Ferill 445. máls. Aðrar útgáfur af skjalinu: PDF - Word Perfect.
150. löggjafarþing 2019–2020.
Þingskjal 1016 — 445. mál.
Svar
fjármála- og efnahagsráðherra við fyrirspurn frá Guðjóni S. Brjánssyni og Smára McCarthy um kaup á Microsoft-hugbúnaði.
Á árinu 2014 ákvað ráðuneytið að láta framkvæma greiningu á upplýsingakerfum og nytjaleyfum hugbúnaðar hjá ríkinu. 1 Í framhaldi af því var gerð sérstök könnun á hugbúnaðarleyfum meðal stofnana ríkisins og leiddi hún m.a. í ljós að Microsoft væri stærsti birgir ríkisins vegna kaupa á hugbúnaðarleyfum, en um 93% útstöðva (tölva) hjá ríkinu keyra hugbúnað frá fyrirtækinu og nam áætlaður kostnaður ríkisins vegna þeirra leyfa um 700–800 millj. kr. á árinu 2015. 2 Niðurstöður könnunarinnar voru kynntar forstöðumönnum og tæknifólki ríkisins í nóvember 2016. Að undangenginni verðkönnun vorið 2017 gerði ráðuneytið ráðgjafarsamning við félagið SoftwareOne Ltd. sem fól m.a. í sér ítarlegri greiningu á stöðu leyfamála og undirbúning að samningagerð gagnvart Microsoft. Markmið þeirrar samningsgerðar voru kynnt forstöðumönnum stofnana ríkisins í júní 2017 og lauk því ferli með undirritun samnings vorið 2018.
Markmiðin sem lögð voru til grundvallar af hálfu ríkisins við gerð samninganna við Microsoft voru eftirtalin:
i. Að ná fram hagstæðari heildarkjörum en þeim sem byðist einstökum stofnunum og lækka þar með heildarkostnað ríkisins vegna Microsoft-hugbúnaðar.
ii. Að koma öllum stofnunum ríkisins á nýjan og samræmdan tæknigrunn sem gæfi kost á sveigjanlegri og öruggari samskiptamáta milli stofnana ríkisins.
iii. Að allar stofnanir ríkisins væru með rétt og gild leyfi og lækka þar með rekstraráhættu ríkisins vegna hugbúnaðarmála.
iv. Að stórauka öryggi gagna og bæta rekstur kerfa.
Upphafsfundur vegna samningsgerðarinnar var haldinn í september 2017. Til hans var boðið fulltrúum átta stofnana ríkisins sem samanlagt eru með yfir 55% af heildarfjölda hugbúnaðarleyfa. Fyrsti þáttur í þeim undirbúningi fólst í þeirri greiningarvinnu sem vikið er að hér að framan og stóð hann yfir frá september 2017 til maí 2018. Leiddi sú vinna m.a. í ljós að mikið skorti á yfirsýn á leyfamál bæði hjá stofnunum ríkisins og Microsoft, en af yfir um 6.000 hugbúnaðarsamningum reyndust einungis 104 vera í gildi. Í janúar 2018 var boðað til fundar með sömu stofnunum og höfðu fundað um haustið. Þar var lagt til að óskað yrði eftir tilboði í Microsoft M365 E3 hugbúnaðarpakkann, miðlungs pakka sem hentar yfirgnæfandi hluta notenda stofnana ríkisins. Áður en samningar voru undirritaðir í lok maí 2018 voru samningsdrög kynnt fyrir samstarfsstofnunum.
Samhliða þessu var Fjársýslu ríkisins falið að annast umsýslu samningsins. Í því felst umsjón með miðlægum leyfagrunni, aðstoð við stofnanir við pantanir og uppsagnir leyfa og flutningur leyfa milli stofnana. Þá annast Fjársýslan innheimtu leyfisgjalda frá stofnunum fyrir hönd ráðuneytisins.
Fyrir gerð nýrra samninga var það tækniumhverfi sem samningarnir ná til ósamstætt og stofnanir mjög mislangt á veg komnar í að uppfæra umhverfi sitt til samræmis við nútímakröfur um öryggi og aukin stafræn samskipti. Margar stofnanir stóðu frammi fyrir umtalsverðum fjárfestingum en aðrar voru þegar komnar í nýtt umhverfi. Gerð heildarsamninga tryggir stofnunum aðgang að nýjustu útgáfu af einum útbreiddasta hugbúnaðarpakka sem til er og uppfyllir nútímakröfur.
