Skriftlig spørsmål fra Kari Henriksen (A) til statsministeren

Dokument nr. 15:1424 (2016-2017)
Innlevert: 01.08.2017
Sendt: 01.08.2017
Rette vedkommende: Kommunal- og moderniseringsministeren
Besvart: 08.08.2017 av kommunal- og moderniseringsminister Jan Tore Sanner

Kari Henriksen (A)

Spørsmål

Kari Henriksen (A): Kan statsministeren gi en tilbakemelding på hva som er iverksatt av tiltak i alle departementer for å hindre slik outsourcing og er det andre departementer enn Helsedepartementet som har iverksatt outsourcing av data i sine virksomheter?

Begrunnelse

Vi har hatt en kritisk hendelse med hensyn til outsourcing av IKT tjenester i Helse-Sørøst for kort tid tilbake, med fare for at personsensitive data kunne bli lekket. I Sverige har det vært en liknende, alvorlig situasjon.

Jan Tore Sanner (H)

Svar

Jan Tore Sanner: Det viktigste tiltaket for å hindre at personsensitive data eller annen informasjon kommer på avveie, er det målrettede og systematiske arbeidet som gjøres med informasjonssikkerhet i hver enkelt virksomhet. Dette gjelder enten virksomheten utfører utvikling og drift av IKT selv, kjøper tjenester eller benytter ulike former for tjenesteutsetting (oursourcing).
Styrket arbeid med informasjonssikkerhet i statsforvaltningen
Økt digitalisering i offentlig sektor betyr at informasjonssikkerhet blir stadig viktigere. Derfor er alle virksomheter pålagt å ha internkontroll av informasjonssikkerhet. Det kan være krevende for virksomhetene å etablere slik kontroll. Som fagorgan for forebyggende IKT-sikkerhet i statsforvaltningen har Difi derfor utarbeidet en praktisk veileder i hvordan statlige virksomheter kan etablere og vedlikeholde systematisk internkontroll på informasjons-sikkerhetsområdet.
Virksomheter som vurderer tjenesteutsetting av sin IKT må kjenne sine egne IKT-systemer og de dataene de forvalter. Ikke all informasjon egner seg for tjenesteutsetting, og for enkelte typer informasjon setter regelverket begrensninger på hva man har lov til å gjøre. Gjennom-føring av risiko- og sårbarhetsanalyser er et viktig verktøy for å avdekke hvilke krav som må stilles til driften av IKT-systemene det er snakk om.
For IKT-systemer som inneholder gradert informasjon, gjelder sikkerhetsloven. Nasjonal sikkerhetsmyndighet (NSM) må godkjenne alle informasjonssystem som skal behandle, lagre eller sende slik informasjon.
For IKT-systemer som behandler personopplysninger, gjelder personopplysningsloven- og forskriften. Disse gjelder enten virksomheten selv drifter sine IKT-system, eller om systemene de er satt ut til andre. I utgangspunktet kan personopplysninger - også sensitiv personinformasjon - overføres til andre land, såfremt landet har et regelverk som kan sikre en forsvarlig behandling av opplysningene. Dette gjelder blant annet hele EØS-området.
Difis veiledningsmateriell omfatter blant annet risiko- og sårbarhetsanalyser. Jeg har fra i år også gitt Difi i oppdrag å tilby veiledning i IKT-anskaffelser med fokus på risiko og sikkerhet. Dette gjelder spesielt ved anskaffelse av skytjenester, en form for tjenesteutsetting som er i sterk vekst.
Mitt departement la i 2015 fram Handlingsplan for informasjonssikkerhet i statsforvaltningen 2015-2017. I tråd med tiltakene i Meld. St. 10 (2016-2017) om samfunnssikkerhet og Meld. St. 38 (2016-2017) om IKT-sikkerhet skal det framover utarbeides en ny strategi for IKT-sikkerhet og en revidert handlingsplan basert på den eksisterende planen.
Departementenes egenrapportering viser at arbeidet med informasjonssikkerhet har høy prioritet i alle sektorer. Samtidig er det viktig å skaffe bedre kunnskap om kvaliteten på arbeidet. Jeg har derfor fått tilslutning fra regjeringen til å evaluere statsforvaltningens arbeid med informasjonssikkerhet og hvordan prioriteringene i handlingsplanen for informasjons-sikkerhet er fulgt opp i virksomhetene. Rapporten skal være ferdig innen sommeren 2018.
Tjenesteutsetting i de ulike sektorene
Det er opp til den enkelte virksomhet å organisere sitt IKT-arbeid på en hensiktsmessig måte, og tjenesteutsetting er vanlig i alle sektorer og i alle typer virksomheter. Kommunal- og moderniseringsdepartementet har tidligere gjennomført undersøkelser om organiseringen av IKT-drift i offentlig sektor, og disse viser en klar tendens mot økt bruk av tjenesteutsetting.
Dette er i hovedsak en ønsket utvikling. Offentlig sektor bør i utgangspunktet ikke skjermes fra konkurranse fra private. Effektiv ressursbruk tilsier at en gitt tjeneste leveres av den mest effektive leverandøren, uavhengig av om den er privat eller offentlig. Det er opp til den enkelte virksomhet å gjøre forsvarlige disponeringer på dette området. Dette er også en ønsket utvikling i den forstand at samarbeid mellom offentlig sektor og private på IKT-området bidrar til å utvikle norske teknologibedrifter i Norge. I leverandørutviklingssamarbeidet mellom NHO, KS og Difi har IKT-prosjekter fått en stadig viktigere plass.
Våre undersøkelser viser at virksomhetene som har satt ut sine IKT-tjenester, oftest benytter nasjonale leverandører. Lov om offentlige anskaffelser regulerer anskaffelser av varer og tjenester. I henhold til dette regelverket er det i utgangspunktet ikke tillatt å avgrense tjenestekontrakter mot leverandører innenfor EØS-området, med mindre det gjelder løsninger av betydning for rikets sikkerhet.
Jeg vil understreke at det ikke er noe motsetningsforhold mellom informasjonssikkerhet og tjenesteutsetting. Det digitale sårbarhetsutvalget peker i sin rapport på at tjenesteutsetting (utvalget omtaler allmenne skytjenester spesielt) kan gi økt teknisk sikkerhet fordi leverandøren ofte har både bedre kompetanse og mer ressurser enn kunden. Jeg vil likevel understreke at det alltid er kunden -den offentlige virksomheten - som har ansvaret for at det stilles krav til informasjonssikkerhet og for å følge opp leverandøren etter at kontrakt er inngått.
Det viktigste vi kan gjøre for å forebygge uønskede hendelser innen offentlig IKT er å fortsette det viktige arbeidet med forebyggende informasjonssikkerhet. Vi må hele tiden vurdere om vi har de nødvendige virkemidlene for å forebygge og redusere risiko. Regjeringen vil derfor høsten 2017 oppnevne et IKT-sikkerhetsutvalg som skal utrede rettslig regulering på IKT-sikkerhetsområdet og organisering av ansvar.
Justis- og beredskapsdepartementet har det overordnede ansvaret for nasjonal, sivil IKT-sikkerhet. Mitt departement har et samordningsansvar og et særskilt ansvar for å arbeide for en styrket og mer helhetlig tilnærming til informasjonssikkerhet i statsforvaltningen. Jeg vil, sammen med justis- og beredskapsministeren, fortsette å prioritere arbeidet med forebyggende informasjonssikkerhet høyt i perioden som kommer.