Corona-appen – en dyr icke-affär

Snabb, ifrågasatt och kostsam. MSB måste nu betala över 7 miljoner kronor till ett hälsoteknikföretag för ett digitalt verktyg som aldrig kommer att tas i bruk. Arbetaren berättar historien om en dyr icke-affär.

Inrikes
"Det är vi som har genomfört arbetet. Vi gjorde inte det på direkt uppdrag av Folkhälsomyndigheten, utan efter en avstämning. Vi drog på med full kraft och lade ner mycket resurser med ambitionen att det skulle bli ett brett använt verktyg i Sverige, det känner vi nog huvudansvar för", sade Svante Werger, rådgivare på MSB, på en presskonferens den 26 maj.
Foto: Janerik Henriksson/ TT

Den svenska så kallade ”corona-­appen” var från början ett sam­arbete mellan Myndig­heten för samhällsskydd och beredskap (MSB), Folkhälso­myndigheten och Socialstyrelsen. Den 9 april tecknade Åke Holmgren, enhetschef på MSB, ett avtal med det privata hälso­teknikbolaget Platform24 Health Care AB. Syftet med avtalet var att ge bolaget i upp­drag att ta fram molntjänsten för informationsspridning och för att registrera symptom hos covidsjuka – med andra ord att sjösätta och hantera den omtalade smittspårningsappen. 

Platform24 Healthcare AB, som ägs av Wallenbergkoncernens investmentbolag Investor och Apoteket AB, är en teknisk plattform som kan köpas in av aktörer som vill bedriva digital vård. Plattformen har redan samarbete med privata vårdgivare som Aleris och Capio, flera försäkringsbolag men också svenska regioner. 

”Vi är förstås mycket hedrade över att vi som ett litet bolag blev utvalda att leve­rera den här angelägna lösningen till MSB vars målsättning var att rädda människoliv”, skrev Sara Dannborg, presschef på Platform24 Healthcare i ett mejl till Arbetaren i samband med en av tidningens granskande publiceringar.

I vanliga fall har MSB en skyldighet att göra en offentlig upphandling, men den här gången valde myndigheten att frångå lagstiftningen med motiveringen att det var bråttom och ”fara för människors liv och hälsa” på grund av hälsokrisen. Arbetaren kunde som första tidning avslöja att affären gjorts utan en ordentlig upphandling.

Foto: Privat
Andrea Sundstrand, docent i offentlig rätt

Andrea Sundstrand, docent vid Stockholms universitet i offentlig rätt med särskild inriktning mot offentlig upphandling, fick för Arbetarens räkning ta del av direktupphandlingsbeslutet och avtalet. Hon menade att direktupphandlingen inte gått rätt till. 

– Man får bara använda det här undantaget om man inte kan hålla tidsfristerna i de övriga upphandlingsförfarandena. Där finns det ju möjlighet att gå ned till så kort tid som 25 dagar med annonsering. Men myndigheten anser att de inte ens haft tid med detta och då har det här inte ännu levererats vad jag förstår. Då kan man fråga sig – varför var det så bråttom?

Det måste därför ses som ett långsiktigt projekt med flera faser, och då går det inte att göra den här typen av upphandlingar.

Andrea Sundstrand, docent i offentlig rätt med inriktning offentliga upphandlingar

I avtalet om molntjänstlösningen framgår det att Platform24 skulle erhålla en ersättning som dels bestod av en fast grundersättning på 590 000 per månad, samt en rörlig avgift då tjänsten väl togs i bruk. Utöver de 590 000 kronorna, skulle Platform24 få 125 000 kronor i månaden för dygnet runt-support. Avtalet löpte på obestämd tid. 
– Det andra jag reagerar på är att avtalet löper på obestämd tid, fortsatte Andrea Sundstrand.
– Det måste därför ses som ett långsiktigt projekt med flera faser, och då går det inte att göra den här typen av upphandlingar.

Anders Asplund är chefsjurist på Upphandlingsmyndigheten och säger till
Arbetaren att en direktupphandling måste uppfylla fyra kriterier, varav en handlar om ”synnerlig brådska”.
– Om det är en brådska och absolut nödvändigt, så får du direktupphandla. Men den synnerliga brådskan kan inte vara för evigt. Man kan inte hänvisa till synnerlig brådska år ut och år in, säger Anders Asp­lund.

