgir oss med, «the Internet of things», genererer data. Denne utviklingen har ført med seg et behov for transport og lagring av store mengder informasjon som kan lagres i digitale «skyer».

De moderne nettskyene ble introdusert med skytjenester fra Amazon (2006), Google (2008) og Microsoft (2010), og uttrykket «skytjenester» eller «cloud computing» brukes i dag som en samlebetegnelse på datatjenester som leveres over internett, og kan omfatte alt fra regnekraft (dataprosessering) og datalagring, til operativsystemer og programvare. Bruk av gamle dataprogrammer eller bruk av dataprogrammer fra ulike leverandører eller plattformer, kan skape det som har blitt kalt «teknisk gjeld», og gjøre deling og utveksling av data vanskelig. Skytjenestene representerer i dag et forsøk på å overkomme mange av disse utfordringene ved å integrere et bredt spekter av tjenester og knytte dem sammen over Internett.

Datasikkerhet

Levering av digitale tjenester over nett gir oss utfordringer både i måten vi arbeider og organiserer vår virksomhet på, og i hvordan vi sikrer persondata og andre data av verdi for virksomheter eller Norge som nasjon. I Norge tilpasser vi vår lovgivning til EUs reguleringer når det gjelder salg av tjenester og regulering av personvern. For de fleste formål er EU-landene ett marked og et felles reguleringsområde for IKT og personvernspørsmål. Men i et globalt marked handler vi ofte utenfor EUs grenser.

Informasjonssikkerhet kan kompromitteres og offentlige eller private interesser kan krenkes på to ulike måter ved outsourcing av IKT-tjenester: data kan bli kompromittert gjennom rettslige prosesser under et annet lands jurisdiksjon, og det kan skje ved ulovlig inntrenging eller tilegnelse av informasjon.

Dersom data lagres steder der det vil kunne komme inn under et annet lands jurisdiksjon, vil norske myndigheter eller norsk virksomheter kunne miste kontrollen over egne data. Uklarhet knyttet til jurisdiksjon kan utgjøre et sikkerhetsproblem. Dette har ført til at EU har relativt strenge regler for overføring av persondata ut av EU/EØS området. Når det gjelder andre typer data må den enkelte dataeier og det enkelte land sikre sine data juridisk. Det kan være krevende dersom data lagres i andre land.

Ulovlig inntrengning i dataanlegg, såkalt hacking, er et betydelig problem som berører all IKT. En viktig grunn til at hacking og spionasje rettet mot IKT-tjenester foregår, er at data kan ha stor verdi. Virksomheter, både i det offentlige og i det private, må verne om sine data for å unngå at industrielle hemmeligheter, forskningsmateriale eller samfunnskritisk informasjon kommer på avveie. For nasjonalstaten er den nasjonale sikkerheten viktig.

Et eksempel på beskyttelse av data for å sikre nasjonal suverenitet finner vi Tyskland der myndighetene har valgte å etablere sin egen «private» sky – Die Bundescloud. Målet er å skape uavhengighet av eksterne leverandører som gikk over fra å selge dataprogrammer til å levere leie- eller abonnementstjenester. I Tyskland er digital autonomi blitt et sentralt mål i digitaliseringspolitikken.

En norsk strategi for skytjenester

I Norge har regjeringen lagt en strategi for å øke digitaliseringstakten og ta i bruk skytjenester. Regjeringen Solberg har gjennom en rekke publikasjoner og tiltak lagt et betydelig press på hele offentlige sektor for å øke digitaliseringen og få virksomhetene til å ta i bruk ny teknologi og skytjenester.

Regjeringen peker på at offentlig sektor har et spesielt behov for kontroll over informasjon, og peker på to veier å gå for å ivareta offentlig kontroll. Den ene er gjennom å etablere egne datasentre for statlig eller offentlig sektor. Den andre veien regjeringen foreslår å gå er gjennom å sikre offentlig kontroll gjennom kontrakter som blir inngått med leverandører.

Parallelt med overgang til markedsbaserte skytjenester i offentlig sektor, og etablering av en offentlig markedsplass for slike tjenester, foregår det et betydelig arbeid med å samordne offentlige digitale tjenester. Et eksempel er Norsk Helsenett som er blitt skilt ut fra Direktoratet for e-helse for å bli en nasjonal leverandør av e-helsetjenester.

Samlet sett kan vi se de offentlige tiltakene som en blandingspolitikk: både markedsorientering og offentlig samordning. Regjeringen sier imidlertid lite i de offentlige dokumentene om hvilke generelle prinsipper som skal ligge bak valg av strategi.

Statlige virksomheter

Forsvaret, Meteorologisk institutt, Nav og Universitetet i Bergen er statlige virksomheter som representerer ulike sektorer i staten, har ulike størrelse og driftsoppgaver.

