Digitalisering i offentlig sektor
Norske personopplysninger bør lagres i Norge - og ikke på amerikanske servere, mener dataingeniøren
Det er naivt å undervurdere risikoen ved å sende dataene fra seg til internasjonale skytjenester for å spare penger, sier dataingeniør og NTL-tillitsvalgt Morten-Christian Bernson.
EIERSKAPET ER VIKTIGST: – Det er ikke så viktig hvor serverne står, det som er mye viktigere er hvem som eier dem, sier NTLer og dataingeniør Morten-Christian Bernson. Han mener at Norge bør drifte egne skytjenester. Her blant Universitetet i Bergens egne servere.
Ole Palmstrøm
may.berg@lomedia.no
Digitalisering i offentlig sektor var hovedtema for NTL-konferansen i mars. Bernson, senioringeniør ved Universitetet i Bergen, var en av deltakerne på konferansen.
Som NTL-tillitsvalgt og fagmann på IT-området, er han kritisk til regjeringens iver etter å outsource IT-tjenester og ta i bruk såkalte «skytjenester», det vil si datalagring på servere i utlandet, drevet av store teknologiselskaper som Microsoft.
Han mener politikere og statlige ledere undervurderer viktigheten av å ha kontroll på sine egne data.
– Alt skal i skyen
– Regjeringen har en politikk på at alt som kan gå i sky skal gå i sky. I stedet for å drive med interne ressurser og ha kontroll på dataene og tjenestene, leverer man alt over til amerikanske selskaper og tegner juridiske kontrakter som skal veie opp for risikoen man tar, sier Bernson til NTL-magasinet når vi besøker ham på arbeidsplassen i Bergen.
ph
En tillitsvalgt i Fagforbundet var på NTL-konferansen for å dele erfaringene fra skandalen i Helse Sør-Øst, hvor pasientdata til nesten tre millioner nordmenn havnet på avveie.
Prosjektet, som skulle modernisere sykehusenes IT-system, ble skrinlagt etter at alle advarslene om at outsourcing til utlandet ville utgjøre en trussel mot pasientsikkerheten, slo til.
Bernson mener at saken fra Helse Sør-Øst er et skoleeksempel som offentlige ledere bør ta lærdom av når det gjelder å prioritere datasikkerhet. Han mener de bør lytte til advarslene fra egne fagfolk. Men fagfolkene, som har kunnskapen, blir sjelden hørt.
– Fagfolkene blir ikke lyttet til
– Det var det som var saken i Helse Sør-Øst. Fagfolkene kom med innvendinger som ikke ble lyttet til. De som var involvert i beslutningene, var jurister og direktører.
Bernson sier han ser noen av de samme utfordringene på sin arbeidsplass. Han er senioringeniør med ansvar for alt som har med lagring og backup ved Universitetet i Bergen å gjøre. Likevel har han i liten grad blitt involvert i prosesser som handler om skylagring.
– Når tjenestene drives internt, har fagfolkene detaljkunnskapen, de har en hånd på rattet og kan påvirke beslutningene. Men når det kommer til avgjørelsene om hva som skal legges i skyen, involveres ikke fagfolkene. Det er det bare sjefene som sysler med. Vi får beskjed etterpå om at sånn skal det gjøres – og ansvar for implementeringen.
Stikker hodet i sanden
Bernson etterlyser debatt og bevisstgjøring rundt hva skytjenester skal brukes til, hva som skal legges der og ikke minst hva som ikke skal legges i sky. Han mener at vurderingene rundt slike spørsmål i altfor stor grad overlates til den enkelte ansatte. Man vedtar et regelverk og overlater til den enkelte å se til at det håndheves.
Han viser til egen erfaring: de fleste universitetsansatte lagrer for enkelhets skyld sine opplysninger på eget hjemmeområde, også opplysninger som strengt tatt ikke burde ligge der, men i løsninger for sensitive data. Det er som regel ikke et kjempeproblem så lenge lagringen skjer internt og universitetets egne datafolk tar hånd om den. Men det blir et juridisk kjempeproblem når hjemmekatalogen flyttes til sky og sensitive opplysninger, som for eksempel forskningsdata, risikerer å eksponeres fordi forskere har lagret dataene feil.
ph
Bernson sier det blir feil å skylde på de ansatte når det går galt. Han kaller det strutsepolitikk fra ledelsens side.
