Datum: 2022-03-21
8-1385712
12021/03265
Skatteverket avstyrker nedanstående.
Skatteverket anser att det finns ett starkt incitament att it-driften i så hög utsträckning som möjligt samordnas för att få den både robust och kostnadseffektiv. Skatteverket anser att en samordnad statlig it-drift kommer kräva en nationell och robust infrastruktur som utgår från upprätthållandet av Sveriges suveränitet varför Program 2032 måste genomföras.
Skatteverket förordar att den frivilliga samverkan som finns i SITSSAM och Program 2032 utökas. Den samordnande myndighetens roll bör begränsas till att vara i form av ett samordnande kansli.
Skatteverket anser att totalförsvarets behov måste vara överordnad kostnadseffektiviteten.
Skatteverket förordar att it-drift ska kunna omfatta säkerhetsskyddsklassificerade uppgifter.
It-drift är, som utredningen konstaterade redan i delbetänkandet (SOU 2021:1), ett begrepp utan fastlagd definition och måste därför förstås utifrån kontext. För att tydliggöra Skatteverkets remissvar görs därför inledningsvis en analogi till it-drift i form av motorvägar, fordon och resande.
Nederst i analogin finns motorvägar. Motorvägar är kostsamma att anlägga, binder upp kapital under lång tid, tar lång tid att bygga, byggs endast av staten i form av Trafikverket, präglas av låg innovationstakt, har ett nationellt perspektiv samt är i princip likgiltig inför vilka fordon som färdas på motorvägen samt vilka som åker i fordonen. Jämförelsen här är att samordnad statlig it-drift kommer kräva en långsiktig planering och investering i datacenter, elförsörjning och fiber som måste finnas över hela Sverige samt är tillräckligt robust för att klara av normaldrift, kris, krig och en återuppbyggnad av Sverige efter krig. Infrastrukturen är densamma oavsett vilka applikationer som körs samt vilken data som lagras och bearbetas.
Därefter kommer fordon. Fordon tillverkas av många privata företag, präglas av relativt hög innovationstakt, tar inte så lång tid att bygga, har ett begränsat perspektiv samt är relativt likgiltig till både motorvägarna och passagerarna i fordonet. Jämförelsen här är att applikationer och it-system ofta utvecklas av privata företag, är snabbrörliga, relativt lätta att byta ut samt är likgiltiga till den underliggande infrastrukturen.
Sist kommer resenärerna, det är dessa som åtnjuter nyttan med motorvägarna och fordonen eftersom de kan resa från punkt A till punkt B. Resenärerna behöver motorvägar och fordon så att de kan resa säkert och effektivt. Jämförelsen här är att resenärerna är anställda i statsförvaltningen samt medborgare som har kontakt med statsförvaltningen. Ur ett digitaliseringsperspektiv är det hos resenärerna nyttan uppstår och det är deras upplevelse och effektivitet som är det väsentliga. Utan bra applikationer samt robust infrastruktur blir det svårt att få en effektiv och säker digitalisering.
Utgångspunkten för en samordnad statlig it-drift bör vara en nationell infrastruktur, precis som analogin med motorvägar, där Sverige i normalläge har tillräcklig flexibilitet och innovationsförmåga för att möjliggöra regeringens ambitioner med att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Detta samtidigt som Sverige ska ha rådighet och ett robust civilt försvar vid kris och krig. Digitaliseringen, omvärldsläget och rättsutvecklingen leder till att kraven på säkerhet, robusthet och lagefterlevnad i myndigheters it-miljöer ser helt annorlunda ut än för ett antal år sedan varför statsförvaltningens it-drift behöver anpassas till rådande läge.
Kostnaderna för en samordnad statlig it-drift ökar inte linjärt med antal anslutna myndigheter utan istället blir it-driften kostnadseffektivare desto fler myndigheter som är anslutna. En anledning till detta är att kraven på säkerhet och robusthet kommer vara på en mycket hög nivå även vid relativt låg anslutningsgrad. Vartefter befintliga, ofta ineffektiva, datacenter rationaliseras bort minskar statsförvaltningens elförbrukning och kostnader samtidigt som säkerheten höjs. Ett annat perspektiv är att det råder brist i Sverige på erfarna individer gällande it-säkerhet, fysisk säkerhet och storskalig it-drift. Skatteverket anser att det finns ett starkt incitament att it-driften i så hög utsträckning som möjligt samordnas för att få den både robust och kostnadseffektiv.
