Hvor ble det av reformene som skulle sikre en mer effektiv og brukervennlig identitetsforvaltning for innbyggere, bedrifter og myndigheter? Og samtidig beskytte oss bedre mot blant annet svindlere, arbeidslivskriminalitet og avanserte kriminelle nettverk?
Svaret etter å ha lest DFØs "Etterevaluering av Områdegjennomgangen av ID-forvaltningen fra 2019", som kom tidligere i år, og også tatt et blikk på Finansdepartementets nylige budsjettproposisjon, er at her går det veldig, veldig sakte. DFØs rapport er riktignok ganske snill med departementene, og holder muligheten åpen for at det faktisk skjer noe, men det må være lov å lure på om det stemmer, eller om arbeidet med flere viktige tiltak har stoppet opp.
Statens svindles for milliarder
Før jeg kommer inn på områdegjennomgangen fra DFØ av ID-forvaltningen, tiltakene som ble foreslått der, og hva som er gjort og ikke gjort i etterkant, må jeg ta en liten avstikker til "hva er problemet? og "hvorfor er det så problematisk at dette ikke er i orden?"
Dagens Næringsliv har de siste dagene og ukene hatt en serie med artikler om hvordan staten og stalige velferds og refusjonsordninger tappes for millarder av kroner. Ikke fordi noen ønsker at det skal være slik, men fordi en kombinasjon av ulike forhold gjøre det mulig, der det er flere ting som virker sammen.
Vi har: a) svært godt organiserte og digitalt avanserte internasjonale kriminelle som kan mye om norsk forvaltning, b) automatiserte og tillitsbaserte digitale systemer for velferdsytelser og innrapportering av skatt, mva, og selskapshendelser, c) for dårlige systemer og lovhjemler for datadeling mellom myndigheter og mellom myndigheter og private som skal forebygge, forhindre og avsløre økonomisk kriminalitet, og d) stortstilt bruk av falske eller misbrukte person-IDer og fiktive selskaper, fordi det er for lett å utgi seg for å være en annen enn den man egentlig er.
Dagens Næringsliv skrev en lengre magasinsak i fjor om "Slik tapper kriminelle statskassen for milliarder", som gir en slags oppskrift på en tilrettelagt digital "misbruksreise", det vil si vrangsiden av den gode digitale brukerreisen som det lovlydige flertallet ønsker seg. I høst har DN også skrevet enda flere artikler om tapping av statskassen, blant annet om hvordan "Både Skatteetaten og Nav Kontroll ser en kraftig økning i avansert svindel fra kriminelle nettverk mot offentlige systemer." Den saken var en oppfølging av en større magasinsak for litt over en uke siden som slo fast: "Tegner bildet av granatkrigens økonomiske bakteppe: – Staten finansierer kriminelle nettverk".
Behov for tiltak på systemnivå
Det er med andre ord mye som står på spill. Ikke bare målt i penger, men når det gjelder tilliten til at myndighetene er i stand til å forebygge og avsløre kriminalitet, og troen på at det lønner seg å være lovlydig og følge spillereglene. Med avsløringene kommer også et helt forutsigbart rom om handling fra Stortingets opposisjonspolitikere og fra medias kommentatorer. "- Vi må ha kraftfulle tiltak", er den logiske etterlysnsningen. "- Noe må bli gjort NÅ."
Problemet er at dette "noe" som må gjøres ikke er så lett å få grep om hva er. Man kan raskt bevilge noen flere penger til politifolk, tilsyn eller skattekontroller, men problemet er at flere av tiltakene som virkelig kan gjøre en forskjell ikke blir løst gjennom å øke volumet på kontroller. Tiltak som mer og mer effektiv deling av kontroll- og tilsynsdata, bedre sanntidsoversikter over eierskskap og selskapshendelser, og, ikke minst, en identitetsforvaltning som gjør at vi vet hvem vi har med å gjøre, har ikke blitt prioritert. Mens den digitale telmpøpgo- og tjenesteutviklingen går i et voldsomt tempo, er den politiske interessen og kunnskapen om hva dette innebærer. temmelig lav.
