KIT03_2012:Layout 1 25/05/12 12.02 Side 1
KOMMUNERNES IT MAGASIN Nummer 3 / 2012 / ISSN 1399-7947
Kit
Magasinet
www.kitma gasinet.dk
Informationssikkerhed er det nye sort
Hver tredje kommune i gang med privat NemID Massivt rykind hos Udbetaling Danmark
KIT03_2012:Layout 1 25/05/12 12.02 Side 2
EasyIDM
IDM Password Self-service! Vidste du, at...
Et opkald til Servicedesk vedrørende glemt password tager i gennemsnit 20 minutter 25 - 50% af alle opkald til Servicedesk er relateret til problemer med passwords Omkostningerne for password-resetkald til Servicedesk svarer til én medarbejders årsværk IDM Password Self-service reducerer arbejdsbelastningen og omkostninger i Servicedesk, øger sikkerhedsniveauet og giver i sidste ende højere medarbejderproduktivitet IDM Password Self-service kan installeres på kun 5 dage og koster 50.000,-
Er du interesseret i en uforpligtende demonstration af løsningen, så ring til os på telefon: 70 222 444
Eas
yID
M IT Quality blev etableret i 1998 og har i dag 35 medarbejdere fordelt på hovedkontoret i København og regionalkontorer.
EasyIDM
Brugerstyring
IT Quality leverer standard- og specialudviklede løsninger til en stor kundegruppe, bestående af offentlige organisationer og private virksomheder.
IT Quality A/S Banemarksvej 50F 2605 Brøndby Telefon 70 222 444
Vi er en visionær og dynamisk virksomhed med ønske om et højt kompetenceniveau, hvor medarbejdernes uddannelse og certificering er i fokus.
www.itq.dk www.znildt.dk
IT Quality er en førende udbyder indenfor fire hovedområder: Identitetsstyring, Desktop management, sikker drift og overvågning samt totalløsninger til undervisningssektoren.
KIT03_2012:Layout 1 25/05/12 12.02 Side 3
Nummer 03 / 2012
indhold
6
8
14
Offentlig modernisering skal bane vejen for eksport
Massivt kommunalt rykind hos Udbetaling Danmark
Albertslund hæver barren for skole-it
@KRONIKKEN
Sådan må kommuner bruge privat NemID som login
Tem@ Informationssikkerhed er det nye sort Side 18-30
www.znildt.dk
Kit@
KOMMUNERNES IT MAGASIN
Redaktion: Flemming Kjærsdam, telefon 4673 3525 Flemming@kjaersdam.dk
Udgiver: KIT@ - Kommunale It chefer. Formand: Jørgen Kristensen Rasch, Egedal Kommune. For information om foreningen, medlemskab samt abonnement se www.itchefer.dk
Redaktionsudvalg: Jørgen Kristensen Rasch, Egedal Kommune Michael Voel Jensen, Københavns Kommune Flemming Kjærsdam Louise Andersen
Annoncekonsulent: Louise Andersen, Koncept, telefon 7515 1155, la@koncept-net.dk Layout: www.znildt.dk Tryk: Jørn Thomsen A/S Oplag: 6.300 www.kitmagasinet.dk
KIT03_2012:Layout 1 25/05/12 12.02 Side 4
KIT03_2012:Layout 1 25/05/12 12.02 Side 5
Af formand Jørgen Kristensen Rasch, Kit@
Kit@Leder
Informationssikkerhed er et grundvilkår for digitalisering Jeg er udemærket klar over, at I har travlt. At tid kun er noget, der er for lidt af, og at opgaverne i dag skulle være ordnet i går. Men jeg vil gerne bede om lidt af jeres kostbare tid. Nogle få minutter. Det er vigtigt at forstå, at informationssikkerheden er et fælles anliggende, og ikke kun drejer sig om teknik. Det handler om kommunikations- og dokumentationsadfærd samt sikring af informationsaktiver. Informationssikkerhed er et langt bredere begreb end it-sikkerhed. Kit@ har været medsponsor af den store nordiske undersøgelse blandt kommuner og regioner og statsadministration i Norden gennem EU-agenturet, Enisa. Kit@ har i år betalt 50.000 kr., ellers ville der ikke være penge til at gennemføre undersøgelsen i Danmark for 2012. Så alt imens, at Norges og Sveriges KL-søsterorganisationer bakker helhjertet op økonomisk og deltagermæssigt, så halter det her i landet, fordi det offentlige Danmark, inklusive KL, ikke helt har sit fokus her. Og jeg ved også godt, at der er mange it-chefer, som har outsourcet driften og dermed store dele af it-sikkerheden til leverandører. Og det er sådan set også i orden, men der er en risiko, som man ikke kan tale sig fra. Ejerskab kan ikke outsources Jeg får den tanke, at samarbejde og gensidig afhængighed også gælder informationssikkerhed. Ejerskabet til informationer om borgere og virksomheder kan ikke outsources. Det er kommunen, regionen og staten, der i et fællesoffentligt samarbejdsperspektiv har et ansvar for at beskytte informationer og viden, de får i hænde. Vi har en særlig forpligtelse til at værne om de oplysninger, borgerne betror os. Når der sker brud på informationssikkerheden – og det sker – så er det vigtigt, at vi kan begrænse skadens omfang. At vi kan iværksætte et beredskab til genoprettelse og overvejer nye måder at imødegå fremtidige udfordringer på. Det er vigtigt at tage ejerskab i stedet for at fraskrive sig sit ansvar. Det er ikke leverandørerne, der har ansvaret for informationssikkerheden. Det er jer – topledelsen, forretningschefer, it-chefer og risikomanagere, og det kræver, at I samarbejder internt – og eksternt. Vi har været vidner til en enorm mængde af udefrakommende trusler mod data i de senere år. Det virker som om det er blevet et grundvilkår, vi skal lære at leve med. Der bliver gjort meget på den teknologiske front for at højne sikkerheden, men det giver langt mere at dele og iagttage hvad organisationen og den enkelt medarbejder selv kan gøre for at sikre en hensigtsmæssig adfærd gennem bevidstgørelse og holdningsbearbejdning. Mennesket kommer også her før maskinen. Derfor har vi brug for, at du eller en anden med fingeren på pulsen udfylder spørgeskemaet til den store Nordiske undersøgelse om Informationssikkerhed 2012, så vi kender niveauet for informationssikkerhed sammenlignet med tilsvarende organisationer i Norge og Sverige. Digitalisering af arbejdsprocesser og nye typer selvbetjening, og at ansatte selv bringer udstyr med på jobbet er alt sammen elementer, der påvirker den risiko vi i relation til informationssikkerhed løber. Der er to offentlige digitaliseringsstrategier med tilsammen over 90 initiativer, men ordet informationssikkerhed er desværre ikke et særligt endsige italesat emne. Det siger noget om, hvor lidt vi tænker på at beskytte viden, når vi lægger strategier for digitalisering. Det kræver, at vi i egen organisation får taget dialogen mellem it og forretning, og at topledelsen tager det strategiske ansvar for informationssikkerheden.
”
Vi har været vidner til en enorm mængde af udefrakommende trusler mod data i de senere år. Det virker som om det er blevet et grundvilkår, vi skal lære at leve med Jørgen Kristensen Rasch
■
Kit Magasinet / 03 / 2012 Side 5
KIT03_2012:Layout 1 25/05/12 12.03 Side 6
@nyt
Af Niels Torben Volqvartz
Offentlig modernisering skal bane vejen for eksport Offentlig modernisering skal føre til nye samarbejdsformer mellem det offentlige og private, så der skabes nye løsninger, der skal give eksport. Det er en af de vigtige mål i regeringens 2020 plan. Modernisering af den offentlige sektor er et af de vigtige mål i regeringens 2020 plan til at løse Danmarks problemer i forhold til den internationale krise. Nye samarbejdsformer mellem offentligt og privat kan både effektivisere og skabe systemer med et stort eksportpotentiale. ”Det er afgørende, at vi får et mere effektivt samspil mellem innovative udbydere af løsninger og den offentlige sektor,” understreger Digitaliseringschef Adam Lebech, Økonomi- og Indenrigsministeriet. Han peger på, at der er flere hindringer, der skal ryddes af vejen, før OPP, offentligt privat partnerskab, kan komme til fuld udfoldelse. ”En af de ting regeringen kigger på, er hvordan det kan blive nemmere for offentlige myndigheder at gennemføre udbud af itsystemer,” pointerer Adam Lebech. Han oplyser, at regeringen har nedsat en række arbejdsgrupper, der skal undersøge, hvordan samarbejdet mellem offentligt og privat konkret kan styrkes på en række områder. Der er nedsat en arbejdsgruppe, der skal forberede regeringens strategi for mere intelligente offentlige indkøb. Det gælder eksempelvis om at skabe bedre samspil mellem private virksomheder og offentlige institutioner inden for digitaliserings- velfærdsteknologiområdet. Det er et område, hvor Adam Lebech vurderer, at der er betydelige muligheder for, at danske virksomheder kan udvikle produkter med store eksportmuligheder. Men for at gøre det lettere at høste de mulige gevinster, er der nogle bureaukratiske forhindringer, der skal ryddes af vejen. Uklare og ufleksible regler Adam Lebech: ”Udbudsområdet er præget af store udfordringer, og regeringen er enig med KL i, at der er behov for at kigge på området. Reglerne er både for uklare og ufleksible. Derfor arbejder regeringen på at ændre EU's udbudsregler på områder, så de bliver enklere at anvende.” Adam Lebech henviser bl.a. til problemet med ”vandfaldsmodellen”, hvor store it-projekter udformes med specifikationer og bindinger, som betyder, at når man endelig når i mål, så har man ikke
”
Samarbejdet mellem private virksomheder og det offentlige skal bane vejen for eksport Adam Lebech
Side 6 Kit Magasinet / 03 / 2012
fået det man ønskede. Processen skal ganske enkelt vendes på hovedet og tage udgangspunkt i forretningsbehov og skabe mere agile processer og muligheder for forhandling mellem partnerne. Men det er en balancegang i udformningen af reglerne både at lave enkle regler og samtidig sikre konkurrence. Konsulent Michael Hald, KL er helt enig og peger også på, at angsten for klager i høj grad holder kommunerne tilbage for at prøve nye former for samarbejde med de private virksomheder. Sådan som udbudsreglerne er udformet i dag, er nye former for samarbejde mellem kommuner og private virksomheder vanskeligt, men ikke umuligt.” Michael Hald påpeger behovet for bedre muligheder for konkurrencepræget dialog og frikommuner. Og så må mulighederne afklares omkring den private virksomheds rettigheder til produktet, når leverancen er slut og gevinsten realiseret. Nyt udbudsdirektiv Økonomi- og Indenrigsministeriet er meget opmærksom på behovet for at forbedre reglerne. ”Når et nyt udbudsdirektiv er færdigbehandlet, er spørgsmålet så, hvordan vi implementerer det i Danmark. Det er i dag en udbredt opfattelse, at vi i dag fortolker reglerne for rigidt. I virkeligheden afslører det, at der er stor uklarhed om, hvad reglerne betyder. Vi skal også have afklaret usikkerheden i forhold til de rammekontrakter, som SKI og Statens Indkøb bruger,” siger Adam Lebech. Også han oplever, at mange offentlige institutioner er bange for at lave fejl. ”Laver en institutionen lille fodfejl, så kommer den på forsiden af medierne og fremstår næsten som skyldig, når der bliver klaget, uanset om fodfejlen havde betydning for resultatet af udbuddet,” siger Adam Lebech. Han fremhæver, at der er en stigning i antallet af klager, og at regeringen også er i gang med at kigge på, om klagesystemet er hensigtsmæssigt skruet sammen, så man undgår, at klager fordyrer og forsinker projekter unødigt. ■
KIT03_2012:Layout 1 25/05/12 12.03 Side 7
”
Min erfaring er indtil videre, at brugerne er interesserede. Men de er ofte nervøse for, om de overholder udbudsreglerne Jesper Berger.
