Upphandling avbruten – Nu påbörjas istället molnresa 2.0 för SML-IT

– SML-IT är ett kommunsamarbete mellan Sotenäs, Munkedal och Lysekil som funnits i ungefär tio år. Det ursprungliga uppdraget var att skapa en gemensam infrastruktur för tre kommuner, för att verksamheterna i kommunerna skulle ha en it-bas att stå på, säger Johan Christensson, it-arkitekt, SML-IT.

– Vi var tidigt ute att arbeta med Microsofts produkter och molntjänster. 2013 började vi med Office 365, One Drive och Sharepoint. Och efter att Skype for Business blev Teams gick vi över dit. Vi var väl rustade inför pandemin när den slog till och hade ganska väl utbyggt molnanvändning, och arbetade med digitala verktyg där. Så i det läget var vi inte så beroende av den lokala infrastrukturen på det sättet.

Och nu tar ni nästa steg i förflyttningen till molnet. Vad innebär det?

– Vi har idag massor av olika datasystem som ligger i våra lokala datacenter. För drygt ett år sedan påbörjade vi en upphandling av ett nytt datacenter, samtidigt som vi befann oss i ett läge då vi inte kunde drifta våra verksamhetssystem i molnet på grund av de regulatoriska hinder som fanns mellan EU och USA. Men i somras kom Data Privacy-ramverket (DPF) som ogiltigförklarade Schrems II-domen och det innebar att vi, med amerikanska molntjänster som är godkända och certifierade för det här ramverket, kan drifta våra verksamhetssystem, så länge vi följer övriga regelverk såsom GDPR och offentlighets- och sekretesslagen.

– Detta förändrade vår situation helt och hållet. Vi avbröt därför vår upphandling och valde istället att påbörja arbetet med vårt nästa steg i molnresan, vilket innebär att vi även lyfter verksamhetssystem och tillämpningar som vi tidigare haft lokalt, upp i molnet.

Varför var DPF så avgörande?

– Vårt nya uppdrag sedan ett år tillbaka är att vi ska arbeta mer verksamhetsnära med utvecklingsfrågor och innovation. Fokus ska inte vara lika mycket på drift av egen utrustning, utan vi har istället ett behov av att arbeta mer snabbfotat i innovationsprocesser för att kunna skala upp och ner snabbare. Då behöver vi utnyttja de funktioner och den kapacitet som finns i de publika molntjänsterna. Vi har alltid velat ha möjligheten att arbeta på det sättet, men de regelverk som fanns tidigare hindrade oss. När det öppnade sig en ny situation från och med i somras var steget naturligt.

Vad ser ni för utmaningar i kommande arbete?

– Att skapa förståelse om att informationen ägs av verksamheterna. Det är de som måste tala om för oss och för leverantörerna om hur viktig en viss information är, vid varje förflyttning från lokal drift till molnet. Hur viktigt är återställningskapaciteten? Vad har vi för tillgänglighetskrav? Vad är det för krav på säkerhetsfunktionalitet, exempelvis kryptering, anonymisering och gallring utifrån de regelverk som gäller i verksamheten? Det gäller att ha rätt dialog med verksamheten och det är där vi är just nu.

– Parallellt med den tekniska delen av molnresan kommer vi att genomföra workshops tillsammans med kommunledningarna. Där kommer vi att prata på en strategisk nivå om informationsägarskap, och klassificering och strukturering av information, så att vi är förbereda på att flytta system för system till molndrift och kan ha de dialogerna direkt i de respektive projekten.

Hur ser ni annorlunda ut om två år?

– Vi kommer att vara mer förberedda på att arbeta snabbfotat; vi kommer att kunna testa saker i liten skala och därefter skala upp dem i olika utvecklingsprojekt; vi kommer att kunna koppla ihop information i våra verksamhetssystem på ett annat sätt med hjälp av den kraft som finns i plattformen i den publika molntjänsten; och vi kommer förmodligen också att bli mer datadrivna i det arbetet eftersom när vi lyfter informationen, lyfter vi inte systemet rakt av, utan vi lyfter delar av systemet in i färdigpaketerade moduler eller funktioner in i plattformen. Man kan säga att vi bygger lego egentligen – vi tar bit för bit och ser hur det passar in i helheten, och så kan vi återanvända dessa legobitar på andra ställen. Vi blir på så sätt mer anpassningsbara, vilket är nödvändigt med tanke på exempelvis AI och den typen av funktioner som den tekniken för med sig.

Hypotetiskt, om det kommer en Schrems III, hur förändrar det arbetet för er?

– Att vi måste ha en plan B, om det är så att vi inte kan lyfta information och system rakt upp till molnet på det sätt vi hade tänkt. Det man kan göra då är exempelvis att ha ett tilläggsavtal med sin leverantör, plus en sorts säkerhetsmekanism, som double key encryption, som krypterar informationen en gång till, med en nyckel vi äger, så att vi krypterar informationen innan vi laddar upp den i molntjänsten. På så sätt är informationen krypterad med vår egen nyckel, utan att leverantören har tillgång till den informationen.

– Vi får se vad som händer, men jag är ändå rätt övertygad om att vi har en idé om vad vi gör om det kommer en ny dom.