Høringssvar fra Bergen kommune

Bergen kommunes svar på høring – Ny strategi for eID i offentlig sektor:

Innledning

Bergen kommune takker for invitasjon til å levere høringssvar om utkast til ny strategi for eID i offentlig sektor, og har lest strategiutkastet med interesse. Området eID og sikker elektronisk autentisering, er et sentralt område for å sikre den videre digitaliseringen av offentlig sektor. Flere av de utfordringene kommunen har kjent på de siste årene når det gjelder å sørge for godt personvern for innbyggerne våre, knytter seg til begrensninger direkte eller indirekte relatert til de offentlige identifiseringsløsningene som er tilgjengelig i dag. Særlig gjelder dette brukergrupper som barn og unge, eldre, personer med funksjonsutfordringer, utenlandske borgere og andre sårbare grupper som har behov for å la seg representere digitalt av andre. Bergen kommune stiller seg positiv til at den nye strategien legger opp til at det offentlige skal ta økt ansvar for samordning mellom sektorer og for kjerneinfrastrukturen for utstedelse av eID. Robuste nasjonale felleskomponenter er en forutsetninger for at kommunenes videre arbeid med sammenhengende digitale tjenester kan skje på en effektiv måte som ivaretar personvernet til alle innbyggere.

Bergen kommune støtter de overordnete prioriteringene som reflekteres i strategiens fem overordnete mål. Det kommer tydelig frem av strategiutkastet at Kommunal- og distriktsdepartementet er godt kjent med behovene og utfordringene til kommuner og andre deler av offentlig sektor i dag, både når det gjelder yngre brukergrupper, eldre, hjelpetrengende, utenlandske borgere og andre sårbare grupper.

Det overordnede målet i Bergen kommunes egen digitaliseringsstrategi for perioden 2021-25 er en digital transformasjon av virksomheten. Dette skal oppnås gjennom brukersentrert tjenesteutvikling og en mer effektiv og samordnet utnyttelse av IT-løsninger både innad i kommunen og i tett samspill med resten av offentlig sektor. Gode løsninger for eID, med tilhørende løsninger for å håndtere relasjoner og fullmakter knyttet til den elektroniske identiteten er derfor et suksesskriterium og en forutsetning for at kommunen når ut med tjenestene til alle brukergruppene som ønsker eller trenger dem.

Bergen kommune ønsker å påpeke at det sett fra kommunenes ståsted haster med å få på plass en tiltaksplan og nødvendige finansiering for å akselerere utviklingen på eID-området i Norge. En del av problemstillingene som løftes frem har vært kjent i lengre tid og med strategien på plass, er det viktig å starte implementeringen for å ikke forsinke den videre digitaliseringen av offentlig sektor.

Bergen kommunes kommentarer til utvalgte mål og tiltak

Mål 1: Alle relevante brukergrupper skal enkelt kunne skaffe seg en eID på det sikkerhetsnivået de har behov for

Barn under 12 bruker i dag FEIDE til elektronisk identifisering. Bergen kommune mener at det ville være en fordel om det tilrettelegges for sikker tofaktor autentisering også for denne aldersgruppen, for eksempel nasjonalt smartkort eller lignende. En etablering av ny eID, eventuelt en endring av dagens FEIDE, bør legge til rette for elektronisk identifisering av barn fra 6 til 12 år på sikkerhetsnivå høyt med tilhørende fullmaktsløsning for dem som kan handle på vegne av barnet. Dette kan være aktuelt for pålogging i tjenester som inneholder fortrolig informasjon om barnet, slik som underveisvurderinger og kommunikasjonsløsninger.

Bergen kommune er glad for at etableringen av gode digitale fullmaktsløsninger er spesifikt nevnt i departementets ambisjoner for videreføring av eID-strategien. Vi ønsker å fremheve viktigheten av at barn og unge er korrekt koblet til sine foresatte i folkeregisteret med en ID (fødselsnummer, D-nummer eller en eventuell tredje type nummer) for at fullmaktsløsningene skal fungere godt for denne gruppen. Dersom barnevernet eller andre overtar omsorgen for barnet, må dette gjenspeiles ved at fullmaktene oppdateres i alle offentlige og private systemer.