OPP bremses af traditionel tænkning Offentlige private partnerskaber, OPP, og effektdreven projektudvikling har slet ikke opnået den mulige udbredelse i kommunerne. Ud over en lang række formelle vanskeligheder på grund af ufleksibel lovgivning, udgør de største barrierer traditionel tænkning, angst for ny arbejdsorganisering og ikke mindst belønningssystemer, der kun understøtter forældet udvikling. Jesper Berger, der er aktuel med sit Erhvervs Ph.d. projekt har sat sig for at opbygge modeller for OPP og nedrive nogle af de barrierer der er for OPP. Han søger efter flere kommuner, der har mod på at deltage som partnere: ”Min erfaring er indtil videre, at brugerne er interesserede. Men de er ofte nervøse for, om de overholder udbudsreglerne,” siger Jesper Berger. Han har også oplevet vanskeligheden ved at ændre indgroede traditioner fra ”vandfaldsmodellen”, der kræver specifikation af alt til mindste detalje uden at sikre, at målet med et system nås. ”Projektlederne kan ofte blive bange for, at de ikke kan styre den nye proces og er bange for at tage udgangspunkt i forskerens samtaler med brugere af systemet, fordi de så er bange for at miste styringen. Hertil kommer vanskeligheder med at få oplysninger, når flere leverandører er involveret, fordi de mener, at der
er tale om deres erhvervshemmeligheder,” siger Jesper Berger. Han har blandt andet i samarbejde med RUC, KL, KMD, Rambøll og en kommune udarbejdet en projektplan. Betaling efter effekt I stedet for den sædvanlige betalingsmodel, arbejder Jesper Berger efter at kommunen betaler ud fra en dokumenteret effekt. Jesper Berger: ”Det primære mål med et projekt er, at kommunen opnår en dokumenteret effekt ved at bruge eksempelvis koncernsystemer. Det kan være økonomiske effekter, eller færre fejl, øget borgertilfredshed eller mindre belastning af medarbejderne. En kommune vil igennem en effektspecificering skulle fastholde og prioritere de effekter, der skal indgå i den løbende driftsaftale med leverandøren. Det er målet, at en del af betalingen for koncernsystemet bliver afhængig af de realiserede og dokumenterede effekter.” Et projekt opbygges grundlæggende af ”kendte” komponenter, der sammensættes på en ny måde. Udgangspunktet for et OPP-projekts betalingsmekanisme er, at leverandøren modtager en løbende aftalt betaling for aftalt funktionsdygtighed og serviceydelse. En negativ afvigelse udløser dermed en lavere betaling, mens en positiv afvigelse giver højere betaling. På den
måde vil leverandøren have et løbende incitament til at tilpasse system, arbejdsgange, organisering samt til at indføre nye og innovative elementer i system og opgaveløsning. Endelig vil leverandøren have en stærk interesse i at gå mere aktivt ind i implementeringsfasen for at skabe det bedst mulige grundlag for efterfølgende realisering af effekter i driftsfasen. Det er en af de afgørende forudsætninger for realiseringen af effekter, at leverandøren får de nødvendige rammer for at tilpasse system, organisering, opgaveløsning. Leverandøren vil på den måde skulle træffe beslutninger på områder, der i dag udelukkende bestemmes af kommunen. Jesper Berger: ”OPP-projekters betalingsmekanismer kan opdeles i betaling for funktionsdygtighed og for serviceydelser. Der kan indgå en gentagelsesfaktor, så systemer der gentagne gange ikke lever op til det aftalte, vægtes mere ved opgørelse af fradrag i betaling. Det skal medvirke til at få en hurtig tilpasning af system og opgaveløsning.” ■
Elementer i OPP-betalingsmekanismer: ■ Momsrefusion, som ifølge kontrakt skal være på 95 procent, under 95 procent giver fradrag, og over 95 procent giver tillæg til betaling ■ Betaling af rykkergebyrer, leverandøren modtager en andel af besparelsen ved færre rykkergebyrer og betaler ved flere rykkergebyrer end anført i kontrakten ■ Det aftales i kontrakten, at kommunen betaler otte normeringer for lønadministration. Leverandøren kan vælge at betale for en medarbejder, ansætte en vikar eller beholde ”overskuddet”. Denne model forudsætter uændret medarbejderbelastning hos de tilbageværende
■ På et område som bogføring og afstemning øges betalingen ved øget medarbejdertilfredshed samt færre fejl ■ Øget betaling ved minimeret administrationstid hos den decentrale budgetansvarlige ved uændret budgetoverskridelse pga. bedre ledelsesinformation ■ Fradrag i betaling, afhængigt af antal revisionsbemærkninger til regnskabet ■ Tillæg for hurtig omstilling til ny lovgivning
Kit Magasinet / 03 / 2012 Side 7
KIT03_2012:Layout 1 25/05/12 12.03 Side 8
@nyt
Af Birgitte Aabo
Massivt kommunalt rykind hos Udbetaling Danmark Flere medarbejdere end forventet har accepteret at blive overflyttet fra kommunerne til et af den nye myndigheds fem centre. 843 medarbejdere har givet endeligt tilsagn, og yderligere godt 80 ventes at tage samme valg. ’Vil medarbejderne flytte med?’ Spørgsmålet er blandt dem, der har optaget sindene i forbindelse med etableringen af myndigheden Udbetaling Danmark, som skal samle og overtage udbetalingen af 180 mia. kr. om året til to millioner danskere på overførselsindkomst. Hidtil har opgaven lagt beslag på 1.500 årsværk, svarende til mere end 1.500 kommunalt ansatte. De har fået at vide, at de sammen med opgaverne skal overføres til ét af de fem centre, der fra politisk hold har fået dikteret placeringer i Frederikshavn, Holstebro, Haderslev, Vordingborg og Hillerød. For nogle vil de nye arbejdsadresser betyde lang transport eller flytning, men overvejelserne er for 843 endt med accept af de nye arbejdsvilkår. Flere tilsagn ventes stadig. ATP regner med at nå op på omkring 925 medarbejdere, som rykker over til Udbetaling Danmark. Brug for færre nye Det glæder man sig over hos ATP, der leverer teknisk og administrativ bistand til Udbetaling Danmark og som også er ny arbejdsgiver for de medarbejdere, der rykker over fra kommunerne. For ATP havde frygtet at stå overfor en væsentlig større rekrutteringsopgave, end tilfældet faktisk bliver, fortæller underdirektør i ATP med ansvar for programledelse og it, Hans Christian Jelstrup: ”Vi er meget glade for, at så mange har valgt at gå med over i Udbetaling Danmark. Det overstiger vores mest positive prognoser. Vi har sideløbende sat gang i rekrutteringsprocessen, men den bliver altså ikke så omfattende som forventet”. Nyrekrutterede medarbejdere skal igennem én måneds uddannelse, så de kan være klar, når Udbetaling Danmark lægger ud med udbetaling af familieydelse fra 1. oktober 2012. Dernæst følger 1. december 2012 udbetaling af barsel, og endelig følger den største klump, folke- og førtidspension samt boligstøtte, fra 1. marts 2013. Bølgerne svarer til, at der samlet skal flyttes eller nyansættes
”
2-300 mennesker første gang og lige så mange i andet hug. Til sidst følger resten med over. Hvor mange, der totalt bliver behov for, er ikke helt afklaret, men ATP forventer ikke, at der bliver brug for at ansætte 1.500 årsværk. Det skyldes blandt andet, at arbejdstiden hos ATP er to en halv time længere om ugen end i kommunerne, og at opgaverne centraliseres. Tidsplanerne holder Ud over de mange medarbejdertilsagn har ATP også været tilsmilet af en mild vinter, så der er ikke opstået forsinkelser i forbindelse med de nybyggerier, som projektet omfatter. I det hele taget holder tidsplanerne, konstaterer Hans Christian Jelstrup, og han kan ikke se nogen grund til, at det ikke skulle fortsætte på den måde. ATP har indgået en aftale med KMD om at sikre stabil drift og rettidig udbetaling til borgerne, og KMD arbejder på at levere en sammenhængende it-platform med systemer, der understøtter de fem sagsområder: Folke- og førtidspension, boligstøtte, barselsdagpenge og familieydelser. Adspurgt, hvad der ville ske, hvis det hele alligevel går i sort og udbetalingerne ikke fungerer, siger underdirektøren: ”Det ville være en katastrofe. Det er jo levegrundlaget for mange mennesker, det drejer sig om. Jeg kan ikke forestille mig, at det kan ske på nogen måde – men hvis der skulle opstå problemer, vil jeg kigge over på KMD folkene og spørge dem, hvad de plejer at gøre i sådan en situation? For det er de samme systemer, som har fungeret i de sidste mange år, der bliver ingen funktionelle ændringer i første omgang,” understreger Hans Christian Jelstrup. Undtagelsen fra reglen er barselsområdet, der gradvist køres over i et nyt system, da det gamle er forældet. Men ellers bliver der kun de modifikationer, der er nødvendige for at overholde loven, så den enkelte myndighed ikke kan se mere end tilladt om borgerne. Det klares ved at lukke af for de dele, der ikke er relevante for den enkelte medarbejder, styret af login-koder. Behov for reel konkurrence Først når driften af Udbetaling Danmark kører stabilt, vil egentlige systemændringer komme på tale. Det skyldes dels, at man har
Logikken om opgavesplittet er ikke entydig Bodil Thomsen, Borgerservice Danmark
Side 8 Kit Magasinet / 03 / 2012
KIT03_2012:Layout 1 25/05/12 12.03 Side 9
”
ATP regner med at nå op på omkring 925 medarbejdere, som rykker over til Udbetaling Danmark Hans Christian Jelstrup, ATP
taget ved lære af andre store omlægninger - blandt andet har man studeret den omstridte digitalisering af tinglysningen, erfaringer fra kommunalreformen og norske erfaringer fra en omlægning, der er delvis sammenlignelig med den, der er sat i gang herhjemme. Og dels, at det ikke ville have været muligt at nå igennem en udbudsproces inden etableringen af Udbetaling Danmark, for der har ikke været et marked for de forretningssystemer, der anvendes. KMD har hidtil haft monopol på it-løsningerne, men i slutningen af 2013 forventer ATP at være klar til at udbyde de første fagområder: ”Vi er i gang med arbejdet med kravspecifikationer, og prøver at komme i kontakt med markedet og gøre klart, at vi er interesseret i bud – det er vigtigt, at der opstår en reel konkurrence om opgaverne. Vi prøver også at få udlandet gjort interesseret, men fagsystemerne vil være meget specifikke for os her i Danmark. Der er ikke mange andre steder, de har udbetaling af boligstøtte og folkepension på samme måde, og derfor kan systemerne ikke umiddelbart sælges til andre. Det påvirker naturligvis interessen for opgaverne”, konstaterer Hans Christian Jelstrup. Bekymring for de svageste Da den foregående regering vedtog at den såkaldt objektive sagsbehandling og udbetaling skulle køres som stordrift, var der rundt om i kommunerne modstand og bekymring. Blandt andet i forhold til, om borgerne risikerede at blive kastebolde mellem myndigheder og ville opleve at få en ringere service. Hans Christian Jelstrups oplevelse er, at der nu er skabt et konstruktivt samarbejde mellem ATP og kommunerne:
”Da vi for over ét år siden begyndte på opgaven sammen, måtte vi bruge tid på at finde hinanden. Men da vi havde fundet frem til en måde at splitte opgaverne og fik defineret ansvarsområderne, gik det fremad og blev konstruktivt. Der er blevet mere tillid mellem os og de to forskellige verdener, vi har skullet forene”. Bodil Thomsen, der er formand for Borgerservice Danmark – foreningen af borgerservicechefer – er bekymret for, om opgavesplittet kommer til at fungere: ”Logikken er ikke entydig. Der er nært beslægtede opgaver, som bliver tilbage i kommunerne, og vi er bekymrede for, at det bliver svært for borgerne at finde ud af,” siger hun og nævner som eksempel, at pension skal sortere under Udbetaling Danmark, mens tillæg til pensionen fortsat hører under kommunerne. Borgerservice Danmark mener heller ikke, at der bliver nogen reel besparelse ud af etableringen af Udbetaling Danmark. Tværtimod forventer foreningen, at det bliver en merudgift for kommunerne, som desuden kommer til at sidde tilbage med opgaver, som de ikke længere har medarbejdere til. Selv må Bodil Thomsen sige farvel til syv medarbejdere i Sorø Borgerservice i forbindelse med etablering af Udbetaling Danmark – tre har valgt at flytte til et af de nye centre, mens de fire har valgt at fratræde: ”Vi får travlt i borgerservice, selv om vi i forvejen var i gang med en omstillingsproces, hvor vi gør borgerne mere selvhjulpne og digitale. For der vil opstå forvirring blandt mange borgere, og vi sidder tilbage i kommunerne og skal tage os af de svageste, som også fremover vil møde op i borgerservice for at få hjælp”. ■
Kit Magasinet / 03 / 2012 Side 9
KIT03_2012:Layout 1 25/05/12 12.03 Side 10
@nyt
Af Birgitte Aabo
”Hvor er Max blevet af?”
