onsdag 14. november 2012

BankID inn i den offentlige varmen

I dag kom det en pressemelding fra Fornyingsdepartementet til Rigmor Aasrud om at vi snart kan bruke BankID til å logge oss på statlige nettsider. Før kunne man bruke statens egen MinID og et par private løsninger til dette, men fordelen med Bank ID er at det brukes av 2,8 millioner innbyggere som har sin BankID lett tilgjengelig fordi den brukes ofte til pålogging på nettbanker.

Dette er derfor en god nyhet. Skal overgangen til mer bruk av nettbaserte offentlige tjenester lykkes, er det viktig at man bruker en teknologi folk har og som er enkel å bruke. Men man kan jo, i likhet med lederartikkelen til Henning Meese i Computerworld, lure på hvorfor dette har tatt så skrekkelig lang tid.

Selv var jeg leder for arbeidsutvalget i noe som het Nasjonalt PKI-Forum, oppnevnt av Næringsdepartementet i 2001 og senere overført til Moderniseringsdepartementet. Dette var en periode en svært aktiv møteplass for både offentlige og private virksomheter som var opptatt av å få til en utrulling av elektronisk IDer. Det ble laget et strategidokument for en samfunnsinfrastruktur for eID allerede i 2002, et dokument som inneholdt anbefalinger som i sine grunnprinsipper var de samme som det som nå er besluttet, ti år senere.

Den politiske bakgrunnen var en offentlig utredning, NOU 2001:1 Uten penn og blekk - Bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen, som blant annet startet arbeidet med å ta tak i de lovmessige utfordringene med å sidestille elektroniske IDer og -signaturer med de papirbaserte. For å ta tak i utfordringene knyttet til virksomhetsmodeller og organisering ble det også satt ned flere ulike utvalg under PKI-Forum som jobbet frem rapporter og anbefalinger. Ikke alt dette er å finne på nettet lenger, men jeg fant noen rapporter her på PTs nettsider og en stausrapport laget i 2004 av Jon Ølnes som da jobbet i IBM, som beskriver noe av det som ble gjort og diskutert for snart ti år siden.

Viktige næringslivstalerør, som Abelia, Finansnæringens Fellesorganisasjon og Computerworld, har i mange år argumentert for at BankID burde tas i bruk om påloggingsmulighet for offentlige nettsteder. Når en digital teknologi er sikker nok til å håndtere pengene dine, så burde det også være godt nok til å håndtere andre tjenester der man utveksler personopplysninger og andre sensitive data. Spørsmålet er derfor hvorfor det har tatt så skrekkelig lang tid? Jeg tror det i hvert fall er tre problemer med offentlig sektors håndtering av it-prosjekter som kan bidra til å forklare dette.

For det første skjer det ganske ofte at offentlige virksomheter overvurderer viktigheten av sine egne nettjenester og undervurderer hvor mye mer hyppig bruken av en del private tjenester på nettet er for borgerne. I forhold til en nettbank, som folk kan ha behov for å bruke flere ganger i uken, er en offentlig nettside betydelig mindre viktig. Man sender ikke inn selvangivelser eller barnehagesøknader mer enn en gang i året. Få bytter fastlege særlig ofte. Bare et lite mindretall i befolkningen har behov for å bruke offentlige nettsider mer enn ganske sporadisk. Derfor er BankID viktigere for staten enn statlige nettsider er for BankID. Det kan være lett å glemme når man jobber i et departement.

For det andre hører man ofte at det er en sterk tro på at egne offentlige tjenester er veldig spesielle i forhold til det alle andre i verden holder på med, og derfor trenger skreddersydde løsninger som må utvikles fra grunnen. Slik prosjekter er gjerne både dyre og kompliserte, og legger man på litt ekstra krav til sikkerhet og funksjonalitet ender man opp med løsninger som ikke spesielt enkle å bruke, er dyre å drifte og som det viser seg at få borgere tar i bruk. Ved å erkjenne at man ikke er fullt så spesiell og tar i bruk løsninger som andre synes er mer enn bra nok, kan man både få flere fornøyde brukere og spare mye penger.

For det tredje er det min erfaring at det ofte er en manglende forståelse i statsforvaltingen for private aktørers forretningsmodeller. Staten kan fatte politiske vedtak om at brukere skal betale for ting, enten brukerne vil eller ikke. Eller de vedta at at penger skal brukes til å utvikle og drifte en bestemt teknologisk løsning, som da tilsynelatende blir "gratis" for borgerne, men som egentlig er betalt av oss skattebetalere. En privat tjenesteleverandør, også av en infrastruktur som skal brukes av det offentlige, kan ikke vedta inntektene sine, men er nødt til ta betalt, for eksempel gjennom en pris for hver transaksjon. Hvis ikke staten respekterer at næringslivet må ha en forretningsmodell som gjør det mulig å tjene penger er det vanskelig å komme i mål med en løsning. Heldigvis har man fått det til denne gangen.