SITSSAM (kapitel 7.4.1) och Program 2032 (kapitel 7.4.2) bygger på frivillig samverkan samt syftar till att både skapa en samordnad statlig it-drift och en robust infrastruktur. Skatteverket anser att denna modell bör bevaras och utökas istället för att skapa en ny modell (kapitel 11.2) som inte hanterar utmaningen med geografisk placering och fysisk infrastruktur.
Skatteverket förordar en modifierad modell i förhållande till utredningen där den samordnande myndigheten är mer av ett kansli, liknande nyligen inrättade Nationellt cybersäkerhetscenter (NCSC) (kapitel 11.3.1). Kopplat till den samordnande myndighetens kansli finns leverantörsmyndigheterna och expertmyndigheterna. På så sätt byggs det upp en samlad kompetens som arbetar i samverkan för att skapa en robust, kostnadseffektiv och långsiktigt hållbar samordnad statlig it-drift. Denna modell skulle bygga vidare på SITSSAM som redan är en etablerad samverkansform och där alla föreslagna leverantörsmyndigheter ingår vilket skulle spara tid samt undvika onödig fiktion.
Utredningens förslag att samordnande myndighet på egen hand ska stödja en myndighet i val av it-driftsform samt analysera myndighetens behov av it-driftstjänster innebär att leverantörsmyndigheterna involveras för sent i processen (kapitel 11.3.1). För att en samverkan kring it-drift ska fungera väl krävs att leverantörsmyndighet och anslutande myndighet har en samsyn om hur samverkan ska genomföras innan överenskommelse träffas.
Ett kansli hos den samordnande myndigheten tillsammans med leverantörsmyndigheterna innebär att utredningens förslag med ett leverantörsråd blir överflödigt samt att expertmyndigheterna samråder med alla parter utan mellanhand (kapitel 11.4.2).
Skatteverket avstyrker förslaget med ett myndighetsråd eftersom det skulle skapa en gråzon mellan den samordnande myndighetens och leverantörsmyndighetens ansvar (kapitel 11.4.2). Frågor som rör samverkansrelationen bör istället hanteras direkt mellan leverantörsmyndighet och ansluten myndighet.
Skatteverkets erfarenhet är att vid helhetsåtaganden brukar applikationsförvaltning och applikationsutveckling behövas varför Skatteverket anser att även dessa tjänster ska kunna ingå. Utredningens förslag kring it-tjänster är således alltför begränsat (5 §).
Definitionen av myndighet i 3 § är, enligt Skatteverket, en onödig avgränsning vilket innebär att de namngivna myndigheterna förhindras att ansluta sig till tjänster i form av t.ex. golvyta eller säkerhetsbur inuti datacenter (avsnitt 2.7 nedan). Skatteverket föreslår därför att 3 § utgår i sin helhet.
Skatteverket vill understryka behovet av att leverantörsmyndigheter får täckning för alla kostnader för exempelvis uppbyggnad av leveransförmåga, personal, säkerhet, utveckling, hårdvara, programvara och förberedelser för att kunna ta emot en anslutande myndighet så att det finns en tydlighet i hur leverantörsmyndighetens verksamhet ska finansieras.
Skatteverket anser att frågan om hur utveckling av it-tjänster ska finansieras, upphandlas och utvecklas inte bör vara fastslagen på förhand. Det är lämpligare att detta sker dynamiskt över tid och beroende på behov och säkerhetsläget. Precis som med den inledande analogin, att fordon kommer variera över tid och fylla olika behov, kommer it-tjänster att variera över tid samt i hög grad levereras av privata leverantörer till leverantörsmyndigheter för att användas i den stadiga infrastrukturen (motorvägarna).
Skatteverket noterar i kapitel 3, 10 och 12 att utredningen har förståelse för totalförsvarets behov.
Kapitel 3.3.4: En annan fråga som behöver beaktas med tanke på den ökade digitalisenngen är att det behöver finnas en robusthet och redundans i samordnad statlig it-drift samt att samhällsviktiga grunddata behöver säkras även under svåra förhållanden eller krig.
