Allt fler offentliga aktörer inkluderar Data Act och NIS2 i sina upphandlingar – men tillämpningen brister. En vanlig fallgrop är att dataportabilitet blandas ihop med migrationsarbete, vilket kan leda till otydlig ansvarsfördelning, svårtolkade avtal och oväntade kostnader. Det menar Roland Sjögren, upphandlingsexpert på Publitech.
Digital suveränitet handlar om rätten och förmågan att ha kontroll över sin egen data. För offentlig sektor är det inte längre bara en IT-fråga, utan en kärnfråga för verksamhetens säkerhet.
Roland Sjögren, expert på upphandling av verksamhetssystem på Publitech, har analyserat ett stort antal aktuella
upphandlingar. Han ser en tydlig positiv trend, men också en utbredd osäkerhet kring hur de nya EU-förordningarna ska tolkas i praktiken.
– Det är bra att Data Act börjar synas i kravspecifikationer. Syftet är ju att minska inlåsning och stärka kontrollen över data. Men eftersom regelverket är nytt ser vi att det ibland uppstår oklarheter i hur det ska tillämpas i upphandlingar och avtal, säger han.
Dataportabilitet är inte samma sak som migration
En av de vanligaste missuppfattningarna är att dataportabilitet likställs med migrationsarbete. Roland Sjögren ser ofta formuleringar där all dataöverföring förutsätts ske utan kostnad.
– Dataportabilitet blandas ihop med projektinsatser vid systembyte, vilket skapar otydlighet kring ansvar, kostnader och genomförande. Data Act ställer krav på att data ska kunna exporteras och göras tillgänglig. Men det är viktigt att skilja mellan tillgång till data och arbete för att flytta och anpassa system. Det är två olika saker – både tekniskt och avtalsmässigt, säger han.
Ett område som kommer växa snabbt
Vid sidan av Data Act påverkar även NIS2-direktivet hur säkerhetskrav formuleras. Här handlar det om full spårbarhet och att veta exakt var informationen befinner sig.
– Min bedömning är att Data Act och NIS2 kommer påverka offentliga IT-upphandlingar minst lika mycket som GDPR gjorde. Vi är fortfarande i ett tidigt skede där praxis inte riktigt har satt sig, säger Roland Sjögren.
– För oss på Publitech är det viktigt att inte bara leverera system, utan också bidra med kunskap. Vi vill vara en partner som hjälper våra kunder att navigera rätt i en allt mer komplex regulatorisk miljö.
Risk för otydliga krav
När Data Act och NIS2 börjar användas i upphandlingar utan tydlig översättning till konkreta krav finns en risk att:
- dataportabilitet och migration blandas ihop
- krav blir svåra att följa upp i avtal
- ansvarsfördelning mellan kund och leverantör blir otydlig
- konkurrensen påverkas negativt
Det ställer högre krav på både beställare och leverantörer att tolka regelverken korrekt.
Tre saker att tänka på i upphandlingar
För att säkerställa både digital suveränitet och fungerande avtal lyfter Roland Sjögren tre centrala aspekter:
1. Tydliggör skillnaden mellan dataportabilitet och migration
Ställ krav på tillgång till data – men specificera vad som är projektarbete och hur det ska ersättas.
2. Säkerställ realistiska exit-villkor
Undvik generella formuleringar om “kostnadsfri övergång” utan att definiera omfattning och ansvar.
3. Ställ proportionerliga säkerhetskrav
Koppla krav till faktisk risk och säkerställ att de går att följa upp under avtalstiden.
Vill du veta mer om offentlig upphandling? Ladda ner vår kompletta upphandlingsguide