Robusthet i den offentliga affären

Björn Bergström är tidigare styrelsemedlem och ordförande i SOI. Numera är han advokat och partner hos Ramberg Advikater. Här ger han sin syn på hur vi bör tänka när det kommer till säkerhetsaspekter i den offentliga upphandlingen, en fråga han även bedrivit utbildningar kring.

De senaste dagarnas händelser kring Apotekstjänst och ett antal regioner har väl inte undgått någon. Jag tänker inte recensera det, eftersom jag inte har tillräcklig information och det dessutom inte ankommer på mig att göra. Det hela sätter dock fingret på ett antal intressanta frågeställningar som rör både samhället i stort och den offentliga affären.
 
Myndigheten för samhällsskydd och beredskap (MSB) tog för drygt 4 år sedan fram en vägledning med rubriken ”Robusta upphandlingar”. Vägledningen tog sikte på frågan om hur en upphandlande myndighet kan tänka för att säkerställa just robusthet, eller annorlunda uttryckt – funktion över tid, i samband med att en offentlig upphandling genomförs. Frågan har, förutom de aktuella händelserna, aktualiserats mer och mer de senaste åren. Samhället har vaknat ur en slags dvala, där frågor om totalförsvar och krishantering återigen kommer på agendan. Det finns även en mer tydlig hotbild, där offentliga företrädare numera namnger olika nationer som utgör ett hot mot Sverige på olika sätt. Som ett resultat av detta fick vi i april i år en ny säkerhetsskyddslag. Den nya lagen har i allt väsentligt samma innebörd som den gamla, men med ett antal viktiga skillnader. Lagen pekar på ett tydligt sätt ut samhällsaktörer som sådana, som målgrupp för lagen oavsett om de tillhör det offentliga eller är privata företag. Det är så klart rimligt eftersom samhället idag är mer komplext än förr.
 
Säkerhetsskyddslagen innebär även en skyldighet för ett stort antal aktörer inom den offentliga sektorn att göra en säkerhetsskyddsanalys. Återigen är det inget direkt nytt, men som vanligt innebär en ny lag att fokus hamnar på det som kanske skulle ha genomförts även med den gamla lagen. Analysen ligger sedan till grund för organisationens agerande gällande frågor om Sveriges säkerhet. Propositionen som ligger till grund för den nya lagen är läsvärd. Alla propositioner är inte det, men jag tycker nog att lagstiftaren lyckats uttrycka ett antal viktiga frågeställningar och har givit ett antal svar. Frågan om vad som är Sveriges säkerhet är ett sådant exempel. Lite otillfredsställande för den som ska göra en säkerhetsskyddsanalys, konstaterar lagstiftaren att det måste vara upp till var och en att göra sin analys och de slutsatser som dras där. Samtidigt är en sådan inställning naturlig – det är bara den som känner sin verksamhet som kan göra de ingående bedömningar som krävs. Samtidigt kan man misstänka att SÄPO har ett intresse av att bistå den organisation som önskar för att nyansera bedömningar och slutsatser. Man konstaterar även att det vid analysen är centralt att inte enbart beakta att man kanske är en lokal aktör, utan vilka effekter en problematik, t.ex. förgiftning av en vattentäkt, kan ge på sjukvården i den egna regionen och vilka spridningseffekter som kan uppstå.
 
Utifrån säkerhetsskyddsanalysen vidtas de åtgärder som är nödvändiga. Dessa åtgärder kan i praktiken vara desamma som om det inte är en fråga om Sveriges säkerhet utan att det ”enbart” rör sig om samhällsviktig verksamhet på annat sätt (elektricitet, sjukvård etc). I vissa fall kan säkerhetsskyddsåtgärderna till och med sammanfalla med de åtgärder som vidtas för att skydda känsliga personuppgifter. Analysen behöver dock ske utifrån rätt lagstiftning (säkerhetsskyddslag, NIS-direktiv resp GDPR).
 
Om man då ska vara lite praktisk – vad är kärnan i allt detta och hur hamnar man rätt? Frågan är såklart större än en artikel likt denna, men ett par grundläggande, centrala frågor finns dock. Frågor som väsentligt underlättar arbetet. De olika lagstiftningar som rör skydd av verksamhet eller uppgifter har alla tillkommit för att det finns olika värden som är värda att skydda. Det finns därmed potentiella konsekvenser om skyddet är otillräckligt, konsekvenser som kan uppstå för samhället, egendom eller individer.
 
För egen del har jag alltid arbetat med tre grundläggande frågor. Varför? Vad vill vi uppnå? Vad är konsekvensen om vi inte lyckas? Med dessa tre frågor når man snabbt kärnan i det som är viktigt och kan dimensionera åtgärder, oavsett om dessa åtgärder handlar om IT-säkerhet, tillträdesskydd, att anlita flera leverantörer för att skapa en leveranssäkerhet, eller att bygga upp ett eget lager med förnödenheter.
 
När jag t.ex. köper sjukvårdsmateriel är det ju inte materielen som sådan som är viktig utan vad jag ska använda den till. Och såklart vad som händer om materielen inte finns. Är konsekvensen att en operation måste ställas in om en ack så liten pryl saknas, blir ju just den prylen viktig att alltid ha ett överskott av. Vill man räkna på det är det ju dessutom enkelt att jämföra kostnaden med att ha ett överlager mot samhällskostnaden för konsekvensen i form av t.ex. en inställd operation (i form av t.ex. förlängd sjukskrivning, lidande, köbildning etc). Problemet är såklart att kostnaderna uppstår i olika budgetar, eller ”stuprör”. Men så länge som vi låter det hindra oss blir det svårt att vidta rimliga säkerhetsåtgärder över huvud taget. Återvänder vi till grundfrågorna om varför vi behöver skydda något blir dock dessa frågor väsentligt enklare att hantera i diskussionen.
 
Jag ser fram emot en fortsatt debatt och diskussion gällande robustheten i samhället i stort, och hur det faktiskt går att använda den offentliga affären för att stärka denna robusthet, men så klart även konstaterandet att det ibland är bättre för samhället självt att utföra arbetet i egen regi.