Kapitel 10.6.1: Säker it-drift och en samordnad statlig it-drift har en central roll i ett stärkt civilt försvar. I samband med inrättandet av varaktiga former för samordnad statlig it-drift bör ställning tas till den samordnade statliga it-driftens roll i organisationen för civilt försvan
Kapitel 12.3: Det är dock viktigt att poängtera att besparingar enligt vår uppfattning inte bör vara det huvudsakliga argumentet för att inrätta varaktiga former för samordnad statlig it-drift. Ökad säkerhet inom statsförvaltningen bör vara överordnat, därefter behöver man säkerställa att den samordnade statliga it-driften kan erbjuda så kostnadseffektiva lösningar som möjligt.
Skatteverket anser därför att det är en brist att kapitel 11 bortser från totalförsvaret. Säkerheten inom statsförvaltningen måste vara överordnad kostnadseffektiviteten.
Utredningen har valt att avvika från sitt direktiv gällande att utreda risker med centralisering av statsförvaltningens it-drift, geografisk placering och fysiskt skydd av datacenter, potentiell exponering av myndigheters information mot andra länders rättsordningar samt risken för att informationen görs åtkomlig för obehöriga (kapitel 2.4.1). Skatteverket anser, precis som med analogin gällande motorvägar, att en samordnad stadig it-drift kommer att kräva en nationell och robust infrastruktur som utgår från upprätthållandet av Sveriges suveränitet. Skatteverket anser därför att Program 2032 måste genomföras.
I enlighet med den inledande analogin anser Skatteverket att den fysiska infrastrukturen ska vara stadig, samordnad och en del av totalförsvaret. Den innovation som finns i det privata näringslivet finns primärt i utvecklingen av applikationer och där bör staten endast vid behov utveckla egna applikationer. Applikationerna driftas sedan ovanpå den stadiga infrastrukturen. Detta är en skärning som står i motsats till utredningens förslag där viss it-drift ska vara statlig och viss it-drift ska skötas av privata leverantörer. Skatteverket förordar en modell där it-drift definieras i lager istället för stuprör'.
Skatteverket förordar att Säkerhetspolisen ska vara samrådande i frågor som avser säkerhetsskydd istället för Försvarsmakten (kapitel 11.10.3). Samtliga myndigheter som föreslagits vara leverantörsmyndigheter har Säkerhetspolisen som tillsynsmyndighet och Säkerhetspolisen är även stöd och expertmyndighet enligt utredningens förslag.
Skatteverket ifrågasätter om det är lämpligt att nyckelindikatorer avseende säkerhet ska hanteras av Ekonomistyrningsverket (kapitel 11.1). Genom lagen om informationssäkerhet för samhällsviktiga och digitala tjänster samt säkerhetsskyddslagen är Myndigheten för Samhällsskydd och Beredskap respektive Säkerhetspolisen tillsynsmyndigheter för statlig verksamhet som uppnår sarnhällsviktig eller säkerhetskänslig status. Uppdraget att ta fram nyckelindikatorer bör således ingå i befintliga tillsynsuppdrag.
En myndighet som väljer att upphandla it-drift från en privat leverantör behöver göra motsvarande analys som föreslås för de som ansluter till den föreslagna samordnade statliga it-driften (kapitel 11.8). Vid realisering av utredningens förslag om samordnade upphandlingar är risken stor att enskilda privata leverantörer kan komma att hantera stora informationsmängder från olika myndigheter. Statsförvaltningen och enskilda myndigheter kommer i praktiken ha små möjligheter att identifiera sådana förhållanden och därmed göra en bedömning av lämpligheten i anlitandet.
Om möjligheten att erbjuda it-drift för säkerhetsskyddsldassificerade uppgifter inte får erbjudas kommer många myndigheter att behöva egen it-drift för dessa uppgifter, samtidigt som utredningen konstaterar att säkerhetsnivån i många fall är för låg. Ett sådant förslag riskerar att leda till både högre kostnader och lägre säkerhet.