Bergen kommune støtter behovet for å legge til rette for bedre løsninger for sikker elektronisk identifisering for utenlandske borgere uten norsk personidentifikator, som oppholder seg i Norge for en kortere periode. Dette er i tråd med kommunens ønsker om utbedringer for folkeregisteret som tidligere er formidlet til KS.

Et av de foreslåtte tiltakene (tiltak nr. 2) for å nå dette målet er å vurdere realisering av en offentlig utstedt eID på sikkerhetsnivå høyt. Det er svært viktig for Bergen kommune at en slik eID blir etablert.

Bergen kommune støtter at arbeidet med å gi alle unge en offentlig utstedt eID på nivå høyt prioriteres (tiltak nr. 3) og mener det er naturlig å se på muligheten for å benytte FEIDE til dette. Dette forutsetter likevel en del endringer i hvordan FEIDE-løsningen fungerer i dag. I dag kan man «hoppe» mellom ulike tjenester i samme sesjon i åtte timer. For tjenester som krever «sikker FEIDE» kan et mulig tiltak være å ha automatisk utlogging etter få minutter, eventuelt kombinert med en offentlig brikke/ kort for tofaktorautentisering som nevnt over.

Utredning av behov for sikker kommunikasjon med unge brukere, og særlig de under 12 år (tiltak nr. 5), er et veldig viktig tiltak for Bergen kommune. Herunder er det viktig å utrede og avklare mulighetene for å løfte FEIDE opp for å bli en felles eID for barn og unge. Barn og unge fortjener en brukervennlig elektronisk identifiseringsløsning som gir dem nødvendig tilgang til offentlige og private systemer. For Bergen kommune er det av mindre betydning om det er FEIDE som benyttes til dette eller om det etableres en helt ny eID-løsning. Løsningen som velges bør være sektorovergripende og brukervennlig med høyt sikkerhetsnivå. Den bør heller ikke ha overlappende bruksområder med andre identifiseringsløsninger.

Dersom FEIDE velges, må man avklare om andre sektorer skal få ønske seg å få nye attributter i FEIDE-arkitekturen som de måtte ha behov for. For eksempel slik at fagsystemer for helse kan sende data via FEIDE-påloggingssesjoner slik fagsystemer innen utdanning gjør i dag. En alternativ løsning kan være å etablere en ny sikker ID for barn/unge/alle andre med sikkerhetsnivå høyt, hvor man kan se for seg at en pålogging med denne automatisk logger deg inn også med FEIDE i sesjonen, men da ikke omvendt ettersom FEIDE i dag ikke er på nivå høyt.

Også når det gjelder å vurdere sikre og brukervennlige tilgangsløsninger som muliggjør tilgang til offentlige tjenester på vegne av en annen bruker (tiltak 6) er Bergen kommune opptatt av at foreldre med foreldreansvar via en nasjonal komponent kunne gi samtykke til at steforeldre/ andre får fullmakter knyttet til barnet.

Sikre og tilgjengelige fullmaktsløsninger på vegne av andre handler etter Bergen kommunes mening ikke bare om rettigheter til å opptre på vegne av noen, men også at man ved pålogging får tilgang til de barn man kan representere eller har ansvaret for. Dette innebærer et langt videre omfang enn det strategien som er på høring legger opp til. Fordelen er at man får samlet alle fullmakter på ett sted, uavhengig av sektor, slik at alle tjenester kan gjøre oppslag der for å sjekke fullmakt. Dette gjelder for eksempel spørsmålet om hvem som kan bestille barnehageplass eller legetime til et barn. Løsningene må eksempelvis gjøre det mulig at en ansatt i en barnevernsinstitusjon, som midlertidig har overtatt foreldreansvaret, ved innlogging i helsenorge.no får tilgang til å bestille legetime for sine fosterbarn, og at foreldre med foreldreansvar mister den samme rettigheten i perioden omsorgsovertakelsen varer.