Telefonerne kimer hos de sagsbehandlere, der deltager i generalprøven for den nye myndighed Udbetaling Danmark. Blandt de først indhøstede erfaringer er, at det kræver en del forberedelse i kommunerne at få overgangen til at fungere. ”Jeg skal tale med Max”. En del af de pensionister, der plejer at blive betjent af sagsbehandler Max Olsen, når de skal have afklaret spørgsmål om deres pension, møder fortsat fysisk op i borgerservicecentret i Halsnæs kommune og forventer at finde ham dér. Men fremover skal borgerne vænne sig til mere selvbetjening via nettet som led i etablering af Udbetaling Danmark, og 53-årige Max Olsen er blandt de 58 sagsbehandlere fra fem nordsjællandske kommuner, som afprøver den nye virkelighed i et pilotprojekt i Hillerød. ”I øjeblikket får jeg måske 30-40 opkald i løbet af dagen. Det er mange, men jeg er overbevist om, at det aftager hen ad vejen. Borgerne skal have tid til at vænne sig til det digitale. Det arbejder vi nu på i Halsnæs og lærer af, hvad andre kommuner har gjort,” siger Max Olsen, der i øjeblikket har en del telefonsamtaler med ældre borgere, der ikke er specielt tilfredse.
Side 10 Kit Magasinet / 03 / 2012
Han har været sagsbehandler i 25 år og var ikke i tvivl om, at han ville være blandt de medarbejdere, der fulgte med over fra kommunerne til Udbetaling Danmark, som ATP opbygger og administrerer: ”Jeg er glad for mit arbejde, så det var nemt nok at træffe beslutningen om, at jeg ville overdrages. Jeg er heller ikke bange for at prøve noget nyt, og jeg kan sagtens se fordelene ved den nye struktur,” siger han, der dog vil savne at stå ansigt til ansigt med borgerne: ”Det kommer jeg helt sikkert til at savne, og jeg har også været lidt bekymret for, om man ville tabe de svageste borgere i processen. Men det her er fremtiden. Og jeg ser det omvendt også som en mulighed for at fordybe mig mere og få mere arbejdsro, end jeg har haft tidligere, nu hvor jeg ikke skal tage mig af borgere, der møder personligt op,” siger Max Olsen. Derfor har han også ønsket at blive en af de personer, der skal sidde ’back’, når Udbetaling Danmark for alvor er i luften – dem der sidder ’front’ skal i højere grad tage imod telefoner og afklare hurtige spørgsmål.
KIT03_2012:Layout 1 25/05/12 12.03 Side 11
Jeg er glad for mit arbejde, så det var nemt nok at træffe beslutningen om, at jeg ville overdrages Max Olsen
Samme skærmbillede Foreløbig er Max Olsen rykket fra Halsnæs Borgerservicecenter til ATPs hovedkontor i Hillerød, hvor pilotprojektet har fået tildelt lokaler. De enkelte sagsbehandlere arbejder indtil videre fortsat med sager fra deres hjemkommuner, og ser på nøjagtig de samme skærmbilleder, som de åbnede for, når de mødte på arbejde i henholdsvis Fredensborg, Gribskov, Halsnæs, Helsingør og Hillerød Kommune. Max Olsen sidder desuden omgivet af tre kolleger fra Halsnæs, der også er fulgt med over i pilotprojektet. De følges hver dag til og fra arbejde i bil, en tur på omkring 40 minutter hver vej – men han har tidligere i sit liv haft lige så langt til arbejde, og opfatter det ikke som et problem. Heidi Sørensen, der er sagsbehandler på barselsområdet og kommer fra Gribskov Kommune, er til gengæld flyttet nærmere sin nye arbejdsplads og har bosat sig i Nødebo: ”Egentlig var det ikke nødvendigt. I kommunen har vi snakket om, hvor heldige vi er, at vi ikke får så langt til nærmeste center. Men jeg tænkte, at jeg lige så godt kunne flytte lidt tættere på nu”, siger Heidi Sørensen, der er eneste deltager i pilotprojektet fra Gribskov på barselsområdet. ”Der var kun mig og en enkelt anden kollega, der kunne komme på tale. Hun havde ikke lyst, mens jeg straks så det som en spændende mulighed for at prøve noget nyt og være med i hele processen”, siger den 35-årige sagsbehandler, der har arbejdet i kommunen i fem år. ”Jeg så det også som et meget godt tidspunkt at forlade det kommunale. Det har også vist sig, at der kun har været gevinster ved at rykke over til ATP. For eksempel, hvis noget er i stykker
Glemte passwords koster...
”
eller ikke fungerer – i kommunen fik man at vide, at man måtte lære at leve med det, eller at det ville blive udskiftet med tiden, her bliver det ordnet med det samme”, siger Heidi Sørensen – den samme erfaring fremhæves af Max Olsen. Nyt barselssystem Barselsområdet er det eneste, der får nyt system i forbindelse med etableringen af Udbetaling Danmark, og Heidi Sørensen ser frem til det, for hun er blevet stillet i udsigt, at det vil være noget smidigere og bedre at arbejde med end det nuværende. I det hele taget er hun meget tilfreds med sit skifte: ”Kolleger fra kommunen har sagt til mig, at de ikke ville kunne arbejde med arbejdspakker, som vi kommer til her. Det betyder, at vi hver dag får at vide, hvilke opgaver, vi skal arbejde med den dag. Men det tror jeg kommer til at passe mig fint, for jeg har også nu delt mine opgaver op i sammenhængende klumper - det er den mest effektive måde at arbejde på for mig. Desuden har jeg som deltager i pilotprojektet mulighed for selv at påvirke, hvilke arbejdsgange, vi kommer til at bruge”, siger hun, der også ser det som en gevinst, at Udbetaling Danmark vil betyde ensartet sagsbehandling: ”Indtil nu har der været mange forskellige måder at behandle samme typer sager på rundt om i kommunerne. Jeg synes, det er godt, at det bliver ensartet, så borgeren får den samme sagsbehandling, lige meget hvilken medarbejder, hun taler med”. ■
Password P ass a sword Reset med d NemID er løsningen øsn ningen Dinee medarbejdere password meddarbejdere kkan an selv skifte passwor rd medd NemID Nem mID uuden den at kkontakte ontakte it-supporten. Se en demo dem e o og læs mere mere på pwreset.signaturgruppen.dk eset.signaturgruppen.dk
Hvorr længe læn nge har I råd til at vente? vente? Kontakt akt os på tlf. 70 25 64 25
Kit Magasinet / 03 / 2012 Side 11
KIT03_2012:Layout 1 25/05/12 12.03 Side 12
@nyt
Af Birgitte Aabo
”
Kommunerne er opmærksomme på, at de skal forberede sig, men det ser ud til, at det alligevel kommer lidt bag på dem, hvor meget forberedelse, der er nødvendig Mette Brinch
Godt fra start Medarbejderne i pilotprojektet har allerede vist sig at arbejde effektivt og er kommet godt fra start, fortæller Mette Brinch, der er udnævnt til centerdirektør for Udbetaling Danmark i Hillerød. Fra sin plads i et hjørne af det største af fælleskontorerne hører centerdirektør Mette Brinch, Udbetaling Danmark i Hillerød løbende de kommentarer, der kommer om arbejdet, blandt andet udsagn som: ”Jeg har nået meget mere i dag, end jeg plejer”. Desuden er det blevet registreret, hvor meget sagsbehandlerne når: ”Der var et dyk første dag, som er helt normalt, når man flytter arbejdsplads. Men meget hurtigt er effektiviteten blevet den samme eller bedre end den, der blev arbejdet med i kommunerne. Jeg oplever, at alle er meget engagerede i at få det hele til at fungere optimalt, og selv
om der er mange telefonopkald, giver medarbejderne udtryk for, at de allerede oplever større arbejdsro end de havde, når de hele tiden fysisk skulle møde borgere”, siger Mette Brinch. Hun kommer fra Dragør kommune, hvor hun var direktør med ansvar for social-, børne- og kulturområdet. I alt 57 ledere rykker fra kommunerne til Udbetaling Danmark. Efter den første periode med pilotprojektet, der blev indledt midt i april, har hun også kunnet konstatere, at det er meget vigtigt, at kommunerne gør et grundigt forarbejde. Dels med at vænne borgerne til at blive mere digitalt selvhjulpne, dels med at forberede sig på, hvordan arbejdshverdagen vil være i borgerservicecentrene, når en stor del af sagsbehandlerne ikke længere møder på arbejde i kommunerne: ”Kommunerne er opmærksomme på, at
de skal forberede sig, men det ser ud til, at det alligevel kommer lidt bag på dem, hvor meget forberedelse, der er nødvendig. Og når de ikke gør forarbejdet grundigt, betyder det mange ringende telefoner her,” siger Mette Brinch, der ligesom resten af pilotgruppen er spændt på 1. oktober 2012, hvor Udbetaling Danmark går i luften med familieydelser: ”Den bliver noget særligt. De nye ledere fra kommunerne begynder samme dag, og de mennesker, der bliver nyrekrutteret, har på det tidspunkt været igennem en måneds uddannelse og får deres ilddåb. Det bliver en lang og spændende dag”.