– Dataene er som regel den viktigste kapitalen til en statlig virksomhet, eller for den saks skyld en privat bedrift. Jeg vil si det er naivt å sende dataene fra seg for å skulle – på papiret – spare penger.
Han mener det i realiteten er lite å spare hvis man tar backup (sikkerhetskopi) av dataene man flytter til skyen. Det er dyrt for kunden og bagatelliseres av selgerne, men det står i kontrakten at det er kundens ansvar å ta backup på samme måte som av andre data man lagrer lokalt.
– Det har jeg messet om i to år her på huset, men det var først da et stort IT-analyseselskap sa det samme at noen ville lytte. Så nå skal vi ta backup.
Saken fortsetter under bildet.
TILLITSVALGT OG TEKNOLOG: – Det er dataene vi lever av på et universitet. Mister vi dem, mister vi alt, sier Morten-Christian Bernson, som har ansvar for alt som angår lagring og back-up ved Universitetet i Bergen.
Ole Palmstrøm
Bundescloud – den tyske løsningen
Bernson mener at det er bedre om det offentlige lager sin egen sky. Han oppfordrer norske myndigheter om å se til Tyskland, som har svært streng personvernlovgivning.
Tyske myndigheter gjorde en grundig evaluering av skytjestene med tanke på eventuell lagring hos et av de store selskapene.
Microsoft designet en helt egen løsning basert på de strenge kravene, men tyske myndigheter mente til slutt at det likevel ikke var godt nok. De gikk for sin egen løsning, som de har kalt Bundescloud.
Bernson tror ikke nødvendigvis det ville bli ekstremt kostbart å designe en egen, offentlig skylagringstjeneste i Norge.
– Det er mye bedre enn å sende alle disse dataene og pengene ut av landet, til IT-selskaper som er de som betaler minst skatt i verden, sier Bernson.
Han stoler ikke på at det er trygt å lagre hos amerikanske selskaper, og viser til eksempler på at amerikanske myndigheter har brukt terrorlovgivning for å få innsyn i data som er lagret under amerikanske selskaper.
Bernson synes NTLs prinsipp- og handlingsprogram sier mye bra om digitalisering, og støtter NTLs politikk om at det er en kjerneoppgave for staten å forvalte egne IKT-løsninger og utvikle og drifte egne fagsystemer. Men han etterlyser konkrete initiativ.
– Hvordan har NTL tenkt å organisere det samarbeidet som Fagforbundet inviterte til på NTL-konferansen om å sikre kontroll over kritisk IT-struktur? Dette er spørsmål som må løftes opp på sentralt nivå. Det beste ville være om arbeidstakerorganisasjonene kjørte et felles løp, sier Bernson.
NTL bygger nettverk
På forbundskontoret til NTL er man i gang med å ta ned alle ballene som ble kastet opp i lufta på NTL-konferansen.
Fredrik Oftebro og Ellen Dalen, henholdsvis første og andre nestleder, sier at konferansen ga mange innspill i form av problemstillinger og forslag til løsninger som de skal jobbe videre med.
– Vi mener at spørsmålet om digital utvikling og skytjenester må baseres på en viktig premiss – at den norske staten skal behandle personopplysninger på en sikker og forsvarlig måte, sier Oftebro.
ph
– Vi har en helt annen inngang til problemstillingen enn regjeringen, nemlig at det finnes et alternativ til internasjonale markedsaktører. Det går an å videreutvikle systemene i egenregi, og det er mulig å utvikle nye funksjoner, slik som Tyskland gjør med sin statlige, nasjonale skytjeneste, sier Dalen.
Oftebro påpeker at Nav, etter noen IT-skandaler, har begynt å insource tjenester.
– De private har ikke klart å levere det som de statlige etatene trenger fordi de ikke har kunnskaper nok om det offentliges behov. Da må det offentlige gjøre noe i egen regi. Det har man gjort i skatteetaten, og det gjøres nå i Nav, sier Oftebro.
Saken fortsetter under bildet.
