Rigspolitiet har i snart 20 år fornyet udløbede kontrakter på en række driftopgaver med CSC uden at sende opgaverne i offentligt udbud.
Systemdokumentationen fra CSC er nemlig så mangelfuld, at ingen andre kan se, hvordan CSC egentlig løser opgaven, og det har betydet, at Rigspolitiet simpelthen ikke ved nok om opgaven til at beskrive den i et udbud.
Efter det såkaldte CSC-hack, hvor hackere fik adgang til data fra blandt andet CPR-registeret og Schengen-registeret, udtalte Datatilsynet en hård kritik af Rigspolitiet for ikke at stille hårde nok krav til CSC, der hostede de hackede data på en usikker facon.
Det kan du læse mere om her: Det store CSC-hack: Datatilsynet klar med hård kritik af Rigspolitiet
Siden hacket er kontrakten omkring opbevaring af data for Rigspolitiet blevet fornyet uden den offentlige udbudsrunde, som ellers er påkrævet ved kontrakter på mere end 500.000 kroner.
Eller som det hedder i en mail til Computerworld fra Rigspolitiets Koncern It:
"Forud for ophøret af den tidligere kontrakt med CSC undersøgte Rigspolitiet i 2013, hvorvidt der kunne gennemføres et udbud."
Det mente Rigspolitiet ikke, at der kunne, blandt andet fordi, "...den tilgængelige systemdokumentation udgjorde en barriere for overdragelse til en anden leverandør, idet det ikke på det foreliggende grundlag var muligt at udarbejde et fyldestgørende udbudsmateriale."
Arbejdede forgæves i to år
Den undersøgelse var ikke nogen lille operation.
Faktisk brugte Rigspolitiet næsten to år på at forberede de systemer, som driftes hos CSC, til en udbudsrunde.
I slutningen af 2013 blev det arbejde dog sat i bero.
Det var der ifølge Rigspolitiet tre grunde til.
- Mangelfuld og utidssvarende systemdokumentation, som blandt andet skyldtes, at "der er tale om et omfattende og komplekst systemlandskab, og at systemerne i vid udstrækning baserer sig på forældet teknologi."
- Den mangelfulde dokumentation og systemets kompleksitet og forældelse betød, "at systemerne reelt ikke kan konkurrenceudsættes," og at omkostningerne ved et udbud ville overstige mulige besparelser hos en ny leverandør.
- En række sikkerhedsmæssige forhold skulle udredes "på grund af et ændret trusselsbillede for it-sikkerhedsområdet."
CSC gav mangelfuld rådgivning
Forløbet endte med, at Rigspolitiet i samarbejde med Kammeradvokaten genforhandlede kontrakten med CSC.
Forhandlingen indebar blandt andet, at at CSC måtte af med "en kompensation for den manglende dokumentation og mangelfulde rådgivning," oplyser Rigspolitiet i en mail.
Størrelsen på kompensationen er ukendt, men den nye kontrakt med CSC lyder på 23 millioner kroner - otte millioner kroner mindre end den forudgående kontrakt gav it-kæmpen.
Rigspolitiet har tilsyneladende taget ved lære af forløbet og har understreget over for CSC, at "system- og driftsdokumentationen skal udarbejdes og holdes løbende opdateret," som det hedder i et mail-svar fra Rigspolitiet.
Den genforhandlede aftale med CSC løber frem til 31. maj 2019, men giver Rigspolitiet en kattelem.
Rigspolitiet kan nemlig skriftligt opsige aftalen før tid - bare ikke før maj 2017.
Til den tid har CSC driftet systemerne i 21 år.
CSC udtaler sig ikke
Computerworld har i flere dage forsøgt at få en kommentar fra konstitueret direktør for Rigspolitiets Koncern It, John Vestergaard, samt CSC's nordiske direktør for public sector, Jette Aagaard Madsen.
John Vestergaard meddelte i sidste uge, at han ville svare på Computerworld's spørgsmål, men har ikke svaret på henvendelser siden.
Jette Aagaard Madsen har ikke taget telefonen og lader pr-konsulent Marcus Bjørn Kraft tale på sine vegne.
Marcus Bjørn Kraft meddeler per mail, at 'CSC udtaler sig aldrig om kundeforhold til pressen'.
Jette Aagaard Madsen, har dog i et tidligere interview med Computerworld understreget, at netop systemdokumentation er vigtig for både kunderne og CSC.
Du kan læse dette interview her: Sådan beholder CSC sine kontrakter i 20 år.
"Der bliver opbygget en masse dokumentation gennem tiden. Vi har jo en forpligtelse til, at dokumentationen er så relevant, at den kan bruges til at sende en opgave i udbud. Det er et vigtigt krav, også på nogle af de gamle opgaver. Det er jo et redskab for os, og det er det også for kunden på udbudstidspunktet," lød det dengang.
Rigspolitiets Koncern It er i de senere år flere gange blevet kritiseret voldsomt af både Rigsrevision og medarbejder-organisation.
Politiets medarbejdere har blandt andet kritiseret, at de i snit spilder hele 45 minutter om dagen på irriterende it-bøvl.
Det kan du læse mere om her: Så ringe er politiets it-systemer: Ansatte spilder 45 minutter om dagen på it-bøvl
Hertil kommer, at Rigsrevisionen i fjor rettede kraftigt kritik af Rigspolitiets it-sikkerhed.
Dengang bedyrede daværende CIO, Michael Steen Hansen, at problemerne ville blive løst.
Det kan du læse mere om her: Efter lammende kritik af politiets it-sikkerhed: Sådan vil CIO'en løse problemerne
Computerworld har gentagne forsøgt at få CSC og Rigspolitiet til at uddybe forløbet, men parterne vil ikke stille op til interview.
Du kan se de spørgsmål, som Computerworld gerne ville have stillet CSC og Rigspolitiet her: Total tavshed fra Rigspolitiet og CSC om manglende udbud: Her er Computerworlds spørgsmål.