Vilse på digitaliseringens hav (2)
Via nätet tassar jag virtuellt omkring och försöker förstå vad som händer i digitaliseringsfrågan bakom departementens dörrar. Jag ber redan nu om ursäkt om jag misstolkat något – det är inte alldeles enkelt att få en överblick.
Jag börjar med att regeringen tillsatt en utredning för att:
kartlägga och analysera i vilken utsträckning det förekommer lagstiftning som i onödan försvårar digital utveckling och samverkan inom den offentliga förvaltningen.
vilket innebär ställer man sig återigen inför uppgiften att försöka få ihop delarna på ett konstruktivt sätt. Jag måste dock medge att att formuleringen ”lagstiftning som i onödan försvårar” får mig att hoppa om inte högt så åtminstone medelhögt. Synsättet på lagstiftningens roll känns inte genuint respektfullt om man säger så. Mer glädjande är att utredaren ska ta hänsyn till bland annat regeringens kommande strategi om informations- och cybersäkerhet innan man redovisar sitt uppdrag i mars 2018.
Utredningen kan ses som en pendang till den utredning som tillsattes i maj med uppdrag att:
analysera och ge förslag till effektiv styrning av utveckling, införande och förvaltning av nationella digitala tjänster.
Utredaren ska enligt samma uppdrag, med utgångspunkt i de nationella digitala tjänsterna Mina meddelanden och Svensk e-legitimation, analysera tjänsterna och lämna förslag till utformning av:
– organisering och ansvarsfördelning för de nationella digitala tjänsterna,
– åtgärder och incitament för att uppnå en ökad användning av de nationella digitala tjänsterna, och
– samverkan mellan offentlig och privat sektor i tillhandahållandet av de nationella digitala tjänsterna.
Den senare utredningen har redan fått ett tilläggsuppdrag för att analysera om det vore bra att skapa en ny myndighet för att stärka digitaliseringen. Uppdraget inklusive eventuellt förslag om nya myndighetskonstruktioner ska redovisas i mars 2017(!).
Och det är här jag börjar fundera över hur regeringen ska få ihop digitalisering och informationssäkerhet. Nu finns ju ett utmärkt tillfälle att lyckas och det vore, tror jag, fatalt om detta tillfälle inte tas.
Låt mig understryka att jag tycker det är väldigt bra att regeringen visar handlingskraft i digitaliseringen och att en ny myndighet mycket väl kan vara vägen framåt. Men jag ställer mig tveksam till tidsschemat och till samordningen av de olika utredningarna. Min personliga riskanalys tyder på att risken att informationssäkerhet och integritet inte kommer att få den tyngd som är nödvändig för ett långsiktigt bra resultat är överhängande.
Vi har alltså en utredning som ska bedöma de rättsliga förutsättningarna för digital samverkan som ska redovisa i mars 2018 medan en annan utredning ett år före de rättsliga förutsättningarna är klarlagda ska komma med färdiga organisatoriska förslag. Till ytter mera visso ska utredningen om de rättsliga förutsättningarna ta hänsyn till en strategi alternativt flera strategier som ännu inte finns i sinnevärlden men som ska hantera följande:
Det förändrade omvärldsläget gör att samhällets behov av informations- och cybersäkerhet har ökat påtagligt. Digitaliseringen i samhället har bl.a. inneburit nya former av kommunikation, datahantering och datalagring, vilket medfört nya risker och sårbarheter. För att den digitala utvecklingen ska kunna fortsätta på ett säkert sätt behöver alla aktörer, såväl privata som offentliga, mer aktivt arbeta med informations och cybersäkerhet. Regeringen avser därför att utarbeta en nationell strategi som omhändertar olika perspektiv för att kunna identifiera och möta utmaningar mot samhällets informations- och cybersäkerhet. Det är också av central betydelse att genomföra EU-direktivet om åtgärder för en hög gemensam nivå av säkerhet i nätverk och informationssystem (NIS-direktivet). Direktivet innebär bl.a. högre krav på enskilda aktörer som bedriver samhällsviktig verksamhet och som är beroende av informationssystem. Direktivet innehåller också skyldigheter för varje medlemsstat att anta en nationell strategi för ökad säkerhet i nätverk och informationssystem.
