Den 27 maj publicerades ett reportage i Sveriges radio om Försäkringskassans hantering av amerikanska molntjänster. Numera känner väl alla till bakgrunden men för sakens skulle kan några ord sägas att bakgrunden till att det här över huvudtaget blivit en nyhet. Det är en lång och ofta plågsam process i den svenska förvaltning angående det lämpliga i att att använda molntjänster, och särskilt då amerikanska sådana, som nog får sägas fick sin start för mer än 10 år sedan.

2015 fick Pensionsmyndigheten av regeringen i uppdrag utreda om, och i så fall hur, staten skulle kunna använda sig av molntjänster för datalagring, i större utsträckning än dittills. Tyvärr finns inte rapporten utlagd på Pensionsmyndighetens webbplats längre och går inte heller att hitta i myndighetens diarium på webbplatsen. Jag var själv med i utredningen som representant för MSB, då för att bevaka att informationssäkerhetsaspekter blev tillräckligt uppmärksammade. Kontentan i rapporten blev, trots bland annat ambitiösa juridiska analyser, att varje myndighet själv måste göra noggranna utredningar av möjligheten att för egen del använda molntjänster.

Föga överraskande resultat alltså och så har det fortsatt; distinkta föreskrifter eller ens rekommendationer för myndigheter har saknats. Transportstyrelseincidenten 2017 (som ändå rörde europeiska förhållanden) hade en snabbt förklingande riskmedvetenhet. Den i dagarna framlagda molnpolicyn från regeringen utgör inget undantag jämfört med tidigare inriktning utan utmynnar även den i att det är upp till varje myndighet att göra sina egna bedömningar med stöd av befintliga metodstöd från olika myndigheter (plus något nytt från PTS). Och även om ordet suveränitet används finns mycket litet av avrådan från att använda amerikanska molntjänster.

Det är begripligt eftersom det är en äkta konflikt mellan effektivitet (såsom den kortsiktigt kan uppfattas) samt en viss typ av säkerhet och andra värden som långsiktig säkerhet, riskkontroll, nationellt oberoende och personlig integritet. Vågskålen har bland myndigheterna länge vägt över till de amerikanska molntjänsternas fördel, en position starkt boostad av leverantörerna som fått tillträde både till regeringen och till offentliga it-chefer.

Utan att ytterligare fördjupa mig i detta kan det sägas att det funnits offentliga företrädare som uppvisat större riskmedvetenhet i ett förändrat omvärldsläge som vi brukar säga. En sådan har varit Försäkringskassans generaldirektör som så sent som förra veckan återigen uttalade sig om vikten av skapa alternativ till amerikanska molntjänster i en artikel i Dagens industri. Detta var verkligen inte första gången han gjorde det och det var därför jag blev väldigt förvånad när jag hösten 2025 fick höra att Försäkringskassan i början av året satt igång upphandlingen av en kommunikationslösning (typ Skype). Projektet benämnt KLÖS hamnade redan efter någon månad i att endast tre respondenter kunde lämna förslag på lösningar som uppfyllde samtliga krav i den Request for information (RFI) som skickats ut. Tyvärr baserades samtliga tre på amerikanska molnlösningar vilket stod klart redan i april 2025.

Att det inte fanns andra alternativ hindrade inte att man gick vidare uppenbarligen och jag började i oktober 2025 försöka få ut riskanalyser och beslutsunderlag (för att inte missa något började jag med att begära uta samtliga handlingar i KLÖS-projektet). Min önskan om att se handlingarna berodde inte på någon generell nyfikenhet (även om den finns) utan att jag vill se hur en stor myndighet som dessutom tillhandahåller it-tjänster till andra myndigheter bedömde risken med att använda amerikanska molntjänster.