Það var mat ráðuneytisins að ekki væri í boði hugbúnaðarpakki sem uppfyllti jafn vel og með heildstæðum hætti þarfir ríkisins og kröfur til skrifstofuhugbúnaðar. Var þar einkum horft til eftirfarandi þátta:
i. Íslenskt viðmót: Notendaviðmót hugbúnaðarins er á íslensku, auk þess sem hægt er að þýða íslenskan texta í vinnsluskjölum yfir á sextíu önnur tungumál. Í tengslum við samningsgerðina mun Microsoft setja gerð íslenskrar talvélar í forgang og stefnt er að því að hugbúnaðurinn lesi íslensku innan skamms. Þannig styður samningurinn við stefnu ríkisins um eflingu íslensks máls, sem birtist m.a. í lögum nr. 60/2011, 3 um stöðu íslenskrar tungu og íslensks táknmáls, og í málstefnu Stjórnarráðs Íslands. 4
ii. Öryggi: Hugbúnaðarpakkinn inniheldur öryggisþætti eins og til að mynda:
– Samræmda aðgangsstýringu og margþátta auðkenningu notenda.
– Aðgengi að gögnum og kerfum á mismunandi tækjum með öruggari hætti en áður.
– Dulritun og rekjanleika gagna.
– Varnir gegn netárásum.
Þá er hugbúnaðurinn hannaður og rekinn sakmkvæmt kröfum persónuverndarreglugerðar Evrópusambandsins (e. GDPR), sem tók gildi hér á landi í júlí 2018 og er stöðugt uppfærður miðað við þær kröfur.
iii. Samþætt umhverfi: Á undanförnum árum hafa framleiðendur skrifstofuhugbúnaðar aukið samþættingu mismunandi kerfa hvað varðar texta, tölur, mál og myndir, en jafnframt gert notendum kleift að vinna án tillits til staðsetningar. Þá hefur gervigreind verið nýtt í auknum mæli við að skrifa texta, gera kynningarefni, færa talað mál í texta og öfugt. Stærsta breytingin birtist þó í auknum möguleikum fólks til þess að eiga í samskiptum milliliðalaust með því að vinna samtímis í skjölum, eiga fjarfundi, mynda vinnuhópa á netinu og deila gögnum og upplýsingum en það eykur bæði skilvirkni og öryggi miðað við það sem áður var hægt. Hugbúnaðarframleiðendur byggja lausnir sínar í auknum mæli á því að hugbúnaðurinn sé keyrður í tölvuskýi og viðskiptavinir kaupi aðgang fyrir hvern notanda (e. Software as a Service / SaaS). Almennt er viðurkennt að Microsoft standi mjög vel í samanburði við keppinauta sína og bjóði upp á eitt best samþætta skrifstofuumhverfi sem völ er á. Helstu keppinautar Microsoft M365 eru m.a. G Suite frá Google og iWork frá Apple.
Þessi samþætting hefur það þó í för með sér að ekki er mögulegt að kaupa stök kerfi innan skrifstofupakkans. Um langt skeið hafa til að mynda kerfi eins og töflureiknirinn MS-Excel, sem hefur algjöra markaðsyfirburði, verið órjúfanlegur hluti af skrifstofupakka Microsoft. Óraunhæft er að ætla, að mati ráðuneytisins, að skipta út slíkum kerfum og slíkt myndi leiða til aukins kostnaðar. Þá hefði útskipting tækniumhverfisins í heild jafnframt þýtt verulega endurskoðun, þróun og innleiðingu á tengingum milli skrifstofuumhverfis ríkisins og annarra kerfa sem það á samskipti við.
iv. Þekking notenda: Eins og áður segir er Microsoft Office hugbúnaðarpakkinn notaður á 93% af útstöðvum (tölvum) í eigu ríkisins. Stór hluti starfsmanna ríkisins reiðir sig á skrifstofuhugbúnað í daglegum störfum sínum og þekkir vel til Microsoft Office umhverfisins. Val á nýjum skrifstofuhugbúnaði hefði í för með sér viðamikla þjálfun starfsfólks.
2. Var leitað til samkeppnisaðila í þessu sambandi?
Kaupin fóru fram í gegnum örútboð innan gildandi rammasamnings Ríkiskaupa um Microsoft-leyfakaup ríkisaðila sem féllu undir samninginn árið 2017. Þess má geta að rammasamningar um stöðluð hugbúnaðarkaup hafa verið í gildi með einum eða öðrum hætti frá árinu 2008.