Exakt hur strategin/strategierna ska tas fram och vad de ska innehålla är för mig litet oklart eftersom den enda mer officiella beskrivningen jag hittat finns i budgetpropositionen. Men strategin/strategierna ska alltså, så vitt jag förstår, ta ut riktningen i allt från höjd beredskap till den effektivitetsinriktade vardagliga digitaliseringen, från kommunikationsinfrastuktur till ”informationssystem”. Som sagt en omfattande uppgift som påtagligt rör åtminstone fyra departement. Däremot omnämns inte den kanske mest påtagliga kravställaren på informationssäkerhetsåtgärder i närtid; dataskyddsförordningen. Med risk för att upprepa mig så sker detta samtidigt som Integritetskommittén lagt fram ett delbetänkande som borde föranleda en stark oro även hos regeringen angående de brister som uppdagats i olika sektorer då det gäller hanteringen av personuppgifter.
I det här sammanhanget är det mest anmärkningsvärda med strategin/strategierna som tycks vara i det allra första fasen av sin tillblivelse ändå ska tjäna som underlag för ett förslag som ska läggas fram om drygt ett år. Och om strategin är på samma nivå som strategier av denna typ plägar vara – ger den verkligen utredningen rätt underlag för frågeställningarna? Är det inte mer konkretiserade inriktningar som skulle behövas, d.v.s. strategins uttolkning?
Och så har vi ju förslaget till ny säkerhetsskyddslag som ligger och lurar i vassen…
Om vi dessutom plussar på med att regeringen trycker på i den näringslivsstödjande inriktningen Öppna data så är mångfalden av delvis disparata krav som ställs på den offentliga informationshanteringen överväldigande.
Som betraktare utanför departementen förfaller behovet av en samordnad plan lika överväldigande. En alternativ turordning till ovanstående skulle vara att göra en inledande utredning med uppdrag att redovisa en sammantagen bild av förutsättningarna för digitaliseringen innan man utreder hur den ska organiseras nationellt. I förutsättningar räknar jag då in kraven på informationssäkerhet i olika riktningar, t.ex. cybersäkerhet men i lika hög grad som stöd för att skydda den personligheten enligt dataskyddsförordningen eller för att ge informationen den riktighet och spårbarhet som krävs för öppna data. För att det här ska fungera skulle det vara lämpligt att regeringen inte bara initierade en utredning för att kartlägga de rättsliga förutsättningarna. Även en som kartlade och analyserade behovet av informationssäkerhet för att stödja digitaliseringen skulle behövas som underlag för en informations- och cybersäkerhetsstrategi.
Man kan ställa sig den berättigade frågan om det egentligen är så intressant hur departementen organiserar sitt inre liv. Just i det här fallet tycker jag det eftersom resultatet av vedermödorna ”drabbar” myndigheter, kommuner och landsting. En brist på samordning inom departementen leder till bristande samordning och svårigheter att prioritera hos de redan hårt pressade objekten för styrning. Kommunen säkerhetssamordnare får därmed i skarp drift försöka reda ut den samordning som departementen misslyckats med. Ökade kostnader, ineffektivitet och sämre säkerhet är en ganska realistisk konsekvens.
Digitalisering förknippas ju ofta med innovation och nytänkande. Den, i mitt tycke, fragmentiserade utredningsordningen riskerar leda till att större sammanhang inte upptäcks och att den nyorientering i organisationsfrågor som skulle behövas nog inte kommer att ske. Jag har till exempel tidigare efterlyst att informationssäkerhetsarbetet mer ska drivas av de aktörer som har ett verksamhetsbehov av god säkerhet. Det skulle bland annat vara de stora tillhandahållarna av digitaliserade tjänster liksom de som tillhandahåller e-hälsa som behöver ta krafttag om de ska infria dataskyddsförordningen, OECD:s inriktning m.m. En tänkbar lösning skulle vara att lyfta över samordningen av det informationssäkerhetsarbete som inte gäller civilt försvar till en ny digitaliseringsmyndighet. Då skulle en organisatorisk samordning uppstå på nationell nivå som skulle förenkla för kommunen som ska försöka styra sin informationshantering så att den både är effektiv och säker.