Det finns idag endast enstaka lösningar för hantering av säkerhetsskyddsldassificerade uppgifter men dessa är inte lämpliga för storskalig it-drift med många myndigheter i samma infrastruktur. Som en konsekvens av MUST:s nuvarande uppdrag, att tillhandahålla av Försvarsmakten godkända kryptografiska lösningar, är framtagandet av en lämplig lösning mycket svår med hänvisning till de krav som ställs i rådande säkerhetsskyddslagstiftning avseende kryptografiska lösningar för behandling av säkerhetsskyddsldassificerade uppgifter. För att möta detta behov från de civila myndigheterna anser Skatteverket att MUST:s uppdrag bör breddas till att inkludera de civila myndigheternas behov vid framtagande och ackreditering av godkända kryptografiska lösningar.
Oaktat säkerhetsskyddsldassificerade uppgifter bedömer Skatteverket att en aggregering av flera myndigheters informationstillgångar hos en leverantörsmyndighet sannolikt kommer leda till att informationssamlingen faller inom ramen för säkerhetsskyddslagen (kapitel 11.6).
Skatteverket anser att frågan om sekretess för de uppgifter som kommer att förekomma hos myndigheter med anledning av deras deltagande i den samordnade statliga it-driften behöver analyseras vidare. Det kommer att skapas nya informationsmängder hos myndigheterna oavsett i vilken roll deltagandet sker. Hos den samordnande myndigheten kommer det att skapas en särskild koncentration av uppgifter om den samordnade statliga it-driften, och viss koncentration kommer även att skapas hos leverantörsmyndigheterna. I det fall ställning tas till att den samordnade statliga it-driften är en del av det civila försvaret aktualiseras tillämpning av bestämmelsen i 15 kap. 2 § offentlighets- och sekretesslagen (OSL). I övrigt är det enligt Skatteverkets bedömning främst tillämpningen av 18 kap. 8 § OSL som kan aktualiseras i förhållande till den typ av uppgifter som kommer att förekomma inom den samordnade statliga it-driften. Det är dock oklart om dessa bestämmelser eller övrig sekretessreglering erbjuder ett fullgott skydd. Karaktären av aktuella uppgifter tillsammans med koncentrationen av information har ett särskilt skyddsvärde ur ett samhällsperspektiv. Mot den bakgrunden anser Skatteverket att uppgifterna ska skyddas med stark sekretess.
Skatteverket har inget att erinra mot utredningens förslag att i den föreslagna förordningen om samordnad statlig it-drift (den föreslagna förordningen) reglera en leverantörsmyndighets personuppgiftsbehandling för en ansluten myndighets räkning, när den anslutna myndigheten är personuppgiftsansvarig och leverantörsmyndigheten personuppgiftsbiträde (kapitel 11.7). Skatteverket anser dock att även det skriftliga förhandstillståndet som krävs enligt artikel 28.2 EU:s dataskyddsförordning när det gäller personuppgiftsbiträdets möjlighet att anlita ett annat personuppgiftsbiträde (underbiträdesförhållande), ska regleras på så sätt att ett sådant tillstånd ska framgå av den överenskommelse som en anslutande myndighet ska ingå med en leverantörsmyndighet enligt 12 § den föreslagna förordningen. Även personuppgiftsbiträdets skyldighet att informera den personuppgiftsansvariga om planer på att anlita eller ersätta ett annat personuppgiftsbiträde när ett allmänt förhandstillstånd har getts, bör regleras i den föreslagna förordningen. Det är Skatteverkets uppfattning att underbiträdesförhållanden kommer att aktualiseras i det samordnade statliga tjänsteutbudet och att det därför är relevant utifrån syftet att få en mer komplett reglering i den föreslagna förordningen att reglera även de krav som är förenade med sådana biträdesförhållanden.
Skatteverket anser att kraven bör regleras i en egen paragraf under rubriken Behandling av personuppgifteri den föreslagna förordningen. Skatteverket föreslår att paragrafen får följande lydelse.
En leverantörsmyndighet som behandlar uppgifter på uppdrag av en anslutande myndighet inom ramen för det statliga samordnade Onsteutbudet får inte utan ett särskilt eller allmänt sknftligt forhandstillstånd från den anslutande myndigheten anlita ett annat personuppgftsbiträde. Ett särskilt eller allmänt förhandstillstånd från den anslutande myndigheten ska anges i den skriftliga överenskommelse som ska ingås enligt 125.
Om den anslutande myndigheten har gett ett allmänt tillstånd ska leverantörsmyndigheten informera den anslutande myndigheten om eventuella planer på att anlita nya personuppgiftsbiträden eller ersätta personuppgiftsbiträden så att den anslutande myndigheten har möjlighet att göra invändningar mot sådana förändringar.