Rammasamningar ríkisins eru boðnir út á Evrópska efnahagssvæðinu í samræmi við lög um opinber innkaup. Á samningstíma fara kaup innan þessa tiltekna rammasamnings fram með örútboðum, þar sem samningsaðilar keppa um kaupin á grundvelli verðs.
Ríkið bauð annars vegar út leigu á leyfum fyrir stofnanir utan menntageirans og hins vegar leigu á leyfum fyrir menntastofnanir. Advania Norden hf. bauð bestu kjörin í fyrra útboðinu og Crayon Iceland ehf. í því seinna. Grundvöllur kaupanna voru auknir afslættir sem Microsoft var tilbúið að veita gegn sameiningu leyfamála hjá ríkinu.
3. Hver annaðist samningagerð og hver sinnir umsýslu hugbúnaðarleyfanna hjá Stjórnarráðinu?
Fjármála- og efnahagsráðuneytið annaðist samningagerð og hefur yfirumsjón með umsýslu hugbúnaðarleyfanna. Ráðuneytið er samningsaðili gagnvart Advania Norden hf. um leyfakaup fyrir stofnanir utan menntageirans. Mennta- og menningarmálaráðuneytið er hins vegar formlegur samningsaðili gagnvart Crayon Iceland ehf. vegna hugbúnaðarkaupa fyrir menntastofnanir. Eins og vikið er að í svari við 1. tölu. fyrirspurnarinnar var Fjársýslu ríkisins falið að annast umsýslu hugbúnaðarleyfa gagnvart stofnunum.
4. Var lagt mat á hagnýtingu opins hugbúnaðar að einhverju eða öllu leyti?
Samningur ríkisins við Microsoft um þann hugbúnað sem um ræðir felur í sér endurnýjun og samræmingu á þeim skrifstofuhugbúnaði sem þegar er í notkun hjá ríkinu. Mat ráðuneytisins var að ekki væri raunhæft né hagkvæmt að færa tækniumhverfi skrifstofuhugbúnaðar frá Microsoft til annarra birgja, sbr. umfjöllun um kosti hugbúnaðarins í svari við 1. tölul. fyrirspurnarinnar.
Rétt er að benda á að umræddir samningar við Microsoft ná ekki til kaupa á stýrikerfum og gagnagrunnum sem þó eru nátengdir umræddu tækniumhverfi. Samkvæmt úttekt Capacent árið 2016 (sjá neðanmálsgrein 1) er Linux/Unix-stýrikerfi á um 40% miðlara ríkisstofnana en 60% miðlara keyrir Microsoft server, auk fjölmargra tegunda af gagnagrunnum, þ.m.t. PostgreSQL, MySQL og MariaDB. Opinn og frjáls hugbúnaður 5 er því umtalsverður hluti af tækniumhverfi ríkisins á því sviði.
5. Hver er heildarkostnaðar við samninginn?
Báðir samningarnir eru til þriggja ára og heildarvirði þeirra yfir tímabilið, á gengi undirritunardagsins, er um 1.965 millj. kr. með virðisaukaskatti. Árlegar greiðslur ríkisins vegna þessara samninga nema því um 655 millj. kr. Því til viðbótar fær Fjársýsla ríkisins árlega greiddar 15 millj. kr. fyrir þjónustu sína. Auk þess er fyrirhugað að fjárfesta í hugbúnaði til að halda utan um miðlægan leyfagrunn.
Samningarnir eru stærstu hugbúnaðarsamningar sinnar tegundar sem gerðir hafa verið á Íslandi. Þeir hafa áhrif á starfsumhverfi um 21.400 ríkisstarfsmanna, eða um 10% fólks á vinnumarkaði, auk rúmlega 50.000 framhalds- og háskólanema. Umfang samninganna er sem hér segir:
Samningur fyrir menntastofnanir:
i. Fjöldi leyfa er 4.184 og heildarkostnaður á ári tæplega kr. 33,5 millj. kr. (um 667 kr. á mánuði á hvern starfsmann).
ii. Til viðbótar er heimilt að setja upp hugbúnaðinn hjá yfir 50.000 framhalds- og háskólanemum í landinu, en ekki eru greidd gjöld af þeim leyfum.