Men interessen har ikke vært helt fraværende, i hvert fall ikke hele tiden. Solberg-regjeringen utstyrte seg selv med et statssekretærutvalg for ID-forvaltning (ja, jeg var med der), ledet av Justisdepartementet, som skulle ta ting videre til politiske beslutninger. Det skjedde omkring 2013, og viste seg å bli en temmelig seig og flokete prosess der de fleste som deltok var mest opptatt av sin egen sektor, og ID-utfordringer der. Men innsikten og delingen som skjedde bidro nok til å løfte bevissheten noen hakk om at dette er ting man ikke løser raskt gjennom noen møter, men er floker som trenger en grundigere og mer tverrsektoriell prosess.
Områdegjennomgang av ID-forvaltningen
Staten på øverste nivå behøvde rett og slett bedre innsikt i de ulike sektorenes roller og behov på ID-området, og det ble identifisert et særlig behov for en rydding i hva sektorene kan gjøre hva for seg, og hva som tilhører et "systemnivå" på tvers av sektorer og forvaltningsnivåer. Vi kan jo ikke ha egne folkeregistre i hver sektor og i hver kommune, så en infrastruktur og et styringssystem for å hjelpe samfunnet holde bedre orden på hvem som er hvem, er viktig. Og i en digital tid må ID-forvaltningen sørge for at ulike digitale tjenester kan holde orden på hvem som er hvem.
Derfor ble det satt i gang en såkalt "områdegjennomgang", et statlig utredningsvirkemiddel som brukes til litt bredere tematiske gjennomganger av områder der det kan være muligheter for effektiviseringsgevinster og bedre helhetlig måloppnåelse om man ser ulike virkemidler og myndighetersroller i sammhenheng. Kunnskap som gjør at man kan avskaffe dobbeltarbeid, tette hull og utvikle felles teknologi og tjenester dersom flere har lignende utfordringer. Man kan gjøre mer av de som virker og mindre av det som ikke virker.
Norge ble anbefalt av OECD å gjøre slike områdegjennomganger, og har gjort det siden 2016 (her er en oversikt over alle). Noen har hatt et noe ensidig fokus på adminsitrative besparelser, men på sitt beste er de også opptatt av helhet og resultatoppnåelse langt bredere, og kan være godt egnet til å gå løs på krevende tverrsektorielle forvaltnigsfloker, som har både juridiske, økonomiske og organisatorske elementer, som berører flere sektorer, som berører både offentlige og private virksomheter, og som kan være fulle av målkonflikter, for eksempel hensynet til effektivitet og tillit vs hensynet til sikkerhet og personvern. Dessuten er et fellestrekk ved slike problemer at gevinstene kommer et annet sted enn der det koster penger å lage et bedre system, noe som gjerne bremser interessen for å investere, og gjør det nødvendig å se innsatsen i en større helhet.
ID-forvaltingen var med andre ord et prefekt tema for en ny områdegjennomgang. Capgemini Invent fikk jobben og laget ikke bare en, men, etter litt frem og tilbake, kom det to rapporter på oppdrag fra Finansdepartementet, Justis- og beredskapsdepartementet, Samferdselsdepartementene og Kommunal- og moderninsringdepattementet, og hele fem andre departementer var med i en referansgruppe: Nærings- og fiskeridepartementet, Utenriksdepartementet, Kunnskapsdepartementet, Arbeids- og sosialdepartementet og Helse- og omsorgsdepartementet.
Tiltakene som skulle følges opp
Områdegjennomgangens hovedrapport på 308 sider kom i september 2019, og så ble det gitt et tutvidet mandat som resulterte i en tilleggsrapport i desember 2019. Noen av anbefalingene i tilleggsrapporten var annerledes enn i den opprinnelige rapporten, så alle som skulle følge opp måtte passe på å få med seg begge. Kort oppsummert ble disse åtte tiltakene identifisert som de mest sentrale for å få på plass en nødvendig sikkerhet, effektivitet og brukervennlighet (side 7-8 i etterevalueringen).
- Visjonen én person, én identitet i Norge som felles strategisk mål for ID-forvaltningen.
- Tilslutning til UNIK som strategisk mål.
- Tilbud om nasjonalt ID-kort til utenlandske borgere.
- Avvikling av plan for nasjonal eID.
- Utstedelse av eID skal i fremtiden i all hovedsak utføres av aktører i det
kommersielle markedet.