Besparelse på 300 millioner kr. KL og regeringen indgik i juni 2010 aftale om at samle den såkaldte objektive sagsbehandling og udbetaling i fem centre med virkning fra efteråret 2012. Kommunerne beskæftiger i dag, hvad der svarer til 2.000 årsværk – svarende til flere personer, da en del er på deltid – på de områder, der berøres af overflytningen. Op mod 1.500 årsværk flyttes til Udbetaling Danmark, resten bliver i kommunerne og skal blandt andet hjælpe de svageste, ikke-digitalt parate borgere. Efter en toårig indfasning skal centraliseringen spare kommunerne for knap 300 millioner kr. om året. Besparelsen skal opstår på baggrund af stordriftsfordele og effektivisering – cirka 500 stillinger skæres bort, når indkørselsfasen er overstået. Centraliseringen skal samtidig sikre en mere ensartet sagsbehandling på områderne. ATP leverer teknisk og administrativ bistand til Udbetaling Danmark og er også arbejdsgiver for de medarbejdere, der skal overdrages fra kommunerne.
Side 12 Kit Magasinet / 03 / 2012
■
KIT03_2012:Layout 1 25/05/12 12.03 Side 13
+XUWLJù OHYHULQJ DIù,7
Virksomheden du kan regne med! Dustin er en af Danmarks og Nordens største it-leverandører. Hvert år leverer Dustin it-udstyr til tusindvis af offentlige institutioner og virksomheder – det har vi gjort med omhu og fokus på god kundeservice i mere end 25 år. Dustin lagerfører i dag mere end 200.000 it-produkter fordelt på mere end 900 varemærker på vores 20.000 m2 store logistikcenter i Stockholm. Det er markedets største lagerførte it-sortiment. Kombinationen af vores store lagerbeholdning, effektive logistik og store indkøbsvolumen er din garanti for konkurrencedygtige priser samt hurtig og sikker levering – hver gang.
Dustin er godkendt SKI-forhandler: · 02.02: PC, Servere, Storage & Backup · 02.12: Kopi og Print · 02.06: Standard software
2010 Preferred Partner GOLD
Dustin tilbyder: Dustin tilbyder offentlige kunder adgang til vores særlige offentlige salgsafdeling. Her får du en personlig kontaktperson med stor erfaring indenfor IT og de særlige rammer, der er for handel med offentlige kunder. Samtidig får du adgang til alle vores salgsspecialister, der kan give dig e ks p e r trå d g iv n in g inden for hardware, software m.m.
· Hurtig levering fra Nordens største it-lager · Markedets bedste personlige service før og efter køb · Lave priser på de mest populære it-produkter · 25 års erfaring som it-leverandør til erhverv Kontakt Dustins offentlige salgsafdeling i dag på tlf. 8743 9882 eller public@dustin.dk, og hør hvordan vi kan bidrage til at gøre din it-hverdag lettere og mere effektiv. Med venlig hilsen Dustin
www.dustin.dk | 8743 9882 Lave priser | 200.000 produkter Hurtig levering | 900 varemærker
6LPSO\ù)DVWHU
KIT03_2012:Layout 1 25/05/12 12.03 Side 14
@nyt
Af Stig Andersen
Albertslund hæver barren for skole-it ”Skole-it Performance-undersøgelsen 2010” afslørede, at der var rigeligt plads til forbedringer på skole-it-området i Albertslund Kommune. Ifølge Henriette Krag, digitaliseringschef i Albertslund Kommune, triggede det en ”Nu rykker vi. Sådan skal det ikke være!”-reaktion, og i dag er kommunen i fuld gang med at implementere en skole-it-strategi, der har et højt og målbart ambitionsniveau. Som noget af det første er det trådløse netværk på samtlige skoler blevet opgraderet til nyeste N-standard. For første gang i kommunens historie er Albertslund Kommunes skole-it-strategi blevet en integreret del af den overordnede skolestrategi. Den nye skole-it-strategi ”Den Digitale Skole – På vej mod 2015” skal være en del af en større indsats for at skabe bedre skoler i kommunen og øge mulighederne for at fastholde flere børn i et godt skoleforløb. ”Den Digitale Skole – På vej mod 2015” indeholder mange af de visioner, man finder i andre kommuner, men er samtidig præget af en udpræget konkret tilgang til opgaven. ”Det var meget vigtigt for os at formulere meget konkrete mål og delmål vores strategi på skole-it-området. Det gør det muligt at måle meget præcist, hvor vi står på et givet tidspunkt i processen, så vi har et objektivt grundlag at tale med hinanden på. Vi har jo ofte hørt indvendingen ”det virker jo ikke” – og vi har bestemt også haft nogle ting, der skulle rettes op på – men nu vil vi være i stand til at tale om tingene ud fra konkret viden frem for formodninger,” siger Henriette Krag. Nu kan der satses på it Det overordnede mål er, at nye it-baserede læringsmidler skal være en integreret del af dagligdagen i skolerne. Egentlige it-lokaler skal med tiden afskaffes, og eleverne skal anvende bærbare enheder i klasselokalerne, der også bliver udstyret med interaktive tavler. Skolernes samling af stationære pc’er er ved at blive udskiftet med bærbare, og eleverne kan i stigende grad også anvende
Side 14 Kit Magasinet / 03 / 2012
egne computere. Henriette Krag forventer dog ikke, at man inden for en overskuelig årrække kan satse udelukkende på, at eleverne selv har maskiner med. En afgørende forudsætning for, at lærerne for alvor vil anvende it i undervisningen, er et velfungerede trådløst netværk. Derfor er alle skoler i kommunen blevet opgraderet til nyeste N-standard, og der arbejdes i øjeblikket videre med tuning af netværket og opsætning af flere access points. En anden stopklods for anvendelse af it i undervisningen – lange opstartstider – har man også sat ind overfor. Fremskridtene er så store, at man ifølge Henriette Krag nu bør kunne satse mere entydigt på it-baserede undervisningsforløb. ”Det er vigtigt, at lærerne nu virkelig går i gang med at bruge it i undervisningen ud fra en berettiget forventning om, at det virker. Det vil ikke for alvor rykke, hvis man ikke satser fuldt og helt på det, uden nødvendigvis at skulle forberede en plan B uden anvendelse af it. Hvis det så ikke virker, må man ”råbe op”, så der skabes det nødvendige momentum. Sådan har det været i flere år inden for det administrative område, som jo er 100 procent baseret på it,” siger hun. Webbaserede løsninger er vejen frem Hvad angår it-baserede læringsmidler, tror Henriette Krag på, at webbaserede løsninger efterhånden vil tage over. Af samme grund har man ikke satset på en VDI-løsning. ”Vi har vurderet, at lige nu er en VDI-løsning for dyr og for krævende i forhold til en webbaseret løsning. Derudover mener jeg også, at webbaserede løsninger er den rigtige vej frem,” siger hun. Hvad angår de specifikke it-baserede læringsmidler har kommunen i øjeblikket ikke en helt klar vision. ”Vi har ganske enkelt ikke økonomi til at gå forrest på området for it-baserede læringsmidler, men vi er overbevist om, at de digitale muligheder vil kunne understøtte undervisningen af de forskellige
KIT03_2012:Layout 1 25/05/12 12.03 Side 15
”
Kommunens mål er, at det sidste fysiske bogklassesæt bliver omdelt i 2014 Henriette Krag
målgrupper og klassetrin, vi har med at gøre på skolerne,” siger Henriette Krag. Kommunens mål er, at det sidste fysiske bogklassesæt bliver omdelt i 2014. SLA-aftaler fremmer samarbejdet I forbindelse med implementeringen af den nye strategi har man indført egentlige SLA-aftaler for at have klart afstemte forventninger mellem skolerne og den centrale it-funktion. Det er som sådan ikke et nyt princip, da man tidligere har arbejdet med et ydelseskatalog. Men processen med udarbejdelse af SLA betød, at teknik- og supportfolk kom ud på skolerne og fik snakket direkte med it-vejlederne. Det har været med til at give alle parter en fælles forståelse for de muligheder og udfordringer, som man hver især arbejder med i dagligdagen. Som i flere andre kommuner har de rent fysiske forhold i forbindelse med satsningen på it-baseret undervisning også budt på visse udfordringer. De enkelte skoler skal komme med bud på, hvordan de vil løse opgaven med skabe til opbevaring og eventuel opladning af elevernes egne maskiner og det stigende antal bærbare på skolerne. Og så har det også i nogle tilfælde vist sig at være nødvendigt at trække mere strøm til klasselokalerne. ■
Implementering af strategi for skole-it – Albertslund Kommune Herunder nogle erfaringer og gode råd fra Henriette Krag, digitaliseringschef, og Jan Lauge, it-projektleder, Albertslund Kommune. Hvad vi har lært i processen • Vi er i en tid, hvor der sker mange forandringer på skoleområdet, sammenlægninger og omlægninger af skoler. Det er projekter, der også tager ressourcer fra Digitaliseringscentret med ændring af netværk, kabling, flytning af tavler. Det har spændt lidt ben for handlingsplanerne i og med, at alt skal ske i juni og juli måned. • I dag er der en stationær pc til alle interaktive tavler. Set i bakspejlet kunne det have været en bedre idé at give alle lærere hver sin bærbare pc. • Investeringen i mange bærbare pc'er har haft afledte omkostninger til flere opbevaringsskabe, sikkerhed etc., end der blev kalkuleret med fra start. Gode råd • Vær sikker på, at der fra start er taget en ordentlig dialog med den enkelte skole om, hvordan de skal håndtere de bærbare pc'er, og hvad de skal og kan bruge de interaktive tavler til. • Sørg for at teknikerne har været ud på skolen og opleve netværket, opstartstider på pc'er mv., så man taler sammen ud fra samme grundlag. Det er netop her, man kan have en fordel ved at have driften liggende internt i stedet for ude i byen.
Lever jeres sko le op til
2015-servicekravene
?