Foto: CA Studio
Anders Asplund, chefsjurist på Upphandlingsmyndigheten

När Arbetaren bad om svar från MSB:s presstjänst gällande vilken rättslig grund de haft för att tillämpa direktupphandlingen som ett undan­­­tags­för­farande, fick tidningen ingen ytterligare information. Istället hänvisade myndighetens pressekreterare Anna Lindbäck till motiveringen i beslutet om direktupphandling och sade att lösningen inte tagits i drift på önskan av Folkhälsomyndigheten.

Men Andrea Sund­­strand menade att Folkhälsomyndighetens agerande inte har någon betydelse för själva upphandlingen.
– Det har ingen betydelse om lösningen senare stoppas, det borde redan innan anskaffningen ha klargjorts om den verkligen behövdes. Det går inte att köpa varor och tjänster genom direktupphandling om de kanske behövs, det ska finnas ett faktiskt skyndsamt behov. Värdet på den här upphandlingen, om det skulle löpa i fyra år, uppgår till över 30 miljoner, och då är det bara utifrån grundersättningen. Det finns säkert många andra leverantörer som gärna skulle vara med och erbjuda den här tjänsten om de fick chansen. Jag rekommenderar att avtalet sägs upp och att en regelrätt offentlig upphandling genomförs.

Foto: Privat
Den stoppade ”appen” har hittills kostat över 6 miljoner kronor.

Efter Arbetarens avslöjande inledde Konkurrensverket en granskning av avtalet. Enligt Dagens Nyheter bad Konkurrensverket i skrivelsen MSB att redogöra för hur upphandlingen gått till, värdet av avtalet, om andra leverantörer begärt överprövning av upphandlingen och varför MSB ansett att undantaget för synnerlig brådska varit tillämpbart.
Någon vecka senare avslöjade Arbetaren att de två senaste fakturorna från Platform24 visade att appen redan kostat MSB närmare sex och en halv miljon kronor. 

Den första fakturan hade sista betaldatum den 28 maj och landade på beloppet 6  307  117 kronor. Nästa faktura hade betaldatum den 30 maj och landade på 128 700 kronor. Sammanlagt har MSB betalat över 6,4 miljoner kronor till det privata bolaget. I avtalet framgick också att om MSB valde att säga upp tjänsten, så hade Platform24 rätt till minst en månads fast grundersättning på 590 000 kronor. Det innebär att MSB totalt måste betala över 7 miljoner kronor i skattepengar för en app som aldrig tagits i bruk. 

Det dröjde heller inte länge innan det digitala verktyget också började kritiseras ur en säkerhets- och integritets­synpunkt. Inom ramen för molntjänst­lösningen använder sig Platform24 av den amerikanskägda underleverantören Amazon Web Services (AWS), som i sin tur ägs av nätjätten Amazon. I projektets risk- och sårbarhetsanalys framgick att även om all lagring enligt avtalet antas ske i Sverige innebar den enligt amerikanska lagstiftningar att USA fick rätt att begära ut information och data från servrarna.

Den utomstående advokatfirman Delphi, som gjorde en risk- och sårbarhets­analys för MSB, skrev att ”Villkoren för AWS kan ensidigt ändras från AWS sida. Även om Platform24 tar ansvar gentemot MSB innebär detta viss risk, inte minst då Lösningen hostas och rent fysiskt lagras av AWS.” Inget anpassat avtal hade träffats med AWS, utan det avtal som Platform24 använt sig av var ett så kallat ”standardavtal” och mycket förmånligt för AWS.

När Arbetaren bad MSB att skicka över standardavtalet svarade de efter flera dagar att ”efterforskningen tagit lite tid”, och att det inte fanns hos myndigheten. Samtidigt avråder svenska myndigheternas samarbetsorgan eSam myndigheter från att använda sig av just amerikanska molntjänster.
Risken att amerikansk underrättelsetjänst använder sig av den amerikanska lagen och begär ut uppgifter från servrarna, bedömdes i riskanalysen som liten, dock utan något resonemang om vad den bedömningen grundade sig på.

Även om MSB uttryckt att all lagring kommer att ske i Sverige, betyder inte det nödvändigtvis att all behandling av data kommer att stanna här.