Samningur fyrir aðrar A-hluta stofnanir:
iii. Fjöldi leyfa er 16.248 og heildarkostnaður á ári um 650 millj. kr. (3.340 kr. að jafnaði á mánuði á hvern starfsmann).
iv. Hverjum ríkisstarfsmanni er heimilt að setja hugbúnaðinn upp á allt að 15 tækjum (tölvum og snjalltækjum) án aukakostnaðar.
6. Var gert ráð fyrir auknum kostnaði einstakra stofnana vegna samningsins í fjárveitingum til þeirra fyrir árið 2019?
Það var mat ráðuneytisins að í flestum tilfellum myndi nýr samningur leiða til lækkunar á kostnaði stofnana að teknu tilliti til ábata af hagræðingartækifærum. Í nokkrum tilfellum bjuggu stofnanir við fyrirkomulag sem var ódýrara en jafnframt var ljóst að ekki var hægt að viðhalda því til lengdar með tilliti til öryggis, tæknibreytinga og stefnu Microsoft um form samninga. Kostnaðarauki þessara stofnana var því óhjákvæmilegur. Þegar litið er til kostnaðar stofnana vegna samningsins sem hlutfalls af heildarrekstrarkostnaði þeirra var ekki talið tilefni til að auka fjárveitingar vegna hans. Í þessu samhengi þarf einnig að hafa í huga þau hagræðingartækifæri sem samningurinn felur í sér.
Fjárhagslegur ábati af nýja samningnum liggur í mun meiri mæli í hagræðingartækifærum, sem hann gefur kost á við upplýsingavinnslu í starfsemi ríkisins, en í lækkun á beinum samningsgreiðslum sem slíkum. Ávinningsmat 6 sem unnið var í samstarfi við ráðgjafafyrirtækið Capacent leiðir í ljós að hagræði ríkisins, sem gæti leitt af samningnum þegar hann verður að fullu innleiddur á árinu 2023, geti numið allt að 5.500 millj. kr. á ári. Helstu hagræðingaráhrif samningsins felast í eftirtöldum þáttum:
i. Skilvirkari stjórnsýsla: Starfsmenn ríkisins vinna í samtengdu umhverfi og geta þannig aukið skilvirkni í störfum sínum, forðast tvíverknað og tekið betri ákvarðanir með bættri sýn á gögn.
ii. Nýjar lausnir innan samningsins: Með því að nýta nýjar lausnir sem rúmast innan samningsins má leggja niður eldri kerfi á fjölmörgum stöðum í ríkiskerfinu.
iii. Aukið öryggi: Með samræmdari lausn fyrir ríkið eykst öryggi gagna, bætt yfirsýn fæst yfir öryggisatvik og hægt er að bregðast við atvikum á heildstæðan hátt.
iv. Hagvæmari rekstur: Umsýsla samningsins verður miðlæg og nýtt umhverfi einfaldar rekstur, sem leiðir til minni kostnaðar innan allra stofnana ríkisins.
Í hverjum af framangreindum þáttum var lagt mat á hve miklum árlegum ávinningi ríkið næði fram miðað við að vel tækist til við innleiðingu á samningnum. Niðurstöðurnar taka til mats á (1) beinni hagræðingu; (2) tímasparnaði, (3) og öðrum afleiddum áhrifum. Vitanlega er mat af þessum toga mikilli óvissu undirorpið og verður að líta á það sem nálgun til að gefa vísbendingar um stærðargráður á mögulegum ávinningi.
7. Telur ráðherra viðunandi að opinberir aðilar verði svo háðir einstökum hugbúnaðarframleiðendum sem raunin er með þessum samningi? Gæti notkun frjáls hugbúnaðar hamlað gegn því?
Ljóst er að staða kaupenda gagnvart markaðsráðandi birgjum getur verið veik og að ótvíræðir kostir fylgja því að virk samkeppni ríki um sambærilegar vörur. Staða ríkisins gagnvart Microsoft er sú sama og staða annarra opinberra aðila og einkafyrirtækja um allan heim. Við val á hugbúnaði, sem og öðrum tæknilausnum, er öryggi, hagkvæmni og aukin skilvirkni í starfseminni höfð að leiðarljósi. Frjáls hugbúnaður er metinn á sama grunni þegar kemur að vali á hugbúnaðarlausnum fyrir ríkið. Mikilvægt er að hafa í huga að kostnaður ríkisins vegna viðskipta við Microsoft með skrifstofuhugbúnað er aðeins lítill hluti af heildarkostnaði við upplýsingatæknimál ríkisins.