Tekstbehandling
Præsentationer
Læringsprogrammer
Elever skal kunne tilgå skolens netværk med eget udstyr og have de samme muligheder som med skolens udstyr
Regneark
Elever skal kunne tilgå undervisningsressourcer, fælles data, print mm. - hjemmefra, på ferie, biblioteket o.a.
PC
Mac
Netværket skal være trådløst og kunne håndXIVI ST XMP ÀIVI XYWMRHI STOSFPIHI GSQTYXIVI
FRI
Uden sikkerhedskompromis skal det være hurtigt at logge på, og det må kun være nødvendigt at opgive loginoplysninger én gang
Med EasyIQ ConnectAnywhere kan I svare “ja”!
TIL AT LÆRE
Ring 70 30 00 00 for at høre høre mere mere eller se e www www.connectanywhere.dk .connectanywheree.dk / www www.easyiqcloud.dk .easyiqcloud.d dk
KIT03_2012:Layout 1 25/05/12 12.03 Side 16
@KRONIKKEN
Sådan må kommuner bruge privat NemID som login
Datatilsynet offentliggjorde den 30. marts 2012 en udtalelse om, hvornår kommunale medarbejdere kan bruge deres private NemID til at logge ind i kommunale systemer som ansat. Brugen af privat NemID sikrer en fleksibel adgang til systemerne, herunder login hjemmefra. Dette hensyn anerkender Datatilsynet og accepterer i en række tilfælde brugen af NemID som login, men opstiller en række krav for at gøre det. Kommunerne er som dataansvarlige ansvarlige for sikkerheden omkring adgangen til de oplysninger, der er registreret i deres regi, og Datatilsynet påpeger i den forbindelse, at der ofte vil være tale om oplysninger, som er følsomme eller fortrolige. I forhold til sådanne oplysninger skal der sikres en særlig høj grad af sikkerhed.
Side 16 Kit Magasinet / 03 / 2012
Brug af privat NemID ved ikke-følsomme og ikke-fortrolige oplysninger Datatilsynet udtaler, at medarbejderes private NemID kan bruges som et alternativ til login med brugernavn og password, hvis der er tale om oplysninger, hvor der ikke er særlige beskyttelseshensyn. Brug af den private NemID til login skal være et frivilligt tilbud. Kommunen som arbejdsgiver kan ikke pålægge sine ansatte at anvende NemID til login på arbejdspladsen. Brug af NemID som autentifikation kan ske ved at bruge hjemmearbejdspladser til brug som adgang til ikke-følsomme og ikke-fortrolige oplysninger, såfremt kravene til sikkerhed i øvrigt er opfyldt. Som eksempel kan nævnes den situation, hvor en kommune har
KIT03_2012:Layout 1 25/05/12 12.03 Side 17
Af bestyrelsesmedlem Marlene W. Plas, Danske IT-advokater og Niels Bo Jørgensen, Certificeret IT-advokat
”
Kommunen som arbejdsgiver kan ikke pålægge sine ansatte at anvende NemID til login på arbejdspladsen
en medarbejderportal/intranet, hvor medarbejdere kan søge svar på en række almindelige oplysninger, herunder medarbejdertelefonlister og andre almindelige ikke-følsomme oplysninger. Hvis løsningen i øvrigt opfylder kravene til sikkerhed, vil en frivillig adgang til at anvende NemID være acceptabel. Tilsvarende gælder et system, hvor den enkelte medarbejder skal indberette ferie, kørsel mv. Kommunen kan ikke tvinge medarbejderen til at indberette sin ferie ved hjælp af sit private NemID. Brug af privat NemID ved følsomme og fortrolige oplysninger Privat NemID kan ikke anvendes som et alternativ til adgang til systemer med et brugernavn og password, som kommunen varetager sikkerheden af og stiller til rådighed for medarbejderne, hvis der er tale om adgang til fortrolige oplysninger eller oplysninger af følsom karakter. Det kan umiddelbart undre, at privat NemID ikke anses for sikkert nok, når kommunen uden videre kan tillade, at adgang til følsomme og fortrolige oplysninger sker, når privat NemID anvendes til en række følsomme og fortrolige oplysninger om brugeren selv. Indehaveren af et NemID kort anvender dette til adgang til eBoks, e-banking, visse offentlige tjenesteydelser mm., hvor oplysningerne overvejende er af følsom eller fortrolig karakter. Baggrunden for, Datatilsynet ikke kan tiltræde, at kommunerne uden videre alene baserer adgang til fortrolige eller følsomme oplysninger i deres regi, er, at kommunen ikke har instruktionsbeføjelser i forhold til medarbejderes private brug af privat NemID. Kommunen kan derfor ikke i tilstrækkeligt omfang stille krav om, hvordan medarbejdere skal beskytte deres privat NemID. Uden denne adgang kan kommunen ikke sikre et tilstrækkeligt højt sikkerhedsniveau for adgang til oplysninger om borgerne i kommunernes systemer og derfor ikke opfylde de krav, som kommunen som dataansvarlig har ansvaret for. Det fremgår af persondataloven og sikkerhedsbekendtgørelsen, at det er kommunerne som dataansvarlige, der bærer ansvaret for, at de fornødne organisatoriske og tekniske sikkerhedsforanstaltninger omkring den anvendte autentifikationsmekanisme – NemID – er sikret. Datatilsynet nævner desuden det hensyn, der er til medarbejderne, som selv skal kunne kontrollere sikkerheden dér, hvor de anvender deres privat NemID. Ligesom kommunerne er ansvarlige for at opretholde sikkerhed omkring de adgangsmidler, som kan anvendes til at tilgå de hos kommunen registrerede oplysninger, er kommunens medarbejdere i deres private forhold – som indehavere af en privat NemID – selv ansvarlige for at beskytte dette.
ventet, at Datatilsynet udtaler, at kommunerne kan tillade, at de ansatte anvender privat NemID som en ekstra autentifikation – en supplerende sikkerheds funktion. Det er et krav herfor, at kommunen sikrer, at den adgang, der gives herigennem, opfylder kravene i Persondataloven i øvrigt, herunder sikkerhedsbekendtgørelsen. Hertil kommer, som ved adgang med privat NemID til ikke-følsomme oplysninger, at brugen skal være baseret på frivillighed. Adgang til følsomme eller fortrolige oplysninger vil som hovedregel være udelukket fra en hjemmearbejdsplads, da de fornødne sikkerhedskrav kun i sjældne tilfælde vil være opfyldt. Der må i sådanne tilfælde stilles supplerende krav til sikkerheden, og det vil efter Datatilsynets opfattelse kun kunne ske i undtagelsestilfælde og alene på baggrund af individuelle aftaler samt efterlevelse af særlige sikkerhedskrav. Datatilsynet anfører som eksempel på tilladt adgang den situation, hvor der er adgang hjemmefra til kommunens ESDH-system og sagsbehandlingssystem, hvor NemID anvendes som ekstra faktor ved login, der i øvrigt sker ved brugernavn og password. Det skal samtidig sikres gennem de fornødne sikkerhedsforanstaltninger, herunder automatisk virusscanning, udstedelse af retningslinjer for adgangen, instruktion af medarbejdere om sikker brug, at det fornødne sikkerhedsniveau opretholdes. ■
Adgangskontrol er et naturligt kontrolområde for Datatilsynet, og Datatilsynet foretager i forbindelse med tilsynets kontrolbesøg ofte stikprøver for at kontrollere dette område. Datatilsynet undersøger de regler og procedurer, som følges hos den pågældende dataansvarlige, herunder ved spørgsmål til medarbejdere, gennemgang af udskiftningsfrekvens for password og sikring af deres kvalitet. Datatilsynet har desuden i en række sager forholdt sig til de dataansvarliges kontrol med de adgangsforsøg, der finder sted, og udtalt, at uden en sådan kontrol, er kravet til sikkerhed ikke opfyldt.
To faktor-løsning I forhold til digitale løsninger har Datatilsynet tidligere anbefalet brug af digital signatur eller anden to faktor-løsning frem for adgangskode i forbindelse med adgang til myndigheders systemer med følsomme personoplysninger via internet. Derfor er det for-
Kit Magasinet / 03 / 2012 Side 17
KIT03_2012:Layout 1 25/05/12 12.03 Side 18
Tem@
Af Flemming Kjærsdam
Informationssikkerhed er det nye sort Op mod hver tredje kommune overvejer eller er i gang med at anvende medarbejderes privat NemID som login til et kommunalt system med ikke-følsomme oplysninger eller som en del af et login til it-systemer med følsomme personoplysninger. Kommunerne har ganske enkelt taget teten med at bruge privat NemID som autentifikation i egen organisation og får dermed givet digital adgang til mange medarbejdere. Temaet fortæller om erfaringer med NemID i Odense og Aarhus kommuner. Kit@ har skudt penge i den store fællesnordiske undersøgelse om informationssikkerheden i de offentlige forvaltninger. I de tre nordiske lande er digitaliseringen sat på dagsordenen, og det skærper kravene til informationssikkerheden, og derfor er denne tredje undersøgelse en benchmark af sikkerhedsberedskabet. Rådet for Større IT-sikkerhed vil gøre informationssikkerhed til en ny folkesag. "Vi skal alle lære at begå os som digitale borgere i et digitalt samfund," siger formand Christian Wernberg-Tougaard.
Læs mere på side 19-30
Side 18 Kit Magasinet / 03 / 2012
KIT03_2012:Layout 1 25/05/12 12.03 Side 19
Datatilsynet blåstempler privat NemID som login Datatilsynet blåstempler kommunernes anvendelse af privat NemID på jobbet. Odense Kommune er rigtig glade for Datatilsynets udtalelse, der ”blåstempler” kommunens anvendelse af privat NemID som login procedure til kommunens medarbejderportaler. Men it-sikkerhedsleder John Bonnerup, Odense Kommune, er til gengæld forundret over, at Datatilsynet har afvist privat NemID som eneste mulige valg af login til indberetning af medarbejdernes kørselsregnskaber og ferieønsker. Dette vil bevirke en mindre fleksibel adgang til information og digitalisering af arbejdsgange i fremtiden. Odense Kommune kom i skudlinjen i efteråret 2011, da Datatilsynet i et svar til KL angav, at det var i strid med Persondataloven, at ansatte brugte deres private NemID som nøgle til at koble sig på arbejdsgivernes netværk hjemme fra. Det er den praksis Datatilsynet nu har godkendt, efter at kommunen har kunnet dokumentere, at det ikke er muligt for ansatte ved hjælp af en privat NemID ”nøgle” at få adgang til følsomme oplysninger om enkeltpersoner i kommunens it-systemer. Til gengæld holder Datatilsynet fast i, at kommunen som arbejdsgiver ikke kan tvinge sine ansatte til digitale indberetninger af kørselsregnskaber og ferieønsker med en privat NemID. ”Det overrasker mig, at Datatilsynet vælger at lægge den begrænsning ind i anvendelsen af privat NemID. Jeg mener Datatilsynet kommer i modstrid med initiativer inden for digitalisering, hvor kommunerne er pålagt at skulle finde den billigste elektroniske indberetning fra borgerne. Det omfatter skoleindskrivning og ansøgning om folkepension, der nu skal foregå digitalt. Vi vil se mere og mere obligatorisk, digital indberetning. Så det overrasker mig, at Datatilsynet lægger denne begrænsning ind for medarbejderne, og dermed pålægger kommunerne ekstra omkostninger til at udvikle egne løsninger,” siger John Bonnerup. Undrer sig John Bonnerup undrer sig ligeledes over, at Datatilsynet udtaler sig om anvendelsen af NemID. ”Datatilsynets opgaver er at undersøge om sikkerheden i løsningen er i orden, mens det er ejeren af NemID, som skal bestemme, hvilke formål løsningen må anvendes til. Og jeg har ikke hørt ejeren af NemID – Økonomistyrelsen - udtale sig om, at kommunerne ikke må anvende løsningen til selvbetjeningsløsninger for medarbejderne,” siger John Bonnerup. It-sikkerhedslederen i Odense Kommune forsikrer, at kommunen nok skal sørge for at udvikle digitale løsninger til indberetning af kørselsregnskaber og andre typer indberetninger på sikker vis. Han undrer sig bare over, at Datatilsynet ikke lader kommunen tage det næste naturlige skridt i anvendelsen af privat NemID for både at spare penge og brede anvendelsen af NemID længere ud i organisationen. Odense Kommune var de første til at vælge at bruge NemID infrastrukturen som et login på kommunernes intranet.
