Strategi for eID i offentlig sektor

I februar 2021var jeg en del av den politiske ledelsen i KMD som satte i gang et arbeid med å lage en ny nasjonal strategi for eID i offentlig sektor, noe som blant annet handler om innbyggernes mulighet til å logge seg på offentlige nettsider praktisk og sikkert. Dette arbeidet er koblet til oppfølging av digitaliseringsstrategien for offentlig sektor, men også med det generelle arbeidet for med å styrke og modernisere id-forvaltningen i Norge, blant annet noen utfordringer som var gjenstand for en områdegjennomgang og som jeg antar skal følges opp av regjeringen.

Nå har regjeringen i hvert fall lagt frem en strategi for eID-området, og sendt på høring. Den har svært gode beskrivelser og analyser av hva problemstillingene handler om, og gjør det på en kompakt og god måte. Bare 38 sider. Svakheten er at det mest brukte ordet under tiltakspunktene er ordet "vurdere". Så foreløpig er det noen gode beskrivelser av hva som kunne vært gjort, men ingen forpliktende og forutsigbar plan for hva som skal gjøres og når det skal gjøres.

Men før jeg går inn i dette er det grunn til å ta et lite skritt tilbake og minne om at bruk av eID for å få tilgang til offentlige tjenester har vært en formidabel suksess i Norge. Det var omkring 50 millioner årlige pålogginger i 2013, nå er det over 300 millioner. Og stat og kommune er et felles eID-rike ved at man bruker ID-porten som felles portal på tvers av sektorer og stat og kommune. Antall offentlige tjenester som bruker ID-porten har økt fra omtrent 200 i 2012 til over 8 000 i 2021. I samme tidsperiode har antall offentlige virksomheter som benytter ID-porten økt fra 3 til 1200.

En viktig årsak til denne suksessen var at staten ikke baserte seg på en egenutviklet eID-løsning alene, men valgte å samarbeide med private løsninger som allerede var utbredt hos innbyggerne, som BankID og, etter hvert, BankID på mobil. Strategien beskriver dette slik:

"Ved å benytte ID-porten, slipper virksomheter å kjøpe og administrere egne innloggingsløsninger, og brukeren kan benytte sin foretrukne eID for innlogging til offentlige tjenester. Det er tre markedsbaserte eID-er som har avtale med ID-porten per i dag. Dette er BankID, Buypass og Commfides. I tillegg kan brukerne benytte den offentlig eID-en MinID. Av nærmere 300 millioner innlogginger på offentlige digitale tjenester i 2021, sto MinID for 5,5 prosent av innloggingene, BankID for 93,44 prosent, Buypass for 1,02 prosent og Commfides for 0,01 prosent."

I denne suksessen til BankID ligger det også noen utfordringer. For det offentlige er det en utfordring at en leverandør er blitt så stor og dominerende. For BankID og deres eiere er det en utfordring at de på grunn av denne sterke stillingen er blitt en av de mest sentrale aktørene i offentlige tjenestekjeder og møter krav og forventninger om å løse problemer de egentlig ikke er satt opp for å gjøre. Og samtidig er er BankID store også utenfor offentlig sektor, ikke minst innen banktjenester. Bare en tredel av BankIDs trafikk er offentlig, mens over 90 prosent av ID-portens pålogginger skjer i Bank ID. 

Strategien fra regjeringen går inn i fem ulike målområder av ulik karakter, blant annet ID-utstedelseskjeden, som blant annet omfatter biometrisk bekreftet "unik" ID i folkeregisteret, europeiske planer om eID-standarder som virker på tvers av landegrenser, inkludert en mulig digital lommebok. Og drøftinger av hvordan behovet for ansatt-IDer i offentlig sektor skal løses fremover.. 

Men det er oppfølgingen av det første målområdet "Alle relevante brukergrupper skal enkelt kunne skaffe seg en eID på det sikkerhetsnivået de har behov for" (side 14) som sannsynligvis vil skape mest oppmerksomhet, og kanskje en hel del skuffelse over at tiltakene ikke er mer konkrete. Hva handler dette om? Som sagt er strategien god på problembeskrivelse og den beskriver hvordan en del grupper i samfunnet ikke har tilgang til eID på det høyeste sikkerhetsnivået og dermed heller ikke har tilgang til sine egne personopplysninger, blant annet helseopplysninger:

"Oppsummert er det følgende udekkede behov og utfordringer:

• Lav utbredelse av eID på sikkerhetsnivå høyt blant enkelte brukergrupper kan lede til digitalt utenforskap. Særlig gjelder dette eldre, hjelpetrengende og ikke-digitale brukere, unge mellom 12 og 15 år, samt utenlandske borgere og asylsøkere.

• Mangel på digitale fullmaktsløsninger gjør at pårørende eller verger for eldre, hjelpetrengende og ikke-digitale brukere opplever store utfordringer med hensyn til å ivareta vergehavers eller den hjelpetrengendes interesser.

• Mangelfull konkurranse i eID-leverandørmarkedet kan gi offentlig sektor en svekket posisjon i forhandlinger om enhetspriser. I tillegg kan funksjonaliteten i ID-porten bli påvirket negativt i ut fra et robusthets- og sikkerhetsperspektiv."

De to første punktene er store og viktige utfordringer for deltagelse og likestilling i samfunnet og må finne gode teknologiske løsninger slik at vi unngår direkte utenforskap eller tungrodde og upraktiske manuelle og fremmøtebaserte alternativer. Dessverre er det som nevnt ingen konkrete tiltak i denne delen av strategien, men noen "vurdere"-punkter. Et slikt punkt er å utvikle en offentlige eID på høyeste sikkerhetsnivå til de som av ulike grunner ikke har tilgang til dagens løsninger. For eksempel en MinID på høyeste sikkerhetsnivå.

Men kunne staten tenkt motsatt? Når dagens BankID uansett er så innvevd i offentlige digitale tjenester og kanskje risikerer å møte konkurranse fra en statlig ID-konkurrent, kunne man i stedet funnet en bedre offentlig-privat samarbeidsmodell for denne id-infrastrukture? I dag bidrar en del offentlig lovgivning, blant annet på finansområdet til å hindre BankID i å kunne ta ansvaret for at alle de som er nevnt i punktene over får full digital deltagelse. Men når det er staten som både lager lover og tilrettelegger for digitale innbyggertjenester, er det jo fullt mulig å løse dette uten å spenne ben på seg selv.

Jeg kunne skrevet mye mer både om dette målområdet og om de øvrige, ikke minst om hvordan det må være mulig å bruke eID-er på tvers av landegrenser og hvordan EU må ha lederrollen i dette arbeidet. Norge har et godt utgangspunkt for å være et foregangsland når det gjelder å utvikle og ta i bruk slike løsninger. Men det får jeg komme tilbake til.