e-Estland vs. e-Norge – hva kan vi lære?

Denne artikkelen sto først i Computerworld nr 30 – 2017.

Suksess med digitalisering handler om brukerorientering og tjenestedesign, men det handler like mye om teknisk og juridisk arv, samarbeidskultur og politikk. e-Norge ligger godt plassert i tetgruppa i digitaliseringskappløpet, men hva kan vi lære av e-Estland?

Estlands digitale suksesshistorie har fått mye oppmerksomhet i høst, og mye er vel fortjent. Likevel er det ikke grunn til å svartmale historien om e-Norge.  Norge ligger faktisk foran – eller er like gode som – Estland på en rekke områder, som skatterapportering fra innbyggere og næringsliv, e‑resept, sykefraværsoppfølging og en lang rekke næringslivsordninger. Norsk næringslivs dialog med det offentlige er nær 100 prosent digital – her er det knapt noe land som slår Norge.

NAV, Skatteetaten, Oslo kommune, Direktoratet for byggkvalitet, e-Helsedirektoratet og en rekke andre offentlige virksomheter jobber systematisk og godt med tjenestedesign for å bygge verdensledende tjenester på tvers av siloer og forvaltningsnivåer.

Likevel har Estland har fått et visst forsprang på enkelte områder. Her er noen viktige årsaker:

  • Utbredt Nasjonalt ID-kort med støtte for ende-til-ende-kryptering helt fra 2002
  • Integrasjonsplattform med autorisasjon mot både offentlige og private datakilder
  • Streng og lovpålagt informasjonsforvaltning og datautveksling
  • Sentralisert styring av digitaliseringen
  • Estland kunne starte med blanke ark i 1991, både politisk, organisatorisk, juridisk, teknisk og semantisk

Grunnmuren: Nasjonalt ID-kort

En vårdag i 2001 presenterte Katarina de Brisis fra Arbeids- og administrasjonsdepartementet utredningen «Uten penn og blekk – bruk av digitale signaturer i elektronisk samhandling med og i forvaltningen» (NOU 2001:10). Utredningen anbefalte etablering av en nasjonalt infrastruktur for digitale signaturer (Public Key Infrastructure). Det ville gi mulighet til sikker autentisering, sikring mot endring av informasjon (integritet), støtte for ende-til-ende-kryptering av innhold (konfidensialitet) og mulighet for å knytte innholdet til avsenderen (ikke-benekting).

Man skulle nesten tro at Estland hadde studert den norske utredningen da de innførte nasjonalt ID-kort i 2001. Men Estland overtok Finlands modell for nasjonalt ID-kort – med én viktig forskjell: I Estland ble alle innbyggere pålagt å skaffe seg eID-kortet. Det sikret rask og nødvendig utbredelse.

Estlenderne selv sier at nasjonalt ID-kort med digital signatur og sertifikater med støtte for autorisasjon og ende-til-ende-kryptering er selve grunnmuren i Estlands digitale suksess. Det gjør det mulig å sende sensitive personopplysninger til brukerens private e-postkonto, fordi innholdet bare kan leses etter å ha blitt låst opp ved hjelp av brukerens nasjonale ID-kort. eID-en i ID-kortet kan koples til forskjellig autorisasjonsinformasjon slik at samme løsning kan brukes til for eksempel å låse opp døra på jobben, gi tilgang til registre og systemer og ta ut penger i minibank.

Norge valgte markedsløsninger

I Norge bestemte politikerne seg for heller å satse på eksisterende markedsløsninger framfor et offentlig utstedt ID-kort. ID-porten tilbyr i dag flere gode alternativer for autentisering og digital signatur og er blitt en stor suksess. BankID har svært stor utbredelse og høy bruk. Og bare innen helsesektoren passerte nesten 200 millioner meldinger over Norsk helsenett i fjor, kryptert med virksomhetssertifikater fra Buypass eller Commfides.

Likevel mangler vi fortsatt en utbredt løsning som har støtte for ende-til-ende-kryptering av innhold som sendes til vanlige brukere. På den annen side er meldingsutveksling med sluttbrukere mer og mer på vei ut, og blir stadig oftere erstattet av autorisert tilgang og innsyn i informasjonen direkte hos datakilden.