Lögð er áhersla á að nýta frjálsan eða opinn hugbúnað þar sem hann er metinn jafn góður eða betri kostur og hugbúnaður sem háður er einum framleiðanda. Í þessu samhengi má t.d. nefna, að með samningi ráðuneytisins fyrir hönd ríkisins um nýtingu gagnaflutningskerfisins Straumsins (X-Road) valdi ríkið frjálsan og opinn hugbúnað umfram sérsmíðuð kerfi frá tilteknum birgjum. Straumurinn mun leika lykilhlutverk í veitingu stafrænnar opinberrar þjónustu í framtíðinni.
8. Er tryggt að með framkvæmd þessa samnings verði viðkvæmar persónuupplýsingar og gögn sem varða þjóðaröryggi varðveitt á Íslandi, en ekki flutt til ótryggra aðila í þriðja ríki?
Í takti við aukna almenna notkun tölvuskýja hefur umræða um meðferð viðkvæmra persónuupplýsinga og meðferð gagna er varðar þjóðaröryggi aukist. Árið 2016 lét ráðuneytið ráðgjafarfyrirtækið KPMG 7 taka saman viðmið um nýtingu tölvuskýja og var sú samantekt birt á vef ráðuneytisins. Í kjölfarið gaf ráðuneytið út leiðbeiningar fyrir ríkisstofnanir um notkun á tölvuskýjalausnum 8 sem jafnframt er að finna á vef ráðuneytisins. Í leiðbeiningum ráðuneytisins til ríkisstofnana er lögð áhersla á að hver stofnun geri áhættumat á gögnum sínum og segir þar m.a.: „Mikilvægt skref í innleiðingu skýjalausnar er áhættumat og á það sérstaklega við ef um er að ræða upplýsingar sem falla undir lög um persónuvernd eða önnur viðkvæm gögn t.d. trúnaðargögn.“
Varðandi flutning gagna úr landi segir m.a.: „Flutningur persónuupplýsinga í gagnaver eða tölvuský sem vistuð eru innan EES svæðisins er almennt heimill. Sömuleiðis flutningur til þeirra ríkja sem nefnd eru í auglýsingu nr. 228/2010, um flutning persónuupplýsinga til annarra landa. Flutningur til annarra ríkja utan ESB og EES er óheimill nema samkvæmt einhverri heimild í 30. gr. l. nr. 77/2000, s.s. samþykki einstaklinga eða leyfis Persónuverndar.“
Krafa ríkisins í samningaviðræðum við Microsoft var að gögn yrðu geymd innan Evrópska efnahagssvæðisins þar sem lög um persónuvernd og vinnslu persónuupplýsinga (e. GDPR) gilda. Það er því ljóst að gögnin verða geymd í löndum sem búa við sama regluverk og sömu kröfur til öryggis gagna og gilda á Íslandi.
Við innleiðingu samningsins er tryggt að tölvupóstur og gögn sem geymd eru á tölvuskýja-drifum séu staðsett í gagnaverum á Írlandi og í Hollandi, en gögn sem ekki eru í tölvuskýi séu geymd á Íslandi.
1 www.stjornarradid.is/media/fjarmalaraduneyti-media/media/frettatengt2015/2015-fjr-uttekt-upplysingakerfi-nytjaleyfi-kostnadur.pdf
2 Þess má geta að endurmat á kostnaði vegna hugbúnaðarleyfa frá Microsoft var gert sumarið 2019 og leiddi það í ljós að hann nam um 680 millj. kr. á árinu 2017, sbr. svar við 5. tölulið.
3 www.althingi.is/lagas/nuna/2011061.html
4 www.stjornarradid.is/gogn/stefnur-og-aaetlanir/stefnur-raduneytanna/malstefna-stjornarrads-islands/
5 www.stjornarradid.is/verkefni/upplysingasamfelagid/stafraent-frelsi/opinn-hugbunadur/
6 www.stjornarradid.is/gogn/rit-og-skyrslur/stakt-rit/2019/03/01/Avinningsmat-vegna-innleidingar-samraemds -skrifstofuhugbunadar-hja-A-hluta-stofnunum/
7 www.stjornarradid.is/media/fjarmalaraduneyti-media/media/frettatengt2016/vidmid-um-notkun-skyjalausna.pdf
8 www.stjornarradid.is/efst-a-baugi/frettir/stok-frett/2016/11/17/Leidbeiningar-til-rikisstofnana-um-notkun-a-tolvuskyjalausnum/