NemID går gennem egetudviklet IT-system Odense Kommunes anvendelse af NemID minder lidt om det projekt, Aarhus Kommune er i fuld gang med at implementere. Odense Kommune bruger dog ikke Citrix som adgang til fagsystemerne. NemID anvendelsen går gennem et eget udviklet personale og organisationssystem, (APOS), som indeholder data om medarbejdere og organisationen. CPR-nummeret i NemID indtastningen sammenlignes med CPRoplysningerne i personalesystemet. Hvis de ikke matcher, så er man ikke ansat i Odense Kommune, og så kan man ikke logge sig på. ”Vi har undersøgt forskellige muligheder for en sikkerhedsløsning til identifikation af medarbejderne. Og vi har fundet NemID meget attraktiv, fordi den er så robust, at vi mener den kan bruges som en standard. Når den kan bruges i finansverdenen, kan den også bruges hos os i kommunerne. Samtidig ser vi den som en nem måde at få digitaliseret alle medarbejdere, fordi de kender NemID i forvejen. Endelig har det den fordel, at brugere ikke skal udstyres med to login procedurer til ikke-følsomme personoplysninger,” siger John Bonnerup. En tilsvarende NemID Erhverv, som endnu ikke er lanceret, eller et helt tredje alternativ ville let løbe op i 400.000-500.000 kr. om året, uden at det løfter sikkerheden i kommunen. Derfor er NemID attraktiv for mange kommuner. Da løsningen samtidig er ”gratis”, slår kommunen to fluer med et smæk. ”Privat NemID kan bruges i finansverdenen til at identificere bankkunder, og kommunerne har besluttet, at det skal bruges til borgervendt selvbetjening. Så kan det også bruges til at identificere kommunalt ansatte, der skal logge sig på kommunens netværk. Det er en billig måde for os at digitalisere, og vi får genanvendt de informationer, der allerede er digitale, så vi kan få dem bredt mere ud i vores organisation. Så vi opnår mærkbare gevinster. Derfor overrasker det mig, at Datatilsynet bremser det næste naturlige skridt for privat NemID, nemlig at bruge det til digitale indberetninger af ikke-følsomme oplysninger fra medarbejdere. Vi har planer om at sende en ny ansøgning til Datatilsynet, men først vil vi vente og se, hvad der i øvrigt sker,” siger John Bonnerup. ■
”
Datatilsynet kommer i modstrid med initiativer inden for digitalisering John Bonnerup
FAKTA: Odense Kommune har 9000 medarbejdere, der ikke er på netværket fra en arbejds-pc. De har nu fået muligheden for at komme på kommunens Intranet med privat NemID fra en privat pc. Brugerne i Odense Kommune kan ikke komme ind til systemer med følsomme personoplysninger ved hjælp af privat NemID. Og man kan heller ikke komme på kommunens netværk ved hjælp af NemId fra en privat pc og derfra videre til et fagsystem. John Bonnerup skønner, at op til 1500 medarbejdere benytter medarbejdersignatur for at få adgang til følsomme personoplysninger som en del af deres arbejde for kommunen.
Kit Magasinet / 03 / 2012 Side 19
KIT03_2012:Layout 1 25/05/12 12.04 Side 20
Tem@
Af Flemming KjĂŚrsdam
�
Jeg mener, den klare afgørelse fra Datatilsynet, bør fü resten af alle landets kommuner til at kigge pü omrüdet. Morten Storm Petersen
Hver tredje kommune i gang med privat NemID som log-in pü jobbet Sidste efterür kom isÌr Odense og Aarhus kommuner i Datatilsynets søgelys for at lade medarbejdere bruge privat NemID som login pü kommunernes netvÌrk. Men siden har anvendelsen bredt sig. Ifølge Signaturgruppen er det op mod hver tredje danske kommune, som allerede bruger eller overvejer at implementere NemID som log-in procedure til Intranet eller som identifikation af brugeren til at kunne komme lÌngere ind i et af kommunens fagsystemer. Og nu har Datatilsynet �blüstemplet� kommunernes anvendelse af privat NemID pü jobbet. �Vi er meget tilfredse med, at udtalelsen fra Datatilsynet er ret instruktiv i forhold til, hvad der skønnes i overensstemmelse med persondataloven og hvad der skønnes ikke at vÌre det.
Udtalelsen übner mulighed for, at vi nu kan fortsÌtte de store rationaliseringer med NemID løsninger,� siger direktør Morten Storm Petersen, Signaturgruppen. Signaturgruppen har i skrivende stund 12 kommuner som kunder og er i dialog med yderligere fem kommuner. Herudover skønner Morten Storm Petersen, at der er 10 kommuner i gang med NemID anvendelse. Derudover er der yderligere en gruppe kommuner, som overvejer at gü i gang. Alt i alt er der over 30 kommuner, der er i gang eller overvejer at gü i gang med privat NemID anvendelse som login. �Jeg mener, den klare afgørelse fra Datatilsynet, bør fü resten af alle landets kommuner til at kigge pü omrüdet,� siger Morten Storm Petersen. NemID løsningerne omfatter büde adgang til Intranet for alle medarbejdere,
ͲžĂĹ?ůͲ Θ ĞŜ LJ ĹŹ Ć? Ĺ? Äš Äž Ĺš ĆŒ Ç ÄžÄ?Ć?Ĺ?ĹŹĹŹÄž
r er e i n d en f o d ig ep a r t n Ĺ? m Ćš e Äž r ĆŒ f Äž s Ćš e Ĺś r Äž e Ć? j ec u r e er ÄžĆŒ ĆŒ ĞƉ ĆŒ Ä? S ĆŒ Äž y Ä? a t Ä‚ ĹŹ S Ć? ĹŻ g ĎŹ Äž o ĎŹ Ć? Ďą t S ec 4 i s Ĺ˝ĆŒ ÄžĆ? ĞŜ Äš ĎŽ ͘ ͲĎ ĹŻ Ćš ĆŒ ÄžĆŒ Ĺ? Ĺś Ĺ? ͘ ĹŠ ĞŜ ÄžĆŒ Ĺľ ÄžĆŒ Äž Ĺľ Ćš Ä‚ Äž Äž Ɖ Ä? Äš Ć? Ĺ? Äž Ç€ Ĺ? ĆŒ ĆŒ Ĺ˝ Äž Ćš Ͳ Ĺ˝ Ç€ Ĺ˝ Ä? Ç Äž Ĺ? Ĺ? Ğ͕ Ĺš ÄžĆŒ Ä? Ɔ ĆŒ Ć? Ĺś Ä‚ ĆŒ ĹŹ Ĺ˝Ĺ? ^ Ç€ ÄžĆŒ t ÄžĆ? ĹŹ Ćľ Ĺś Äš ÄžĆŒ ĆŒ m Ĺ˝ a s Ç€ r Ćš e Äš Ĺś r Ä‚ ĹŻ Ä? ÄŠ Äš Äž Ä‚ Ĺś Ĺľ a g er i n g s p Ĺś Ä‚ Ç€ Ĺ? ĞŜ ͘ e Ĺ? r Äš , r Ĺś e Ä‚ Ͳ d ĹŹ Ćš ^ e ĹŹ Ĺ? h Ćľ g ĆŒ Ć? Ɖ ĆŒ ŽĚ ĹŹ Ćľ Ĺś Äš Äž m y n d i Ĺ? ŽŜ ÄžĆŒ ͘ s Ĺ˝ĆŒ Äž n k er , s t or e Ĺ? a Äž ĆŒ b , Ĺ? r Ĺ˝ e ĆŒ b Äž a Íż Ĺś k Äž ĆŒ Ç€ Ĺ?Ä? s el s ĹŹ Žž Ĺľ Ćľ ĆŒ Ĺ?Ćš LJ Ä‚ Ć? Ä‚ ^ Äž Ç€ ÄžĆŒ Ć? Ĺ? Ćš Ğƚ ÄžĆŒ Í• ^ Ä‚ Ä‚ ^ Íž ^ ÄžÄ? Ćľ Ĺľ Äš Ä‚ Ĺś Ć? ĹŹ Ć? ĹŹ Žů ÄžĆŒ Í• Ćľ Ĺś Ĺ? Ĺ˝ Äš Ć? Äž Ɖ Ĺľ Ĺ˝ Äž Ćš Ć? Äž ĹŻ Ĺ? Äž ÄžĆŒ Ä? LJ Ĺ? Ć? Ć? Ćš Ğž Ĺľ Ĺś Äž ĆŒ Äž Ç€ Ĺ˝ Ĺ? Ɖ Ĺ˝ĆŒ Ćš ĞĨ Ɔ ĹŻ ĹŠ Äž ĆŒ Äž Ä‚ Ĺś Ĺľ Ä‚ ĆŒ ĹŹ Ĺ˝Ĺ? Ɖ ĹŻ Ä‚ Ä? ÄžĆŒ Ğƚ Ĺ? ĹŻ Žǀ Ĺ? Ĺ? Ç€ Ĺś Ĺ? Ĺś Ĺ? ͘
Side 20 Kit Magasinet / 03 / 2012
VPN/hjemmearbejdsplads adgang, der erstatter de fysiske tokens, og selvbetjent password reset med NemID, som er Signaturgruppens seneste satsning. â–
Kunder: Bornholms Regionskommune, Frederikshavn Kommune, Gentofte Kommune, Hjørring Kommune, Slagelse Kommune, Syddjurs Kommune, Aabenraa Kommune, Aarhus Kommune, Tønder kommune, Gladsaxe kommune, Ishøj kommune og Køge kommune.