Forsvarets IKT-strategi, som også handler om sourcing, er bygget opp rundt de internasjonale trendene innen IKT-utvikling: en mer strategisk bruk av IKT, integrasjon og kommunikasjon mellom systemer, og jevnlig oppgradering og modulbygging. Det er et mål for Forsvaret å øke den digitale kompetansen innenfor IKT og gi de ulike etatene i forsvarssektoren større grad av frihet til å velge hvordan de vil jobbe. Et tredje mål er å utnytte nye plattformer. Her har Forsvaret søkt et samarbeid med Microsoft.

Meteorologisk institutt (MET) behandler store mengder data for å overvåke og varsle været for myndighetene, næringslivet og allmennheten. De siste årene har Meteorologisk institutt valgt å anskaffe programvare gjennom skyløsninger på det administrative området. Instituttet har lagt tre hovedlinjer i sin sourcingstrategi: ta i bruk og utvikle egne IT-ressurser knyttet til kjernevirksomheten, kjøpe tjenester og programvare i markedet når det er kostnadseffektivt, og samarbeide nasjonalt og internasjonalt for å opprette og vedlikeholde kompetanse og kapasitet innenfor instituttets kjernevirksomhet. For Meteorologisk institutt er det viktig å sikre kjernekompetanse slik at det kan drifte og utvikle sin hovedaktivitet, hovedprinsipp for innkjøp av tjenester og programvare at det bør foreligge et modent marked med flere tilbydere. Sourcingstrategien går også ut på å unngå å bli låst til én leverandør og å utnytte mulighetene efor samarbeid nasjonalt og internasjonalt.

Arbeids- og velferdsetaten (Nav) leverer tjenester etter arbeidsmarkedsloven og folketrygdloven og har 750 årsverk knyttet til sin sentrale IT-avdeling. Navs sourcingstrategi har som formål å maksimere verdiskapningen gjennom bruk av egne ressurser i kombinasjon med kjøp standardiserte programmer eller kjøp av tjenester. Etaten beveger seg bort fra store monolittiske datasystemer og over til mer mikrotjenestearkitektur med små komponenter som kan endres etter behov. Dette skal ifølge etaten opprettholde endringsdyktighet over tid. Navs strategi er å bygge opp utviklingstjenestene selv og sette mer av driften ut i skyen. En suksessfaktor er å klare å utvikle og beholde kompetanse.

IT-avdelingen ved Universitetet i Bergen har litt over 100 ansatte. Virksomheten har et behov for tjenester over et bredt spekter, og har organisert disse ved å ta i bruk ulike typer infrastruktur. For å kunne tilby en kostnadseffektiv skytjeneste har Universitetet i Bergen og Universitetet i Oslo samarbeidet om å lage en egen skytjeneste med bruk av egne servere for sine brukere. Dette er ifølge universitet en løsning som gir god kontroll med data. Universitetet i Bergen har valgt å kjøpe tjenester der volumet er stort, som for eksempel Microsoft 365 med tilknyttet skylagring. Universitetets sourcingstrategi omfatter administrative og tekniske tjenester, og er utformet som en veiledning for beslutninger knyttet til hvorvidt tjenester skal utføres med interne ressurser, skaffes gjennom tjenestekjøp eller organiseres gjennom et samarbeid med en ekstern virksomhet.

Kommuner

Oslo og Bergen er de to største bykommunene i landet, mens Bodø og Fauske kan beskrives som en middels stor og en liten by-kommune.

Bergen kommune hadde tidligere et driftsmiljø for IT i hver etat, men kommunen har over tid arbeidet målrettet for å samle driften av IKT i en konsernfunksjon. Kommunen har ikke en fastlagt sourcingstrategi, men kan sies å følge en multisourcingstrategi for drift og innkjøp av digitale tjenester. For kommunen er utviklingen og etableringen av de nye fellestjenestene i offentlig sektor en viktig faktor som vil avgjøre hvor drift og lagring av data vil skje i framtiden. Kommunens driftssystemer som har vært driftet med små endringer over tid utfordres nå av mer dynamiske systemer som leveres via sky og oppdateres og utvikles kontinuerlig. I tillegg vil informasjonssikkerhet, inntrengingssikkerhet og personvern, ifølge kommunen, være styrende for hvordan kommunen arbeider med de digitale tjenestene i framtiden.

Bodø kommune har de siste 15 – 20 årene satt bort drift av hele IT-systemet til en driftspartner. En av utfordringene knyttet til utsetting av tjenester er behovet for god merkantil kompetanse. Selv om kommunen opplever å ha god teknisk kompetanse er likevel utformingen og forvaltningen av avtaler utfordrende, ifølge kommunen. Sikkerhet er et sentralt spørsmål i en sourcingstrategi. Kommunen påpeker at kompetansen til de enkelte brukerne er en kritisk faktor.  Sikkerhetsstandarden til større internasjonale leverandører blir vurdert som god.

Fauske kommune har valgt å drifte sine IT-tjenester selv, men har ikke utformet en egen sourcingstrategi. Kommunen opplever at det er en utfordring å få til kompatibilitet mellom de systemene kommunen bruker i dag og nye skyløsninger. Det sak- og arkivsystemet kommunen bruker passer for eksempel ikke sammen med Googles desktop-produkter. Slike forhold gjør det vanskelig for kommunen å gjøre endringer. Kommunen peker på at egen IT-drift gjør kommunen mindre avhengig av leverandører for support.