BYGGER NETTVERK: Fredrik Oftebro og Ellen Dalen, første og andre nestleder NTL.
May Berg
Mange teknologer i NTL
Det første som skal skje, er å samle kompetansen i et internt nettverk av IT-folk og tillitsvalgte. Til forskjell fra i privat sektor, organiserer teknologene i offentlig sektor seg, og NTL har mange IT-folk blant sine medlemmer. Altså har forbundet faglige ressurser å lene seg på når de utformer politikken sin på dette området.
Tillitsvalgte og teknologer skal jobbe sammen for å kartlegge status i de enkelte virksomhetene, og bidra til strategier for både lokal medbestemmelse og overordnet politisk påvirkning.
– Det er veldig mange virksomheter som drifter og utvikler egne systemer, og det går veldig bra. Likevel ser vi at presset for å gå over til private løsninger er veldig stort. Dette er en felles problemstilling som vi må jobbe sammen om, slik at ikke den enkelte tillitsvalgte må ta den kampen som er grunnet i et overordnet politisk press om å privatisere, sier Oftebro.
– Tillitsvalgte blir møtt med veldig mange påstander, som at det ikke finnes kompetanse i de offentlige virksomhetene, eller at det er for dyrt, slik at vi må bruke private leverandører. I mange tilfeller stemmer ikke dette. Vi må bruke teknologene i våre egne rekker til å gi oss input om hva som er mulig og hva som ikke er mulig; hva som er politikk og hva som er reelle teknologiske og økonomiske begrensninger, sier Dalen.
Privatisering
Hun konstaterer at drivet mot privatisering når det gjelder digitalisering ikke skiller seg veldig fra annen offentlig styring med denne regjeringen, uavhengig av om det blir dyrere eller av om sikkerheten er godt nok ivaretatt.
– Nettverket er også tenkt som et sted å utveksle erfaringer og hjelpe hverandre når de kommer inn i slike prosesser. Det er medlemmene og tillitsvalgte i virksomhetene som har spisskompetansen innenfor digitalisering. Vi må ta i bruk kunnskapen i hele organisasjonen for å svare på alle spørsmålene tillitsvalgte har innenfor dette området, påpeker Oftebro
– Så har Fagforbundet invitert oss med på et samarbeid overfor myndighetene når det gjelder offentlige IT-tjenester. Det er en invitasjon vi har tenkt å følge opp, sier Oftebro.
Medbestemmelse gjelder her også
Dalen og Oftebro er tydelige på at medbestemmelse etter Hovedavtalen i staten også gjelder innen IT-området. Men arbeidsgiverne lokalt argumenterer ofte med at sakene er for komplekse og må overlates til eksperter, eller at det handler om kjøp av tjenester.
– Men vi mener at det dreier seg om organisatorisk og virksomhetsmessig utvikling og at det helt åpenbart er innenfor det vi har medbestemmelse på. Det er ikke bare kjøp av programvare. Det handler om hvordan offentlige virksomheter skal utvikle seg og hvilke tjenester som ytes befolkningen, sier Oftebro.
ph
– Hvordan skal dere få til mer medbestemmelse på dette området?
– Tillitsvalgte i virksomhetene må kreve medbestemmelse. Vi må se samtidig se om vi opplever at staten som arbeidsgiver er flink nok til å sende ut de riktige signalene til virksomhetene.
Den gode, gamle tillitsvalgtrollen
– Egentlig er det ikke så mye hokus-pokus; det er den gode, gamle tillitsvalgtrollen også her. Men det er krevende for tillitsvalgte å stå i rollen som en av de viktigste bolverkene mot privatisering og vi håper at vi gjennom samarbeid og videre erfaringsutvekslinger klarer å styrke oss ute på virksomhetene. Konsekvenser for de ansatte, tjenestene og økonomien må ligge til grunn for vedtak slik at endringer ikke blir gjort på grunnlag av blind ideologi men for reelle forbedringer av forvaltningen, sier Dalen.
Det er naivt å sende dataene fra seg for å skulle – på papiret – spare penger. Morten-Christian Bernson, dataingeniør og NTL-tillitsvalgt
Dette er en sak fra
Vi skriver om de ansatte i staten og virksomheter med statlig tilknytning.