Prisgaran
hÄ‚ĹśĆ?Ğƚ ŚǀĹ?ůŏĞŜ Ç ÄžÄ?Ͳ ÄžĹŻĹŻÄžĆŒ Ć?Ć‰Ä‚ĹľÍ˛ÄŽĹŻĆšĆŒÄžĆŒĹ?ĹśĹ?Ć?ůƆĆ?ĹśĹ?ĹśĹ? / Ä?ĆŒĆľĹ?ÄžĆŒ Ĺ? dag, giver vi en prisgaran , der sikrer jer en besparelse pĂĽ mindst 25 % i forhold l jeres nuvĂŚrende løsning. Sam dig med at vi kompenserer jer for den resterende d, I har hos ŜƾǀÄ?ĆŒÄžĹśÄšÄž ĹŻÄžÇ€ÄžĆŒÄ‚ĹśÄšĆ†ĆŒÍ˜
Ç Ç Ç Í˜Ć?ÄžÄ?Ď°Ĺ?ĆšÍ˜ÄšĹŹ ÍŽ ϳϏώώϾϾϲϾ ÍŽ Ĺ?ŜĨŽΛĆ?ÄžÄ?Ď°Ĺ?ĆšÍ˜ÄšĹŹ
KIT03_2012:Layout 1 25/05/12 12.04 Side 21
Aarhus indfører NemID til 4000 administrative brugere Aarhus Kommune er i fuld gang med at indføre privat NemID som login til 4000 administrative brugere. It-chef Rasmus Ry Nielsen, Aarhus Kommunes Borgmesterkontor, forventer, at projektet er afsluttet inden sommerferien. Datatilsynet har ”blåstemplet”, at kommuner nu kan lade medarbejdere anvende deres private NemID nøgle som en del af login proceduren på kommunens it-systemer. Derfor er Aarhus Kommune i gang med at implementere privat NemID til 4000 ”tunge” brugere på deres arbejds-pc´er. Aarhus Kommune og Odense Kommune kom ellers i Datatilsynets søgelys i efteråret 2011, da de bebudede, at de fremover ville lade medarbejdere bruge deres private NemID nøglekort som en del af kommunens login-procedure. Datatilsynet mente i et svar til KL i august 2011, at anvendelsen af privat NemID på jobbet ville komme i konflikt med Persondatalovens § 41 stk.3. Men det fik ikke landets næststørste og tredjestørste kommune til at ryste på hænderne, da de mente, at anvendelsen var fuldt ud lovlig. De fortsatte deres arbejde med at udbrede privat NemID som en ny standard til identifikation af alle medarbejdere. Datatilsynet skifter holdning Og nu er Datatilsynet kommet på bedre tanker efter at have været i dialog med kommunerne og undersøgt forholdene bedre. Datatilsynets begrundelse mod denne login procedure gik ud på, at Datatilsynet troede, at kommunerne gav adgange til følsomme informationer på it-systemer ved hjælp af privat NemID. Men det har aldrig været tilfældet. Derfor har Datatilsynet nu ”blåstemplet” kommunernes anvendelse af privat NemID. ”Vi deler vores brugere op i ikke-administrative og administrative brugere. De ikke-administrative er dem, som kun har adgang til intranettet og en mailboks og som ikke har adgang til it-systemer i øvrigt. De administrative er dem, der bruger deres pc til sagsbehandling, it eller administrativt og som har adgang til følsomme oplysninger om borgere. Vi har lagt begge grupper på privat NemID,” siger Rasmus Ry Nielsen. Han er godt tilfreds med Datatilsynets afgørelse. Kommunerne har nemlig hele tiden haft en todelt login procedure. Privat NemID identificerer kun brugeren. Hvis brugeren skal have adgang til itsystemerne kræver det en ekstra login-procedure for at få adgang til it-systemerne. ”Vores anvendelse af NemID kan ikke komme i konflikt med Persondataloven. Det har aldrig været hensigten, at en bruger kan komme ind til følsomme oplysninger ved hjælp af udelukkende privat NemID. NemID er alene identifikation af brugeren. Det kræver et ekstra login at komme ind på et fagsystem eller andre vigtige informationer på it-systemer,” siger Rasmus Ry Nielsen.
”
Udskifter RSA-token løsning I dag bruger 4000 ansatte i Aarhus Kommune en RSA-token løsning for at logge på intranettet og de kommunale it-systemer. Men det er den løsning, som ophører den 30. juni 2012 og som bliver erstattet af privat NemID. Kommunen sparer ifølge Rasmus Ry Nielsen omkring 500.000 kr. om året ved at erstatte den eksisterende log-in løsning med NemID. Dertil kommer omkostninger til administration af RSA-token. NemID bruges alene til at identificere brugeren, der logger på netværket. Når en medarbejder første gang forsøger at logge på med sit personlige NemID, bliver NemID'et vekslet til en brugeridentitet. Efter login med NemID har brugeren enten adgang til Kommunens Intranet og en mailboks (ikke-administrative brugere) og en ny login-mulighed til den eksisterende Citrix-løsning, der giver adgang til mail, fællesdrev og fagsystemer. ”Hvis det sker fra en bærbar pc i hjemmet, går man til løsningen over sit eget hjemmenetværk. Man logger på med NemID. Herefter anvender vi log-in til et Citrix Xen apps miljø, der giver brugeren adgang til de systemer, som brugeren har rettigheder til. Så der er tale om login i to trin. Så at komme ind til et arbejdsrelateret fagsystem kan kun ske i kombination mellem NemID og et AD password,” siger Rasmus Ry Nielsen. Efter NemID implementeringen, som går i gang ved udgangen af denne måned, vil de 4000 administrative brugere kunne logge på Citrix med en kombination af NemID og ADident password. Så de 4000 RSA-tokens forsvinder – og bliver til en softwareløsning baseret på NemID. Der findes også godt 18.000 ikke-administrative brugere, som ikke har en arbejds-pc. Der er i dag 300 af dem, der benytter privat NemID som log-in fra egen computer. Men Rasmus Ry Nielsen forventer at antallet vil stige støt og roligt i de kommende måender. ”Der er ingen øvrige løsninger, der virker lige så godt som NemID over for de ikke-administrative brugere, fordi de kender NemID i forvejen. Samtidig er de andre løsninger dyre. Så vi håber, at vi får hul igennem med NemID til de 18.000 ansatte, som ikke har en arbejds-pc,” siger Rasmus Ry Nielsen. Det er en attraktiv måde at få digitaliseret hele medarbejderkommunikationen på en sikker måde.
■
Det kræver et ekstra login at komme ind på et fagsystem eller andre vigtige informationer på it-systemer Rasmus Ry Nielsen
Kit Magasinet / 03 / 2012 Side 21
KIT03_2012:Layout 1 25/05/12 12.04 Side 22
Tem@
Af Flemming Kjærsdam
Privat NemID på mobilen skal undersøges igen Digitaliseringsstyrelsen igangsætter en ny undersøgelse om privat NemID på mobilen, efter at den første undersøgelse kom frem til, at det ikke er muligt at give den samme sikkerhed på mobile platforme som på pc´er. Den ny undersøgelse skal kortlægge behovet for mobil selvbetjening i kommunerne. It-sikkerhedsleder John Bonnerup, Odense Kommune, ærgrer sig godt og grundigt over forsinkelsen af privat NemID på mobile platforme. 9000 medarbejdere i Odense Kommune, som ikke har en arbejds-pc vil i mange tilfælde have en smartphone, som de med fordel kunne bruge til at koble sig på kommunens netværk. Dermed misser mange kommuner landet over foreløbigt muligheden for at bruge privat NemID til at digitalisere kommunikationen i organisationen ved hjælp af smartphones og andre mobile enheder. Det kan sagtens være, at der går en rum tid endnu. Det bliver slet ikke muligt at bruge mobil NemID foreløbigt, ifølge centerleder for Digital Signatur Charlotte Jacoby, Digitaliseringsstyrelsen. Hun siger, at der skal igangsættes en undersøgelse af behovet og potentialet for mobil digital selvbetjening i den offentlige sektor, som skal munde ud i et egentligt beslutningsgrundlag. Først når det ligger klart i løbet af efteråret 2012, vil Digitaliseringsstyrelsen kunne træffe en endelig beslutning om, hvilken vej NemID skal gå. ”Den første tekniske og sikkerhedsmæssige undersøgelse viste os, at det ikke er muligt at overføre NemID som en separat sikker løsning til log-in og signering på mobile platforme med et sikkerhedsniveau svarende til den nuværende NemIDløsning på pc, ” siger Charlotte Jacoby. Da Digitaliseringsstyrelsen igangsatte den første undersøgelse sammen med Rambøll, der brugte Silverbullet som underleverandør, var der forskellige forudsætninger, der skulle analyseres. Dels et ønske om at opretholde det samme sikkerhedsniveau for en mobil løsning som på en pc. Dels faktorer som økonomi, understøttelse af den fællesoffentlige infrastruktur NemLog-in/borger.dk og åbenhed for alle tjenesteudbydere. Det kan ikke umiddelbart lade sig gøre at opfylde alle forudsætninger, siger undersøgelsen fra Rambøll. Dels er der for mange Side 22 Kit Magasinet / 03 / 2012
forskellige operativsystemer på de mobile enheder, dels arbejder operativsystemerne forskelligt. NemID til den offentlige sektor kan ikke overføres direkte til mobile platforme, fordi browseren skal kunne køre Java, når man logger ind. Derfor ønsker Digitaliseringsstyrelsen nu at få afdækket potentialet og behovet for mobil digital borgerbetjening, før der træffes en beslutning. ”Jeg kan godt forstå, at John Bonnerup i Odense ærgrer sig. På den anden side kan hverken han, Digitaliseringsstyrelsen eller borgere og virksomheder leve med, at vi sender noget i luften som ikke holder. Vi er godt klar over, at tiden også er en faktor i denne sag, fordi kommunerne ikke nødvendigvis venter på os. Så vi har en udfordring. Vores bedste bud er, at i løbet af efteråret 2012, så har vi et beslutningsgrundlag, og derefter beslutter vi hvilken vej, vi går,” siger Charlotte Jacoby. En anden forudsætning var et ønske om at NemID på mobile platforme skulle kunne understøtte den fællesoffentlige infrastruktur (NemLog-in) og borger.dk. Den forudsætning er det kun under særlige omstændigheder muligt at imødekomme ifølge Rambøll undersøgelsen. Derfor går Digitaliseringsstyrelsen nu i gang med at lave en behovsanalyse for mobil selvbetjening. ”Ved at få afdækket det fællesoffentlige behov og potentiale for mobil selvbetjening, vil vi have bedre forudsætninger for at træffe beslutning om, hvilken løsningsmodel vi skal vælge,” siger Charlotte Jacoby. Nogle af de overvejelser, der indgår i den nye analyse, er at afklare, om der er potentiale og behov for mobil borgerbetjening på forskellige sikkerhedsniveauer. »Enten skal vi udvikle en mobil NemID løsning som én fællesoffentlig app, som så skal styres centralt og styres stramt. Ellers skal vi vælge et lavere sikkerhedsniveau, hvor der så kan udbydes et mere begrænset antal tjenester,« siger Charlotte Jacoby. Hun tilføjer, at sigtet med en lavere sikkerhed end en fuld NemID med OCES, godt kan ende med en løsning, som slet ikke har med NemID at gøre. Det må en business case afgøre, siger hun. Da den mobile NemID platform ikke er
med i det nuværende kontraktgrundlag for NemID hos DanID kan udgangen på det hele godt blive, at Digitaliseringsstyrelsen bliver nødt til at lave et helt nyt EU-udbud i forbindelse med en løsning til den mobile platform. Faktisk er det ifølge Charlotte Jacoby nok det ”mest sandsynlige”. Men hun ønsker ikke at uddybe dette yderligere på nuværende tidspunkt. Først når beslutningsgrundlaget ligger klart i løbet af efteråret, bliver det tydeligt hvilken vej mobil NemID skal gå. ■
Fællesoffentlig digitaliseringsstrategi Mobil NemID er et af initiativerne i den fællesoffentlige digitaliseringsstrategi.