Jag fick så smångom bland annat en riskanalys där merparten av texten var maskad samt dessutom ett beslutsdokument från juni 2025:

"Beslut om inriktning för nya kommunikationslösningar
Försäkringskassan måste ersätta nuvarande kommunikationslösning baserad på Skype eftersomden närmar sig slutet av sin tekniska livslängd. Den nya lösningen ska ersätta dagens funktionalitet och balansera verksamhetens krav och behov med tekniska förutsättningar och framtida möjligheter och risker, samt i övrigt tillgodose rättsliga och säkerhetsmässiga krav. Ersättaren ska skapa
förutsättningar för mer moderna arbetssätt, vara hållbar, skalbar, flexibel och tillfredsställa bådeinterna och externa behov över tid.
En s.k. hybridlösning som baseras på system där Försäkringskassan har hög grad av egen rådighet och drift kompletterat med en av leverantör tillhandahållen molnbaserad lösning, har därvid bedömts vara det som bäst tillgodoser behov och krav. Information som behöver hanteras internt kan fortsatt hanteras så och en grundläggande funktion kan upprätthållas även när den molnbaserade lösningen
av något skäl görs otillgänglig. Samtidigt kan styrkor i en modern molnbaserad lösning nyttjas i tillämpliga delar.
Samtliga avdelningar har varit involverade med att ta fram lösningsförslaget, varvid någon ytterligare beredning inte har genomförts. Risk- och konsekvensanalyser har genomförts tillsammans med
verksamhets- och fackliga representanter samt arbetsmiljöombud. Lösningsförslaget presenterades för Försäkringskassans ledningsgrupp den 16 juni 2025.
Detta beslut har samverkats i enighet vid GD-samverkan 2025-09-30.
Beslutas att
Försäkringskassan ska ersätta den nuvarande kommunikationslösningen Skype med en hybridlösning som kombinerar en kommunikationslösning i egen regi med en extern molntjänst, samt kris och kontinuitetslösningar för telefoni och kontaktcenter."

Myndighetsledningen hade alltså redan fattat ett beslut vilket gjorde mig nyfiken på vad beslutsunderlaget innehöll, bland annat rörande riskbedömningar för olika alternativ. Döm om min förvåning när det uppgavs från Försäkringskassan att det inte fanns något beslutsunderlag utan beslutet tycktes sväva fritt för sig själv. När jag i december 2025 började begära ut beslutsunderlag t.ex. i form av en förstudie hävdades att den ännu inte var färdig. Inte förrän april 2026 efter ett antal påstötningar fick jag ta del av en förstudierapport färdigställd 2 april 2026, alltså 9 månader efter att beslutet fattades. I förstudien finns vissa risker med att använda MS Teams lyfta men landar ändå i att Försäkringskassan ska införa MS Teams parallellt med sin egen lösning Safos. I en något pinsam intervju i Ekot framgår att det fortfarande verkar oklart vad Teams kan och ska användas till med tanke de risker som finns.

Om förloppet där beslut tas innan underlag finns kan ses som ett exempel på god förvaltning lämnar jag till läsaren att avgöra. Att myndigheten lämnar så motstridiga budskap i form av artiklar respektive praktiskt handlande där ledningen verkar ha en uppfattning och it-avdelningen en annan är heller inte bra. Det är dock litet orättvist att lasta den enskilda myndigheten för mer än tafflig ärendehantering när molnfrågan fortfarande är så oklar på nationell nivå. I motsats till regeringen anser jag att i en integrerad förvaltning bör det finnas en gemensam inriktning i en så central fråga. I annat fall kan en myndighets alltför stora riskaptit leda till stora problem även för andra myndigheter som är sammankopplade i ett allt intensivare informationsutbyte. Och vems är då ansvaret?

Slutligen funderar jag över vad som skulle ha hänt om media inte reagerat. Förvaltningen ska knappast vara beroende av granskning från media för att korrigera felsteg men hur ska det annars gå till idag? Ännu finns ingen granskningsmyndighet för mindre lyckad digitalisering. Kanske borde det finnas en sådan, personligen tror jag att det finns mer pengar att tjäna där än via Utbetalningsmyndighetens verksamhet.