- KMD (nå DFD) skal utrede muligheten for kvalitetssikring og styrking av
kommersielle aktørers rutiner for utstedelse av eID
- Gjennomføring av status UNIK i Folkeregisteret
- Vurdere avvikling av EØS-registreringsordningen
Det er denne listen DFØs ettervaluering av områdegjennomgangen bruker når den vurderer hva som er gjort og ikke gjort av oppfølging, og hvilke gevinster som er oppnådd. Hvis jeg ytterligere skal beskrive og forenkle dette ned til noen hovedkategorier av innsatsområder, ser listen omtrent slik ut:
- Realisering av målet om én person, én identitet i Norge, juridisk, teknisk og praktisk. Det vil si en entydig og unik sammheng mellom mellom de registrerte dataene om en person, inkludert biometri, og den fysiske personen. (Punktene 1,2 og 6 over gjelder unik ID).
- Tilgang til og bruk av elektronisk ID (eID) til offentlige tjenester og en teknisk, juridisk og brukervennlig sammenheng mellom en persons fysiske ID og eID. (Punktene 4,5 og 6 gjelder eID).
- Tilbud om nasjonalt ID-kort til alle i Norge, også utenlandske borgere (punkt 3).
Utviklingen i etterkant har løftet fram ytterligere utfordringer, kanksje særlig på eID-området. Og som alltid med tverrsektorielle utfordringer er det også viktig å avklare: Hvem har ansvaret for å løse disse problemene? Og hvem har ansvaret for den helhetlige ID-forvalitngen i Norge som disse problemene er en del av?
Hvor ble det av reformene av ID-forvaltningen? DFØs funn
DFØs etterevaluering som kom tidligere i år, over 5 år etter, har som sagt gått på jakt etter spor av oppfølgning av områdegjennomgangen. Det har av flere grunner ikke vært så lett. DFØ skriver om regjeringens oppfølging av de 8 punktene at:
"Gitt at beslutningspunktene fra regjeringsbehandlingen ikke er offentlig tilgjengelige, har det vært utfordrende for DFØ å kartlegge hvilke tiltak som ble besluttet som følge av områdegjennomgangen. Det ble, så langt vi har erfart, ikke utarbeidet en felles samlet oppfølgingsplan for oppfølging for områdegjennomgangen spesielt. Oversikten over besluttede tiltak i listen (...) er derfor utarbeidet av DFØ, etter beste skjønn og formulert av oss, på bakgrunn av det gjennomførte kartleggingsarbeidet."
Og fordi det ikke finnes noen skriflige spor, i hvert fall ikke i form av noen felles og helhetlig oversikt over hva som har skjedd med tiltakene som ble foreslått av områdegjennomgangen, har DFØ selv gjennomført intervjuer med de involverte departementene, og forsøkt å sette sammen puslespillets biter:
"Etter vurdering av de to rapportene, fremmet de involverte departementene forslag til oppfølgingspunkter for sittende regjering i 2021. Protokollen fra regjeringsbehandlingen er ikke offentlig tilgjengelige. Vi har ikke funnet spor, verken i form av kongelig resolusjon, i statsbudsjettet for 2022 eller senere, eller i andre skriftlige kilder som tyder på at det er tatt formelle beslutninger om tiltak med budsjettmessige gevinster. (...) Områdegjennomgangen resulterte imidlertid i flere prosessbeslutninger med sikte på fremtidige gevinster i form av økt sikkerhet, effektivitet og brukervennlighet. Etterevalueringen har følgelig fokusert på å undersøke om prosessbeslutningene er fulgt opp, og status for pågående arbeid.
Uten å avsløre noen statshemmeligheter, kan jeg bekrefte fremstillingen DFØ gir av at det var en samlet behandling i regjeringen av en lang liste med oppfølgingspunkter høsten 2021. Ulike konstellasoner av berørte departementer fremmet sakene de var ansvarlige for. Om det har vært noen samlet regjeringsoppfølging etter høsten 2021 vet ikke jeg, og det vet tydeligvis ikke DFØ heller. De har ikke funnet noen spor av det, og har i stedet valgt å jakte etter andre tegn på handling.
Det mest konkrete og synlige som har skjedd etter områdegjennomgangen av ID-forvaltningen gjelder eID. Punkt 4 om å avvikle planen om på utvikle en egen nasjonal eID og i stedet satse på aktørene i det kommersielle markedet, som Bank ID, ble fulgt opp umiddelbart. Planen om å introdusere et eID som del av et nasjonalt ID-kort ble begravet permanent. Da hadde Politidirektoratet jobbet med en slik løsing helt siden 2007. I mellomtiden hadde både smarttelefoner og BankID på mobil kommet til verden, mens PCer med kortlesere definitivt ikke tilhørte fremtiden.