Björn Lundell, professor i datakunskap vid Högskolan i Skövde

Kritiken kom från flera håll. Arbetaren lät Björn Lundell, professor i datavetenskap vid Högskolan i Skövde, ta del av avtalet, kravspecifikationen och den sårbarhetskalkyl som tagits fram till tjänsten. Han kände sig konfunderad inför projektet. Björn Lundell menade att det förefaller uppenbart att känsliga personuppgifter kommer att behandlas.Många användare kommer att logga in i den nya tjänsten med Bank-ID, vilket Björn Lundell menar är problematiskt.

Foto: Högskolan i Skövde
Björn Lundell, professor i datavetenskap vid Högskolan i Skövde

– Avtalet preciserar att leverantören kan komma att få tillgång till uppgifter som lyder under säkerhetsskyddslagstiftningen och hantera uppgifter som lyder under offentlighets- och sekretesslagen. Även om MSB uttryckt att all lagring kommer att ske i Sverige, betyder inte det nödvändigtvis att all behandling av data kommer att stanna här, säger Björn Lundell och fortsätter:

– Med tanke på den oro många människor känner i det rådande läget förefaller det oklokt att behandla upp­gifter med hjälp av underleverantörer som lyder under andra länders lagstiftning och jag kan tänka mig att människors benägenhet att använda tjänsten skulle bli högre om all databehandling endast träffas av svensk lagstiftning.

Även om det ibland är bråttom måste man göra en ordentlig risk- och sårbarhetsanalys över vad projektet kan få för konsekvenser.

Daniel Melin, it-upphandlare på Statens inköpscentral vid Kammarkollegiet

Att anlita utländska företag för att lagra och bearbeta exempelvis hälsouppgifter är kontroversiellt menade också Daniel Melin, it-upphandlare på Statens inköpscentral vid Kammarkollegiet. Innehållet kan vara åtråvärt för utländska underrättelsetjänster.

Foto: CA Studio
Daniel Melin, it-upphandlare på Statens inköpscentral vid Kammarkollegiet.

– Även om det ibland är bråttom måste man göra en ordentlig risk- och sårbarhetsanalys över vad projektet kan få för konsekvenser. Ska man samla på sig stora mängder information om Sverige och svenska medborgare bör man ha med Sveriges säkerhet och Sveriges krisberedskap i analysen, sade Daniel Melin till Arbetaren och fortsatte:

– Om ett amerikanskt företag får en begäran om utlämnande av information till amerikansk underrättelse­tjänst via till exempel lagen ”FISA” får de inte berätta detta för sina kunder. Kunden kommer i sådana fall aldrig få reda på att leverantören lämnat ifrån sig informationen.

Marcin de Kaminski, programchef på människorättsorganisationen Civil Rights Defenders, ser en oroande utveckling i många länder där människors integritet och IT-säkerhet inskränks under coronapandemin. Han menar att många länder runt om i världen tar fram lösningar på kort tid och att viktiga rättsprinciper då sätts åt sidan.

Foto: Civil Rights Defenders
Marcin de Kaminski

– Vi har haft en innovationsvurm och det är klart att myndigheter försöker hitta verktyg att begränsa smittspridningen i krisen. Men det finns så många problem med att utveckla väldigt integritetsnära tjänster väldigt fort utan att ha några safe guards, säkerhetsspärrar, på plats. 
Här finns en beröring mellan alla de digitala lösningarna i alla länder, säger han och fortsätter: 

– Vi har också sett att många av de här corona-apparna kopplas till ett digitalt identifikationssystem. Man tänker att informationen då blir mer vidimerad, mer korrekt, men problemet är att om systemet samlar in känslig information om hälsotillstånd genom en säkerställd identifikator som Bank-ID blir det ännu viktigare att fundera över var data tar vägen egentligen. Om det kopplas till enskilda individer genom Bank-ID är det ytterst allvarligt om det passerar genom tredjehandsleverantörer som man inte har koll på, säger Marcin de Kaminski. 

Risken är också att man implementerar en lösning som man sen har svårt att bli av med.

