Onsdag åpnet endelig den varslede markedsplassen for skytjenester i regi av Direktoratet for forvaltning og økonomistyring (DFØ) i betaversjon.
Etaten har fått lagd en portal, som skal gjøre det enklere for offentlige virksomheter å kjøpe inn sikre, lovlige og kostnadseffektive skytjenester.
– Vi skal bidra til at de offentlige virksomhetene får god oversikt over tilbudene i markedet, fortalte DFØs avdelingsdirektør Kjetil Østgård, da vi omtalte planene for et drøyt halvår siden.
Allerede i 2016 gikk regjeringen inn for en IKT-politikk med plikt om å vurdere skytjenester ved anskaffelser i offentlig sektor.
Fem år senere opplever likevel mange at det er vrient å anskaffe, implementere og forvalte skytjenester, fortalte DFØ under gårsdagens åpningswebinar.
Mangel på kompetanse
Mange og meg selv inkludert opplever at teknologien er komplisert.
Det er utfordringer knyttet til det å være en god bestiller, minnet Strømsnes om.
– Vi snakker om et omfattende nettverk av svære internasjonale leverandører, kombinert også med nasjonale og lokale leverandører. Avtalevilkår og oppfølging av avtalene er komplisert og vi ser at her trengs det veiledning. Mange og meg selv inkludert opplever at teknologien er komplisert. Det er også vanskelig å få dekt kompetansen opp i det norske markedet. Det er mye av grunnen til at vi har valgt å lage en slik tjeneste, for å virkelig å bistå på en god måte også for kompetansegapet, sa divisjonsdirektøren.
Initiativet er inspirert av britenes G Cloud. Markedsplassen er ingen «app store» der man kan handle inn eller installere programvare, men snarere en samling av veiledninger. Etter hvert også en serie avtaler fra statens innkjøpssenter.
Dynamiske innkjøpsavtaler og rammeavtaler er likevel ikke nok til å dekke opp alle behov. En del faller derfor på virksomhetene selv, og derfor er det viktig med god veiledning, ifølge DFØ.
Markedsplassen er lansert i en betaversjon eller «byggeplass» som Strømsnes kalte det for å indikere at tjenesten skal utvides og forbedres fortløpende. Den blir aldri ferdig, konstaterte han.
Skal «pirke» under overflaten
Under webinaret onsdag kom det inn flere interessante spørsmål fra deltakerne på chat, som direktoratet besvarte.
En innkjøper fra en større statlig etat tok blant annet opp følgende varme potet:
«Skytjenester i kombinasjon med persondata er i mange tilfeller umulig om Schrems II skal følges slik EDPB anbefaler. Leverandør sier ofte at GDPR følges, men med litt pirking i hvor tjenesten hostes og hva som finnes av underdatabehandlere sprekker som regel den fasaden. Dataene lagres på site i EU/EØS, men fjernaksess og caching/mellomlagring holder seg overhodet ikke til EU/EØS. F.eks. sier jo MS selv at de ikke dag klarer å oppfylle GDPR. Hva tenker dere om dette?»
Godt spørsmål, mente seksjonssjef Thor Møller som svarte at DFØ planlegger å komme med en veiledning relatert nettopp til Schrems II på markedsplassen.
– I tillegg kommer det et tjenesteregister, som skal gjøre det lettere å nettopp «pirke» i tjenesten gjennom at leverandørene skal svare på et sett standardiserte spørsmål, blant annet knyttet til lagring av data i tjenesten, repliserte Møller.
Setter ikke godkjentstempel
Videre ble det påpekt at organet Skate har etablert en koordineringsgruppe for Schrems II-arbeidet, og at det nå jobbes med å lage veiledning til offentlige virksomheter, som også skal inneholde resultatet av en dialog med de største skyprodusentene.
Likevel:
– Det vi først og fremst trenger et konkret svar på, er om det er greit å bruke skytjenester som hostes i Microsofts skyplattform Azure, mente innkjøperen som startet tråden.
Og fikk til svar:
– Markedsplassen vil ikke sette godkjentstempel på ulike skytjenester. Vi vil gjøre grunnleggende kvalitetssikring rundt sikkerhet og vilkår. Den enkelte virksomhet må selv gjøre sine risikovurderinger om en tjeneste er tilstrekkelig sikker for den bruk, som det planlegges for. Restrisikoen bør forankres på rett nivå i egen organisasjon før man konkluderer, skrev DFØs Håvard Reknes.