Videre bør fullmaktsstrukturen gjenspeile «hvem barnet bor fast hos», det som ofte omtales som «daglig omsorg». Den som har daglig omsorg, har andre fullmakter enn en som kun har foreldreansvar uten at barnet bor fast hos vedkommende (har ikke daglig omsorg). Bergen kommune ser et stort behov for en nasjonal løsning som gjør det mulig for kommuner å fange opp om omsorgen for et barn er overtatt av andre enn foreldre med foreldreansvar. Dette kan være barnevern/BUF, herunder beredskapshjem, fosterforeldre eller institusjoner. Det bør bygges inn i løsningen at eventuelle besøksforbud kan registreres og at dette påvirker foreldreansvar og fullmakter i tråd med dommen. I situasjoner med midlertidig omsorgsovertakelse er det nødvendig å etablere muligheter for å legge personer i barnevernet, eller fosterforeldre, inn i folkeregisteret med riktige fullmakter knyttet til en slik rolle, og at foreldre med foreldreansvar midlertidig mister sine fullmakter når det er truffet beslutning om det.

Bergen kommune foreslår at man vurderer muligheten for å lage et nasjonalt relasjonsregister/ fullmaktsregister som til enhver tid regulerer hvem som har hvilken rettighet overfor relaterte personer. Et slikt register vil entydig vise hvem som har rett til å ta beslutninger på vegne av barnet og hvem har rett på informasjon om barnet, og kan benyttes for oppslag for et bredt spekter av fremtidige digitale tjenester.

Mål 2: Løsning for innlogging og bruk av offentlige digitale tjenester skal være sikker, kostnadseffektiv og helhetlig

Bergen kommune skulle ønske at strategien tydeligere slo fast at fellesløsningene skal være det primære og at sektorløsningene (Feide og HelseID) kun skal være et supplement der fellesløsningene ikke har tilstrekkelig funksjonalitet. Det er en forutsetning for utviklingen av sammenhengende tjenester, både internt i en kommune og på tvers av kommunegrenser og forvaltningsnivåer, at ulike løsninger for identitetshåndtering holdes på et absolutt minimum. Slik sørger man også for at kapasitet og midler mer effektivt kanaliseres til å videreutvikle fellesløsningene med ny funksjonalitet. Det bør stilles krav om at ved innføring av ny funksjonalitet i fellesløsningen, så skal sektorløsningen starte avvikling av sin overlappende funksjonalitet.

Mål 3: Rammer for sikre og effektive løsninger for eID til offentlige ansatte skal være angitt

En betydelig andel av Bergen kommunes ansatte arbeider innen tjenesteområdene oppvekst, helse og omsorg. Disse ansatte er som hovedregel avhengig av å benytte private mobiler til sikker pålogging gjennom ID-porten. Kommunens erfaringer støtter opp under behovsanalysene som departementet viser til når det gjelder ansattes oppfatning og vilje til å benytte privat eID og mobiltelefon i jobbsammenheng. Dette gjelder ikke bare innen helse og omsorg, men også på oppvekstområdet. I dag har kommunen mange ansatte som ikke ønsker å benytte BankID fordi denne oppfattes som en privat identifiseringsløsning som benyttes sammen med privat mobiltelefon. Bergen kommune ønsker derfor at arbeidet med å etablere en offentlig ID med høyeste sikkerhetsnivå prioriteres, og at løsningen har mulighet for en brukervennlig multifaktorautentisering som ikke innbefatter papir, «privat» brikke eller «privat» mobiltelefon. Bergen kommune stiller seg positiv til en utredning om FEIDE kan benyttes til dette formålet og som en del av dette utvides til å gjelde også for andre områder enn oppvekstområdet for unge brukere. Det vil likevel være viktig å sørge for at det ikke etableres overlappende funksjonalitet i flere ulike autentiseringsløsninger slik at den nasjonale arkitekturen blir unødvendig kompleks.

Behovet for gode identifiseringsløsninger for ansatte i kommunal sektor er stort. Det haster etter hvert også å få dette på plass. Uten en god nasjonal fellesløsning, vil det bli nødvendig for kommuner som Bergen å utvikle en egen løsning som kan dekke dette behovet. Det vil øke kompleksiteten, og følgelig også sårbarheten, i kommunenes systemarkitektur, særlig når det gjelder tjenester på tvers av kommunegrenser eller forvaltningsnivåer. Signalene i ny nasjonal strategi for eID om hvorvidt dette er et nasjonalt satsingsområde vil være viktig for hvordan Bergen kommune prioriterer innsatsen på området og hvilke egne prosjekter kommunen setter i gang.