Marcin de Kaminski, programchef på Civil Rights Defenders

Han säger att exempelvis coronaappen som marknadsförs för forskning vid Lunds universitet, där själva appen i sig är framtagen av en brittisk e-hälsoaktör, är problematisk. Bland annat för att den använder sig av så många externa leverantörer att det är svårt som användare att förstå vem som får tillgång till datan som matas in. 

– Man vet inte om apparna kommer att funka eller hjälpa Sverige framåt i krisen. Man har snabbt introducerat tredje­partsunderleverantörer som man inte har koll på. Risken är också att man implementerar en lösning som man sen har svårt att bli av med. När väl tjänster, appar och tekniska lösningar lanserats, så finns de där för framtida bruk. Därför är det så viktigt att man så långt det är möjligt gör rätt redan från början. Annars riskerar saker som integritet och andra mänskliga rättigheter sättas åt sidan, vilket innebär en risk för såväl individer som grupper som är utsatta och sårbara – men också för en bredare allmänhet.

MSB:s lansering av det digitala verktyget blev tidigt ifrågasatt också från högre ort. Den 20 april skrev kanslirådet Karolina Lemoine på regeringskansliet ett mejl direkt till Åke Holmgren på MSB. Hon hade lyssnat på ett inslag från Sveriges Radio där Datainspektionen varnat för att lagring av svenskars coronasymtom hos utländska företag kan innebära en sekretessrisk, och bad honom om en uppdatering av arbetet med självskattningsverktyget. 

Karolina Lemoine undrade om MSB haft en dialog med Datainspektionen och om de kunde säkerställa att patientdata inte hamnar i orätta händer. Hon undrade varför MSB inte valt en svensk molnlösning.
Åke Holmgren svarade henne samma dag. Han skrev att det handlar om ”anonyma data, inte patientdata” och att myndigheten tagit höjd för både informationssäkerhet och dataskydd i samråd med externa experter. Platform24 ansåg han vara en certifierad medi­cinteknisk produkt. 

Samma dag fick Åke Holmgren ett mejl från Platform24:s vd Tobias Perdahl som tackade Åke Holmgren för ett samtal som de haft dagen dessförinnan och där han gav information om vad som gällde om myndigheten vill byta till en svensk molnlösning. Tobias Perdahl skrev att det bästa i sådana fall för myndigheten vore en hybrid-lösning där databaserna låg på en svensk molnserver, medan data endast skulle processas på AWS.

Den skulle enligt Tobias Perdahl ”medföra mycket mindre kostnader och risker”. Om all drift och process skulle ske i ett privat svenskt moln skulle det kosta hundratusentals kronor, och dessutom skulle Platform24 kräva extra ersättning för att byta driftmiljö.

Foto: Janerik Henriksson/ TT
”Vi drog på med full kraft och lade ner mycket resurser med ambitionen att det skulle bli ett brett använt verktyg i Sverige, det känner vi nog huvudansvar för”, sade Svante Werger, rådgivare på MSB, på en presskonferens den 26 maj.

Fyra dagar senare meddelade Folkhälsomyndigheten att hela projektet behöv­de pausas för att skapa mer förankring i bland annat regionerna. Enligt en intern rapport som Arbetaren tagit del av beslutade sig myndigheten redan den 8 maj för att avsluta projektet. 

På en presskonferens om coronaläget den 26 maj tog MSB därefter på sig ansvaret för den havererade appen. 
– Det är vi som har genomfört arbetet. Vi gjorde inte det på direkt uppdrag av Folkhälsomyndigheten, utan efter en avstämning. Vi drog på med full kraft och lade ner mycket resurser med ambitionen att det skulle bli ett brett använt verktyg i Sverige, det känner vi nog huvudansvar för, sade Svante Werger, rådgivare på MSB.

Marcin de Kaminski understryker att det nu blir viktigt att följa utvecklingen noga, och att våga ifrågasätta de innovationer som snabbt tas fram. Detta för att göra utvecklingen mer transparent och för att sedan kunna utkräva ansvar, såväl i Sverige som andra delar av världen.

– Vi arbetar med människorättsförsvarare i några av världens mest repressiva länder. Många har sett hur undantagstillstånd utlysts och tvångsmedel använts i godtyckliga sammanhang tidigare. De är nu oroliga för de åtgärder och metoder som använts runt om i världen. Inte minst då det finns en risk att metoderna normaliseras och fortsätter användas även när pandemin är över.