Hoppa till innehåll
Sex personer sitter runt ett bord.

Stöd för öppna leverantörsreskontra - informationsklassning och riskanalys

Digg har tillsammans med projektet Nationell dataverkstad och SKR bjudit in ett antal aktörer för att tillsammans genomföra en informationsklassning och riskanalys med målet att förenkla för offentliga aktörer att dela öppna leverantörsreskontra.

Introduktion

Publicering av öppen leverantörsreskontra innebär att en kommun, region eller statlig myndighet löpande tillgängliggör grundläggande information om inköpta produkter och tjänster. Myndigheten för digital förvaltning, Digg, har med anledning av arbetet med inköpsdata i regeringsuppdraget Open data charter bjudit in till en workshopsserie för att genomföra en informationsklassning och riskbedömning av att publicera öppen leverantörsreskontra med syftet att underlätta för offentliga organisationer att dela denna data öppet för vem som helst att använda. Diggs regeringsuppdrag innefattar att främja arbetet med tillgängliggörandet av data som kan bidra till transparens och insyn i den offentliga förvaltningen, särskilt inköpsdata. Uppdraget kopplar nära an till regeringens arbete med att vidareutveckla arbetet med öppna data och antikorruption.

Nyttan med öppna leverantörsreskontra

Syftet med att publicera denna data är bland annat att öka transparensen och insynen i den offentliga sektorn, samt att bidra till olika former av samhällsnytta såsom nya digitala tjänster och analyser. Genom att tillgängliggöra och dela offentliga data som öppna data skapas nya möjligheter för forskning, granskande journalistik och utveckling av nya tjänster och lösningar som bidrar till ökad effektivitet och kvalitet i den offentliga sektorn, samtidigt som det stärker förtroendet för offentliga institutioner och förbättrar effektiviteten i förvaltningen.

Det borde vara en självklarhet att alla offentliga myndigheter delar inköpsdata. Det innebär inte bara ökad transparens och insyn för allmänheten, utan det skapar även grundläggande förutsättningar för att upptäcka oegentligheter med hjälp av tex AI.Fredrik Eriksson, projektledare för Nationell dataverkstad
Fredrik Eriksson, KnowIT

Dataspecifikationen för leverantörsreskontra - både möjligheter och utmaningar

Den befintliga specifikationen för leverantörsreskontra på Sveriges dataportal underlättar för offentliga organisationer att dela leverantörsreskontra på ett likartat sätt, med ökad data interoperabilitet, och därmed skapa bättre möjligheter för att de delade datamängderna ska kunna användas effektivt. Specifikationen för leverantörsreskontra visar vilken grundläggande information om leverantörsfakturor som kan läsas ut från ekonomisystemen och sedan delas som öppna data. Leverantörsreskontra är i grunden en översikt om fakturerade inköp och innehåller grundläggande information om leverantörsfakturor som läses ut från ekonomisystemen. Det redovisar exempelvis organisationsnummer för köpare, organisationsnummer för leverantör, belopp, datum, verifikationsnummer och kontonummer.

En utmaning med att använda specifikationen har dock varit att den informationsklassning och riskbedömning som krävs att man genomför innan man delar denna datamängd öppet har hos många offentliga aktörer upplevts som betungande och svår att genomföra. Olika organisationer har också kommit fram till olika informationssäkerhetsklassningar vilket har lett till att vissa organisationer har sett att man kan dela denna data öppet, medans andra har kommit fram till motsatsen. Detta har lett till att delningen av öppna leverantörsreskontra i Sverige har gått långsamt och att kunskapsdelningen om hur man gör har varit svår. 

Läs mer: Leverantörsreskontra - Sveriges dataportalÖppnas i ny flik

En informationsklassning och riskanalys som kan återanvändas av fler aktörer

Representanter från Digg, SKR, Nationell Dataverkstad, Södertälje kommun, och Västra Götalandsregionen genomförde därför en rad digital workshops för att tillsammans göra en gemensam informationsklassning och riskanalys. Resultatet av detta har redovisats i en rapport (se länk nedan).

Föreslagna säkerhetsåtgärder syftar till att säkerställa att grundläggande informationssäkerhetskrav uppfylls enligt ISO 27000 samt att säkerställa att identifierade risker vid tillgängliggörande och publicering av öppen leverantörsreskontra hanteras på ett informationssäkert och ändamålsenligt sätt. Säkerhetsåtgärderna omfattar organisatoriska och tekniska säkerhetsåtgärder. Säkerhetsåtgärderna ska ses som förslag på viktiga aspekter att fånga i genomförandet, de behöver analyseras utifrån respektive verksamhets klassning av informationen med tillhörande identifierade risker i det aktuella sammanhanget, så att säkerhetsåtgärderna implementeras genom ett medvetet val på ett sätt som ger avsedd effekt. Förslaget är därmed inte komplett utan för att uppnå adekvat säkerhetsnivå behöver samtliga krav i ISO 27000 beaktas för att säkerställa en förmåga att upprätthålla skydd över hela livscykeln.

Slutsats och rekommendation

Informationsklassningen syftar till att identifiera och bedöma skyddsvärdet för den information som hanteras vid publicering av leverantörsreskontra som öppna data. Riskanalysen fokuserar på att identifiera potentiella risker relaterade till hanteringen av denna information. Resultaten från dessa analyser används som grund till rekommendationer för hur informationen ska hanteras. En säker hantering av informationen är avgörande för att säkerställa tillgången till denna information och för att säkerställa att hanteringen överensstämmer med gällande lagar och regler.

Målet är att alla delar av uppdraget ska omfattas av ett systematiskt och riskbaserat informationssäkerhetsarbete enligt ISO 27000-serien, gällande lagar och regler, samt respektive organisations interna styrning av informationssäkerhetsarbetet. Detta inkluderar att säkerställa och dokumentera säkerhetskritiska administrativa och tekniska processer samt att ha en formell grund där roller, ansvar och befogenheter är tydligt definierade.

Mer läsning

Fler goda exempel