I Oslo kommune leverer Utviklings- og kompetanseetaten IT-tjenester til 50 virksomheter. Utviklingen har gått i retning av å samle IT-kompetansen i én etat, men flere andre virksomheter har fortsatt egne IT-medarbeidere og egne systemdriftsmiljøer. Oslo kommune har valgt å gå over fra å eie infrastrukturen selv til å gå i retning av tjenestekjøp. Målet var å utvikle en multisourcingstrategi med flere skyleverandører. Kommunen peker imidlertid på at det ble utfordrende å operere med mange skyleverandører. Erfaringen er at leverandørene er ganske like og det kommunen ikke får mer funksjonalitet gjennom å operere med flere leverandører, men at det kan bli vanskelig å sette krav til standardisering og at det kan bli mer kostbart å forholde seg til flere grensesnitt.

Sourcingstrategier og utviklingstrekk

Virksomhetene i denne undersøkelsen har i ulik grad utformet egne sourcingstrategier for IKT. Ingen av kommunene har utformet en skriftlig sourcingstrategi, men enkelte har formulert en utviklingsretning gjennom svært generelle formuleringer. Virksomhetenes erfaringer viser likevel at det er noen felles utviklingstrekk knyttet til organisering og sourcing av IKT i offentlig sektor:

  • Mens datadrift i stor grad tidligere har blitt sett på som en støttefunksjon til virksomhetens tjenesteproduksjon, ses den nå i økende grad som en integrert del av de tjenestene virksomheten ønsker å tilby.
  • Det har det foregått en økende sentralisering av IKT-driften. Dette er særlig tydelig i de store kommunene Oslo og Bergen. Sentraliseringen er likevel ikke entydig. Den nye arkitekturen som nye IT-systemer bygges etter, åpner for at datasystemene kan utvikles i mindre biter, som byggeklosser. Det har gjort det mulig å etablere selvstendige utviklingsteam som jobber tett med brukere. Nav og Forsvaret kan være eksempler.
  • Virksomhetene retter oppmerksomheten og egen datadrift mot kjernevirksomheten. Dette er særlig framtredende i de statlige virksomhetene som utfører spesialiserte oppgaver. Det blir også påpekt at data knyttet til kjernevirksomheten har stor verdi for virksomheten og må beskyttes.
  • Myndighetene krever samordning av IKT-løsningene på visse områder innenfor det offentlige. Kommuner og statlige virksomheter møter på flere felt et krav om samordning, enten om å ta del i nasjonale fellesløsninger eller å bli del av et felles økonomi- og styringssystem innenfor den enkelte sektoren.
  • Virksomhetene i denne undersøkelsen opplever et krav fra politisk og overordnet myndighet om å etablere skydrift for ulike tjenester. Det har blitt understreket i flere år gjennom digitaliseringsrundskrivet. Virksomhetene har forsøkt å følge opp dette pålegget.

Denne undersøkelsen av fire statlige virksomheter og fire kommuner viser at de offentlige virksomhetene har organisert sin IKT-drift på ulike måter og at sourcingstrategiene varierer. De fleste virksomhetene har tatt i bruk skytjenester på ett eller flere felt. Skytjenestene har vist seg å være enkle å bruke, og de utvikles ofte sømløst under veis slik at brukeren alltid har siste versjon av tjenesten. Virksomhetene opplever imidlertid også ulemper med skytjenester. Dette kan være risiko for å bli låst til en tjeneste, høy pris eller problemer knyttet til å få nødvendige tilpasninger.

Virksomhetene vurderer sikkerheten ved bruk av skytjenester og lagring i skyen i lys av den type data som skal lagres, og legger stor vekt på at personvernreguleringen (GDPR) følges opp. Her er spørsmålet om hvor data lagres viktig.

Virksomhetene understreker at det er veldig viktig å ha kompetanse som kjenner til hva virksomheten driver med. Hvis Norge skal ligge langt fremme innenfor visse fagområder, er det avgjørende, påpekte virksomhetene, at Norge kan håndtere data selv og foreta kjøringer som er kritiske for virksomhetene. Det genererer kompetanse og kontroll.

Regjeringen lagt til rette for å organisere en offentlig innkjøpsordning eller markedsplass for skytjenester. Regjeringen har ikke lagt til rette for et samarbeid om offentlig datalagring eller etablering av et felles datasenter for statlig- eller offentlig sektor. Det er lite i regjeringenes digitaliseringsstrategi eller strategi for bruk av skytjenester som viser at det er gjort vurderinger knyttet til digital autonomi eller til behov for å sikre digital kompetanse i offentlig sektor. Kanskje er det tid for å starte en debatt om dette. I framtiden vil eierskap og kontroll over data legge grunnlag for store verdier. Det vil også være en vei til makt og innflytelse. Derfor er det viktig å drøfte hvordan vi skal regulere disse verdiene og hvordan vi skal forvalte de verdiene som skapes i det offentlige.