En alltför optimistisk tidplan. Det hör till förklaringarna till den numera riksbekanta säkerhetsluckan som uppstod efter Transportstyrelsens IT-upphandling då sekretessbelagd information hanterades på ett sätt som strider mot svensk lag.
Thomas Bull, justitieråd i Högsta förvaltningsdomstolen, har på regeringens uppdrag granskat upphandlingen. Han slår fast att tidplanen för överlämnandet av IT-driften från Trafikverket till IBM var alltför snäv.
Trots projektets storlek skulle driftstart ske 16 månader efter att beslutet om att gå ut i en extern upphandling fattades. Det visar sig att Transportstyrelsen just vid detta tillfälle också hade flera andra stora förändringsprojekt på gång, bland annat stordatormigrering, vilket satte press på resurserna.
Viss styrkemätning vid valet av upphandlingsförfarande blir tydlig i den 250 sidor omfångsrika granskningen. Projektgruppen förordar konkurrenspräglad dialog medan inköpsenheten ville se ett förhandlat förfarande, vilket det så småningom också blev.
Detta eftersom erfarenheterna av konkurrenspräglad dialog var obefintliga inom organisationen. Metoden också bedömdes som mer tidskrävande och riskfylld än förhandlat förfarande. Alternativet avrop på Statens inköpscentrals ramavtal var också uppe till diskussion.
Utöver tidsoptimismen anser Thomas Bull att upphandlingen i sig har genomförts på ett bra sätt. Organisationen kring den var dock komplex och utgjorde ett hinder för effektiv kommunikation.
Jonas Bjelfvenstam, nuvarande generaldirektör för Transportstyrelsen:
– Vi är angelägna om att få ta del av utredningen. Jag och myndigheten tar det som har hänt på största allvar och kommer att arbeta vidare med utredningens slutsatser.
Det framgår också att myndighetens arbete med informationssäkerhet sedan lång tid tillbaka var eftersatt. Säkerhetsfunktionerna var utspridda i organisationen och tillräcklig samordning saknades.
Dokumentation och analys av befintlig information i IT-systemen var bristfällig. Kännedomen kring hur pass känslig information som faktiskt hanterades inom myndigheten beskrivs som, kort och gott, skral.
Ansvarsfrågan, då? Den faller på myndighetens ledning.
Ta klivet och bli kvalificerad IT-upphandlare
Märkligt. Det finns företag med mycket stor erfarenhet av kpd. Varför har man inte hyrt in en expert från dem?
Det besynnerliga är, hur lyckas man göra så Mycket fel i en upphandling där förutsättningarna för att få ett kontrakt är, vad jag kan förstå, minutsiöst reglerade. ”Kickar” den ansvarige gör man förstås, men de andra då???