Det er ikke like opplagt at private løsninger kan erstatte behovet for en offentlig eIDpå alle områder. Hva med de som ikke får utstedt et Bank ID? Hva med koblingen mellom fysisk id og eID? Hva med virksomhets-ID, utlendingers eIDer, utviklingshemmede som har verger, og verger som trenger fullmaktsløsninger? I 2021 ble ut utkast til en nasjonal eID-strategi sendt på høring og våren 2023 ble
Nasjonal strategi for eID i offentlig sektor vedtatt av regjeringen. De ansvarlige for eID løp avgårde, men hvor er det blitt av resten av ID-forvaltningen? Kan man ha en velfungerende eID-forvaltning uten å ha en velfungerende ID-forvaltning?
DFØs vurdering av status
Poenget med en slik etterevaluering er å finne ut hva som faktisk har skjedd med oppfølgingen av av tiltakene som skulle gjennomføres. Og som nevnt finner man ikke spor av noen samlet oppfølging etter 2021, men DFØ er diplomatiske og temmelig forsiktige i språkbruken:
"DFØs kartlegging viser at flere av de besluttede tiltakene er i prosess, men få er foreløpig ferdigstilt. Informantene peker på at gjennomføring av tiltakene må forventes å ta noe tid, gitt den juridiske og/eller tekniske kompleksiteten tiltakene innebærer"
Vel, det kan jo være grunn til å minne om områdegjennomgangens rapporter kom i 2019, regjeringen behandlet listen over prioriterte oppfølgingstiltak i 2021 og eID-strategien fra DFD kom i 2023, så "noe tid" har det vært til å følge opp de andre tiltakene også. Ganske mye tid, faktisk, uten at så mye er gjennonmført. DFØ går gjennom tiltakene og slår fast at:
- Visjonen én person, én identitet er ikke fulgt opp i form av en felles nasjonal ID-strategi, slik områdegjennomgangen anbefalte, men DFØs informater kan fortelle at visjonen finnes som et "felles strategisk mål for ID-forvaltningen". DFØ har også funnet spor av målet i fenkelt andre dokumenter.
- Tiltaket nasjonalt ID-kort til utenlandske borgere er utredet flere ganger og vedtatt som mål flere ganger. Det blir stadig gjentatt at en første implementering er rett rundt hjørnet (DFØs rapport skriver våren 2025). Fra april 2025 kan EØS-borgere som har et norsk fødselsmunner søke om å få et nasjonalt ID-kort, men ikke andre utenlandske borgere.
- Tiltakene som gjelder eID, og bruk av private leverandørers tjenester til tilgang til det offentlige er som nevnt det som er blitt fulgt opp. Samtidig som det er en rekke tilleggsproblemstillinger knyttet til eID som har kommet opp, og som i varierende grad er løst.
Uenighet om gjennomføring av UNIK i Folkeregisteret
Men viktigst av alt for både effektivisering, brukervennlighet, og kriminalitetsbekjempelse er tiltaket "gjennomføring av UNIK i Folkeregisteret". Det er dette som vil sikre at en person bare kan ha et identitetsnummer, og som også er en sentral forutsetning for resten av reformen av ID-forvaltningen:
"DFØs kartlegging viser at arbeidet med etablering av UNIK er godt i gang. UNIK ble regulert i lovverket første gang i 2016, og arbeidet med innføring har pågått siden den gang. Informantene opplyser at det fortsatt gjenstår enkelte tekniske avklaringer før tiltaket kan implementeres, uten å konkretisere nærmere hva som gjenstår.
Denne delen av rapporten er den mest interesante analysen fordi den gir litt innsikt i dårlige prosesser og uenigheter mellom statlige etater som har bidratt til at ting ikke er kommet på plass. Når det gjelder UNIK i Folkeregisteret skriver DFØ at:
"Informasjon i tilleggsrapporten viser imidlertid at det har vært uenighet mellom politiet og utlendingsmyndighetene om registervalg for biometrisøket. Videre tyder informasjon i Skatteetatens årsrapport for 2023 på at Skatteetaten har avventet beslutningen om hvem som skal tildeles det nasjonale ID-kortet."
Når skal det gjennomføres? Vel, det har ikke DFØ funnet noe svar på:
"Informantene angir ikke tidspunkt for innføring av UNIK. Av Skatteetatens årsrapport for 2023 framgår det at tidspunktet avhenger av den politiske beslutningen om utbredelsen av nasjonalt ID-kort til utenlandske statsborgere. Skatteetaten fremholder i nevnte årsrapport at en vellykket innføring vil avhenge av en felles innføringsplan og prioriteringer mellom politiet og Skatteetaten."