I Norge lanserer Politidirektoratet nasjonalt ID-kort rundt årsskiftet 2018/2019, hvis alt går etter planen. Kortet vil ha elektronisk ID og digital signatur og vil inneholde et offentlig personsertifikat for ende-til-ende-kryptering, men det planlegges ikke etablert noen infrastruktur som klargjør for bruk av dette. Nasjonalt ID-kort vil heller ikke bli påbudt slik det er i Estland, men være et supplement til de kommersielle løsningene. Kort oppsummert: Norge og Estland valgte forskjellige strategier for eID og PKI ved årtusenskiftet som har gitt ulike resultater.

Styring, mål og prioritering

Etter tre måneder i direktørstolen ved Brønnøysundregistrene, pekte jeg i april 2014 på store utfordringer  i digitaliseringsarbeidet i CW-artikkelen «Digitalisering – samarbeid eller kaos». Der trakk jeg fram grunnforutsetningene for å lykkes med digitalisering, slik de er formulert gjennom European Interoperability Framework (EIF): Organisasjoners, systemers og personers evne til å jobbe sammen – også kalt juridisk, organisatorisk, teknisk og semantisk interoperabilitet. EIF understreker også viktigheten av å ha sammenfallende mål og prioriteringer på politisk nivå.

Estland kunne bygge både forvaltningen, systemene og lovgivningen fra grunnen av i 1991. De hadde framsynte og teknisk kompetente politikere og ledere som forsto viktigheten av interoperabilitet. I 2001 bygde de integrasjons- og autorisasjonsplattformen X-road. Informasjonsforvaltning og datautveksling vært lovpålagt siden 90-tallet. Sammen med eID-kortet har dette vært avgjørende suksessfaktorer.

Informasjonsforvaltning og autorisasjon

Brønnøysundregistrene har jobbet for å få på plass god informasjonsforvaltning på nasjonalt og internasjonalt nivå siden 90-tallet, med vekslende oppslutning og finansiering. I 2004 arrangerte vi for eksempel en stor europeisk «eGovernment Workshop on Semantic Interoperability» i Brønnøysund.  De siste årene har vi samarbeidet godt med DIFI på dette området, og vi kunne i fellesskap lansere Felles datakatalog på NOKIOS-konferansen for få dager siden. Vi er allerede godt i gang med planleggingen av neste viktige komponent – en API-katalog.

Vi som jobber med Altinn er stolte av den kraftfulle autorisasjonskomponenten i Altinn-plattformen. Helt siden 2004 har den automatisk gitt brukerne rettigheter på vegne av foretak og organisasjoner, ved oppslag mot rollene som er registrert i Enhetsregisteret. Autorisasjonskomponenten gjør det også mulig å dele informasjon og rettigheter videre basert på lovhjemmel, delegering eller ved brukerstyrt samtykke. Med lanseringen av felles datakatalog og etter hvert også API-katalog, åpner det seg nye muligheter for digital samhandling. Men ingen må tro at det finnes noen quick fix for å bygge teknisk og semantisk interoperabilitet – eller at en plattform bygget for estiske forhold bare kan kopieres og limes inn i Norge.

Samarbeid

Altinn er ikke bare en teknisk plattform, men også en samarbeidsplattform for gode samhandlingsløsninger på tvers av etatsgrenser og forvaltningsnivåer. Den planlagte nye tjenesteplattformen i Altinn, Tjenester 3.0, vil støtte selvbetjent tjenesteutvikling og produksjonssetting, med mulighet for å kunne jobbe både sentralisert og distribuert. Alt vi utvikler framover vil deles som åpen kildekode, og Tjenester 3.0 vil være det første hele produktet i Altinn som utvikles på denne måten.

Der vi først og fremst må sette inn støtet i sammenligningen med Estland, er videre satsing på autorisasjon for tilgang og datautveksling mellom godt dokumenterte tekniske grensesnitt (APIer) og stadig bedre informasjonsforvaltning. Her har Norge et stort stykke arbeid å gjøre.

Gjennom godt samarbeid med DIFI, skal vi sørge for at Norge fortsatt skal kjempe om pallplassene i verdensmesterskapet i digitalisering. Men – som alltid er den viktigste forutsetningen politisk forståelse, finansiering og gjennomføringsevne.