I en krönika i Altinget skriver Fia Ewald om hur offentliga organisationer - främst kommuner - har en it-verksamhet som inte uppfyller kraven i lagstiftningen. I blickfånget den här gången är det offentligas användning av amerikanska molntjänster. Något som dömts ut av allt tyngre instanser ju längre tiden gått, utan att det för den sakens skull kommit någon reaktion eller kursändring från särskilt många myndigheter. Så trots att allt fler insatta experter kravställt och dömt ut, får kraven på många håll inget genomslag. Hur kommer det sig?
Expertens situation
Oavsett ifall vi pratar på samhällsnivå mellan myndigheterna eller inom respektive organisation så har vi länge haft en situation där den "expert" som formulerar kraven inte behöver ta ansvar för implementationen. Just den som skriver kraven vill nog gärna se att de efterlevs, men detta ligger nästan alltid utanför dennes kontroll. Expertens främsta intresse riskerar då att bli att man har krav skrivna att peka på när något inträffar, som visar att experten i egenskap av kravställare ändå hade gjort sitt för att förhindra den inträffade skadan. Krav som inte nödvändigtvis är särskilt kostnadseffektiva eller rimliga.
Experten jobbar däremot på någons uppdrag, och den uppdragsgivaren borde ju ha intresse av att kraven även ska efterlevas, eller? Tja, uppdragsgivaren har förvisso det i sin intressebild, men det är en långt mer mångsidig agenda för uppdragsgivaren och en blind efterlevnad av kraven oaktat konsekvenserna i övrigt är sällan önskvärd.
Uppdragsgivarens situation
Ser man till uppdragsgivaren kanske vardagen rentav blir enklare om man stannar vid att "förutsätta" att kraven efterlevs. Att ta reda på om så faktiskt är fallet är ett omak och man har nog på känn att skulle man fråga skulle svaret vara både nekande samt komma med en lång radda svårbegripliga "rekommendationer". Att få en efterlevnad tycks vara komplext och det är sällan så rättframt att åtgärda de påstådda bristerna som man skulle önska. Dessutom är det oklart vad man egentligen skulle få för det. Inte undra på att den utförande delen av organisationen hellre vill leverera annat än att åtgärda "brister". Brister som faktiskt inte upplevs som något egentligt problem av många.
Nej, i det läget är det enklare för uppdragsgivaren att luta sig tillbaka och låta tiden lösa ut problemet. För vem har egentligen rätt? Är det experten med sina krav som den inte behöver ta ansvar för, eller är det utföraren som hellre vill prioritera det synliga här och nu? Upp till dem att reda ut. Som uppdragsgivare har man väl ändå gjort sitt när man faktiskt anlitat en expert?
Status quo - när utföraren väljer annat
Kanske ligger lösningen lite mittemellan. En sak vet jag - när den utförande delen inte tar diskussionen om kraven är rimliga utan bara lägger dem åt sidan så hamnar organisationen i ett status quo där alla parter sitter på sitt håll och väldigt lite uppnås. Både kostnad och risk kvarstår och man har helt plötsligt det sämsta av båda världar. Samtidigt som man befäster kulturen att krav är till för syns skull - inte för att uppfyllas.
Och det är precis här stora delar av myndighetsvärlden är idag när det kommer till cybersäkerhet. Kanske nådde vi höjdpunkten när Transportstyrelsens generaldirektör valde att formellt kringgå säkerhetsskyddslagen. Hennes försvarstal i Arbetsdomstolen och i media byggde mycket på att staten accepterade en avstegskultur.
I dagsläget är det svårt att veta ifall ett krav är ett krav som på allvar förväntas efterlevas av uppdragsgivaren eller om det bara är ett krav för syns skull, i upprätthållandet av ett status quo. Ett status quo där varje part när det väl smäller - för det kommer smälla på sina håll - ändå kan säga att de ju faktiskt hade gjort vad som förväntades av dem. Och åtminstone till del ha rätt i det.
Behöver vi då bli förvånade när nya lagar och krav inte efterlevs? Nej. Det borde kanske tvärtom vara det förväntade vid det här laget. Kanske har vi som samhälle redan gått så långt att vi tappat förmågan att skilja på om ett krav finns där för syns skull eller om det faktiskt finns en riktig förväntan om att det ska efterlevas.
Om någon vill bryta status quo
För egen del tycker jag inte det är ett särskilt bra status quo. Det tar för mycket kraft och skapar för mycket förvirring, samtidigt som det inte löser det verkliga problemet. Mina personliga rekommendationer till de som tycker vi borde arbeta bort den här situationen är:
- Kravställare: Ställ bara krav som är begripliga, granskningsbara och kostnadseffektiva. Använd exempel från verkligheten för att visa varför kraven finns. Tillgängliggör hur man på ett objektivt sätt granskar och avgör ifall ett krav är uppfyllt. Visa exempel på hur man gör för att uppfylla dem på enklaste sätt.
- Utförare: Om krav upplevs som otydliga, be om konkretisering utifrån samma parametrar som ovan. Om krav upplevs som orimliga, berätta och förklara varför! Har ni inte tid? Kostar det för mycket? Visa beräkningar på hur mycket det skulle kosta i form av tid och pengar. Det är inte ovanligt att kravställare och utförare i början ligger långt ifrån varandra i uppfattning här.
- Uppdragsgivare: Följ upp efterlevnad av kraven. När underlag finns - inled dialog med kravställaren och utförare. Ställ frågor till dem enligt ovan. Förmedla att du förväntar dig att de ska fortsätta stämma av återkommande och att ni med något längre intervall alla kommer ses och prata om det här igen.
Inga kommentarer:
Skicka en kommentar