Gevinster, læring og videre oppfølging
Avslutningen på slike evalueringsrapporter skal i teorien beskrive om det har vært realisert gevinster i prosjektet, og hva læringspunktene har vært. Dette er, for å si det forsiktig, ikke denne evalueringens sterkeste side. Noen identifiserbare gevinster har ikke kommet, og ble vel strengt tatt ikke konret beskrevet i områdegjennomgangen heller. I hvert fall ikke på et tallfestet nivå. Sammendraget slår tvert imot fast at:
"Det synes ikke å være oppnådd konkrete gevinster som følge av besluttede tiltak per nå. Noe av forklaringen kan ligge i at det fortsatt er mange oppfølgingsprosesser som ikke er sluttført. En annen årsak kan være at siden det er store avhengigheter mellom tiltak i ulike sektorer, må flere tiltak være på plass før de ønskede virkningene skal kunne oppnås."
5-6 år etter at områdegangen ble igangsatt skulle mankanskje forvente at noe var gjennomført, men evalueringen sier ikke så mye om det. Og selv om evalueringen litt febrilsk prøver å slå fast at det kan ha kommet noe god læring ut av arbeidet, er det ikke helt klart hva man har lært som man ikke kunne lært uansett. Tvert imot virker det som om erkjennelsene av at dette arbeidet bare lykkes hvis det gjøres koordinert og tverrrsektorielt, og at det må tildelses at tydeligere ansvar for ledelse av arbeidet med ID-forvaltningen, nå ser ut til å ha forsvunnet ut av bevissheten. Evalueringsrapporten slår fast at:
"Et overordnet formål med områdegjennomgangen var å gi en tydeligere myndighetsfordeling og en mer koordinert innsats på ID-området. DFØs kartlegging viser at myndighetsfordelingen er uendret. Ingen av departementene har fått tildelt koordineringsansvar på området."
Finansdepartmentets budsjettproposisjon
Hvor er så Finansdepartementet og Skatteetaten blitt av i oppfølgingen av ID-arbeidet? Vel, i Finansdepartements budsjettproposisjon som nettopp kom er i hvert fall problemstillingene nevnt. I omtalen av Skatteetatens mål og prioriteringer for 2026 er det et avsnitt om "Betre identitetsforvaltning", som forteller at det finnes koordineringsorganer på departementsnivå og også mellom deres underliggende etater på identitetsområdet. Der er jo fint. Det mest konkrete som om bedre ID-forvaltning i budsjettet er et kort avsnitt om "Etablering av unik i folkeregisteret". Der står det at:
"Tilliten til Folkeregisteret avheng av at samfunnet kan stole på at ein person berre har eitt fødselsnummer eller d-nummer. Innføring av status unik vil «låse» ein person til ein identitet i Folkeregisteret, og redusera moglegheita for at same person kan ha fleire fødselsnummer eller d-nummer i Noreg. Dette vil redusere risikoen for ID-misbruk og auke kvaliteten på opplysningar i
Folkeregisteret.
Skattedirektoratet har sendt på høyring forslag om vilkår for registrering av status unik i Folkeregisteret. Det inneber at registrering av unik skal gjerast på grunnlag av melding frå politiet om at biometriske data om personar er sjekka for unikheit gjennom et ein-til-mange søk mot biometri som er lagra i pass- og ID-kortmyndigheita og mot utlendingsmyndigheita sine register. Førebels er det norske statsborgarar og utanlandske statsborgarar med fødselsnummer som kan bli registrert som «unik» i Folkeregisteret, dvs. ikkje personar med d-nummer. Etaten skal i 2026 samarbeide med UDI og politiet om å etablere unik identitet i Folkeregisteret."
Og her er vi tilbake til det jeg startet med. Bekjempelse av avansert økonomisk kriminalitet som utnytter våre automatiserte og tillitsbaserte digitale systemer, krever en mye bedre ID-forvaltning. Vi må at folk er de personene de gir seg ut for å være, og at ingen har flere identiteter eller bruker andres identiteter. Medieoppslagene minner oss på at det haster å få et slikt system på plass. Merkelig nok står det ikke noe sted at det er høyt prioritert å gjennomføres det.