Skatteverket anser att det finns stor sannolikhet för en ökad hotbild och risk för otillåten påverkan mot tjänstemän hos den samordnande myndigheten mot bakgrund av den information de kommer att besitta med anledning av den samordnade statliga it-driften. Denna problematik är också aktuell vad gäller leverantörsmyndigheterna. Frågan om befintlig sekretessreglering innebär ett tillräckligt skydd för uppgifter om personalen vid dessa myndigheter behöver analyseras vidare.
Skatteverket föreslår som en åtgärd i syfte att öka den samordnande myndighetens möjlighet att skydda uppgifter om personalen att ett tillägg görs i 10 § offentlighets- och sekretessförordningen (OSF), att sekretess gäller i personaladministrativ verksamhet hos den myndigheten för uppgift om personnummer och födelsedatum, om det inte står klart att uppgiften kan röjas utan att den enskilde eller någon närstående lider men. En möjlighet finns att, i likhet med vad som gäller för Trafikverket enligt 10 § OSF, specificera en viss kategori av personal som ska omfattas av bestämmelsen utifrån de uppgifter som personalen har att utföra. I det vidare arbetet bör på samma sätt övervägas ett tillägg i 10 § OSF vad gäller de leverantörsmyndigheter som inte redan omfattas av bestämmelsen.
Skatteverket delar utredningens bedömning att den statliga it-driften ska regleras genom en förordning om samordnad statlig it-drift (den föreslagna förordningen) och att berörda myndigheters instruktioner ska kompletteras med hänvisningar till den föreslagna förordningen. Skatteverket har vidare inget att erinra mot utredningens förslag om förordning om ändring i förordning med instruktion för Skatteverket (Skatteverkets instruktion). Skatteverket anser dock att en översyn av 15 § Skatteverkets instruktion bör göras för det fall att utredningens förslag i detta sammanhang genomförs. Motsvarande bestämmelse finns i 8 5 förordning med instruktion för Kronofogdemyndigheten (Kronofogdemyndighetens instruktion) och bör inkluderas i översynen. Av nämnda bestämmelser framgår att Skatteverket tillsammans med Kronofogdemyndigheten ska bestämma den gemensamma utvecklingen och användningen av administrativt och tekniskt stöd inom Skatteverket. I översynen bör ställning tas till om hela eller delar av det stöd som avses i bestämmelserna ryms inom det samordnade statliga tjänsteutbudet och därmed den föreslagna bestämmelsen i 15 b § förordning om ändring i förordning med instruktion för Skatteverket samt den föreslagna förordningen. För det fall hela eller delar av stödet ryms inom det samordnade statliga tjänsteutbudet finns ett behov att ändra eller upphäva 15 § Skatteverkets instruktion respektive 8 § Kronofogdemyndighetens instruktion.
Skatteverket ställer sig positiv till att bli leverantörsmyndighet. Över tid kommer detta innebära att Skatteverket behöver göra investeringar i till exempel uppbyggnad av leveransförmåga, personal, säkerhet, utveckling, hårdvara, programvara och förberedelser för att kunna ta emot en anslutande myndighet.
Samtidigt utvecklas Skatteverket som myndighet redan idag genom att leverera it-drift till andra myndigheter. Sammantaget bedömer Skatteverket att det blir både högre säkerhet och kostnadseffektivitet i förvaltningen som helhet än om alla myndigheter på egen hand hanterar sin it-drift och säkerhet.
För att kunna hantera totalförsvarets behov och de höga skyddsvärden som kommer med uppgiften att vara leverantörsmyndighet kommer Skatteverket behöva att robust infrastruktur i form av att Program 2032 samt en samverkande leverantörsförmåga, lämpligen i form av SITSSAM, genomförs. Om Program 2032 inte genomförs ser Skatteverket stora risker för Sveriges suveränitet, myndigheters säkerhet samt Skatteverkets förmåga att uppfylla de krav som ställs på en leverantörsmyndighet.
Vill du lära dig mer om skatter och företagande? Ta då chansen och möt oss online på våra direktsända webbseminarier. Det är kostnadsfritt och du kan ställa frågor och få svar i en chatt.