Det hedder: ”Udvalgte dele af den digitale selvbetjening og kommunikation vil med fordel kunne foregå via mobile enheder. Derfor udvikles NemID og NemLog-in til mobile løsninger, så borgere kan betjene sig selv og modtage digital post mv. sikkert og enkelt.”
KIT03_2012:Layout 1 25/05/12 12.04 Side 23
gILUOLK ZWHYLY WLUNL g ILUOLK ZWHYLY WLUNL
=P SL]LYLY 0; S¥ZUPUNLY =P SL]LYLY 0; S¥ZUPUNLY
Hvordan? H v rdan? vo
PUKLUMVY!
Redpill R edpill Linpro Linpro anvender anvender Open Open Source Source som som forretningsmodel. forretningsmod o el. Vii lleverer V everer innovative innovative IT-teknologier til IT-teknologier til offentlige off ffeentlige og og private private virksomheder, behøver virksomheder, hvor hvor kunden kunden dels del e s ikke ik ke be høver en en licens, licens, men men derudover derudover har har valgfrihed valgfrihed i forhold forhold til til hvilke hvilke ydelser, ydelser, der der ønskes. ønskes. Med Med løsningerne løsningerne følger følger ååbne bne snitflader snitflader oogg kildekode, kildekode, dermed dermed også også frit frit leverandørvalg. leverandør valg.
*94 ,*4 *4: :6( *SV\K /VZ[PUN N 0U[LNYH[PVU (WWSPJH[PVU 4HUHNLTLU[ ( WWSPJH[PVU 4HUHNLTLU[ 6N TLNL[ TLYL 6N TLNL[ TLYL
Kundetilpassede Kundetilpassede support-aftaler support-aftaler laves laves i forhold forhold til til udrulningstakt, periode, behov udrulningstakt, kkrav rav ttil il sservice er vice oogg ppe riode, ssåå iindividuelle ndividuelle be hov imødekommes. imød ø ekommes.
Vii fforstår V orstår jjeres eres uudfordringer dffordringer Danske kommuner Danske kommuner står står overfor overfor udfordringer, udfordringer, hvor hvor innovativ innovativ tteknologi eknologi er er afgørende. afggørende. SSamtidig amtidig eerr oomkostningerne mkostningerne aaff eessentiel ssentiel betydning, be tydning, og og her her kan kan vi vi gøre gøre en en forskel forskel for for jer. jer.
= PS K\ ]PK L O]VY KHU KPU =PS K\ ]PKL O]VYKHU KPU VVYNHUPZH[PVU RHU VWUr Y NHUPZ H[ PVU RHU VWUr ILZ ZWHY LSZLY & 2VU[ HR [ VZ! ILZWHYLSZLY& 2VU[HR[ VZ!
rredpill-linpro.com edpill-linpro.com
9L K W P S 3P U W Y V 9LKWPS 3PUWYV ZHSLZ KR'YLKWPSS SPUWYV JVT ZH S L Z KR'Y L KW P S S S P U WY V J VT
Se hvordan Se hvordan vi vi kan kan gøre gøre din din oorganisation rgganisation mere mere fleksibel fleksibel og og omkostningseffektiv www.redpill-linpro.com om mkostningseff ffeektiv på på w w w.redpill-linpro.com
352'8. 35 2'8. 7 7(5 ( 5 8' 8'9,. 9,. / /,1* , 1 * $3 $33/,&$7,21 0$1$*(0(17 3 / , & $7, 2 1 0 $1$ * ( 0 ( 17 '5 '5,)7 ,) 7 .8 .856(5 5 6 ( 5 68 6833257 33257
KIT03_2012:Layout 1 25/05/12 12.04 Side 24
Tem@
Af Flemming Kjærsdam
Faaborg-Midtfyn har sparet 1 mio. kr. på brugerstyring Faaborg-Midtfyn Kommune har gennem de seneste fire år arbejdet systematisk med Identity Management og har sparet omkring 1 mio. kr. i automatisering af brugerstyring samtidig med at sikkerheden er større. I mange kommuner bruges der mere og mere tid på at administrere brugerstyring, når brugerne oprettes, slettes eller skal have ændrede rettigheder. It-chef Michael Hansen, Faaborg-Midtfyn Kommune, fortæller, at kommunen de seneste fire år har brugt rigtig meget tid på at arbejde systematisk med Identity Management, og dermed automatisere processer omkring styringen af brugerrettigheder. Han har de seneste to år brugt tid på at fortælle direktionen i Faaborg-Midtfyn og kommunalbestyrelsen, hvad Identity Management er. ”Det er klart, da jeg første gang skulle fortælle kommunalbestyrelsen om Identity Management, var der ikke nogen, der forstod særligt meget. Men it-afdelingen har været begunstiget af, at direktionen har lyttet og bakket os op, og det har igen banet vejen for it-afdelingen til kommunalbestyrelsen. Det har givet en forståelse for digitalisering og Identity Management hos både topledelse og politikere. Det er en meget omfattende formidlingsopgave, men vi begynder at se resultaterne nu,” siger Michael Hansen. Sparer 350.000 kr. i år Denne forståelse har også ført til, at der er
blevet sat flere penge af til at investere i digitale arbejdsprocesser. Michael Hansen understreger dog, der ikke er tale om en blankocheck, men at der stilles krav om dokumenterede resultater. Alene i år sparer kommunen 350.000 kr. i administration af brugerrettigheder. Det er Kit@´s tidligere formand Ellen Svenning, der har været drivkraften i projektet om styring af brugerrettigheder i FaaborgMidtfyn. Og i dag fire år efter, at projektet med IT Quality blev skudt i gang, bruger kommunen færre penge på at administrere brugere samtidig med at sikkerheden er blevet større. ”Vi kunne jo konstatere, at omkostningerne blev ved med at stige. Vi brugte for meget tid på at vedligeholde brugere og systemer. Og når vi kiggede fremad, hvor digitalisering er sat på dagsordenen, indså vi nødvendigheden af at få styr på de omkostningstunge processer til brugerstyring. Så vi satte os for at udvikle nogle drivere og motorer, som frigjorde ressourcer fra manuelt arbejde. Hvis man vil sætte varig effektivisering og besparelser på dagsordenen, så er automatisering ved hjælp af Identity Management et af midlerne,” siger Michael Hansen. Men det er ikke kun topledelsen i kommunen, som er blevet opmærksom på Identity Management. Det er i dag lagt ud til cheferne på de decentrale institutioner og til lederne på forvaltningsområder at tage ansvaret for at styre brugerne.
”Det er jo ikke it-afdelingen eller HR-afdelingen, der ejer data eller er ansvarlig for informationssikkerheden i systemerne. Det er den enkelte forvaltning eller afdeling, som ejer data. Vi har som it-afdeling udviklet nogle værktøjer, som både gør det nemmere for forvaltningerne og for it-afdelingen at administrere brugerne, og det sparer kommunen penge på,” siger Michael Hansen. Projektet på Faaborg Midtfyn er også kommet andre kommuner for øre. Der er jævnligt besøg for at høre om Identity Management projektet. Både Aarhus Kommune og Københavns Havn har besøgt kommunen for at få erfaringer. De ser med interesse på FaaborgMidtfyns løsning. Nyt koncernsystem Aktuelt står Faaborg-Midtfyn over for at skulle have et nyt ERP-system fra Fujitsu og Silkeborg Data. Her var udgangspunktet, at brugerrettighederne skulle styres i begge leverandørers løsninger. Men ifølge Michael Hansen har han som udgangspunkt sagt, at brugerne og rettighederne skal vedligeholdes gennem kommunens Identity Management system. Et krav, han stiller til alle nye systemer i kommunen. ”På den måde vil vi også stå stærkere som kommune for det tilfælde, at vi skal skifte leverandør, samtidig med at vi har bevaret informationssikkerheden. Så det er på alle niveauer godt for kommunen,” siger Michael Hansen. ■
FAKTA: Ifølge IT Quality... ■ er Identity Management (IDM) indført automatiseret i 10 procent af kommunerne ■ er 40 procent i gang med at se på IDM ■ er 50 procent ikke aktive på området
Side 24 Kit Magasinet / 03 / 2012
”
Det er en meget omfattende formidlingsopgave, men vi begynder at se resultaterne nu Michael Hansen.
KIT03_2012:Layout 1 25/05/12 12.05 Side 25
SecureConsult Se ecureConsu ult l®
Skal I opdatere jeres it-sikkerhedshåndbog it-sikkkerhedshåndbog med med nye regler for persondataperso ondatabeskyttelse, besk kyttelse, Smartphoness og iPads? Skal I skifte fra DS 484 til ISO 27001? beredskabsplan Skal jeres beredskabsplaner ner gennemgås eller den d årlige risikovurdering risikovurdering genn nemføres? gennemføres? Neupart Neuparts ts it-sikkerhedskonsulenter it-sikkerhedskonsulenter har stor erfaring erfarin ng i at hjælpe kommuner. kommuner. Vi ® v konsulentydelse er for SecureConsult . konsulentydelser kalder vores Ring til Louise på 7025 8030 og o hør, hvordan vi kan kan hjælpe dig – eller se e mere på www.ne eupart.dk/kommunerr www.neupart.dk/kommuner
Om Neupartt Neupart hjæ hjælper ælper kommuner med it-risikostyr it-risikostyring ring og med at leve op til sikkerhe sikkerhedskrav. edskrav. Også i skyen! konsulenthuse, egenudviklede SecureAware, kom-f fra de traditionelle kons sulenthuse, fordi vores egenudvik klede IT GRC-løsning, SecureA Neupart er forskellig waare, sparer kom tid konsulenttimer. valgt SecureAware. specialist munernes ti d og kræver færre konsulenttime er. 41 kommuner har allerede valg gt SecureA ware. Neupart er spec cialist i cloudISO PCI-projekter. sikkerhed, kk h d IS SO 27000-, DS484-, 8 Cobitb og PCI-projekter. k
KIT03_2012:Layout 1 25/05/12 12.05 Side 26
Tem@
Af Flemming Kjærsdam
Norden i fælles front om informationssikkerhed For tredje gang gennemføres en undersøgelse af informationssikkerheden i Norge, Sverige og Danmark. I disse uger indsamles der svar fra de deltagende kommuner og regioner, og der er brug for, at så mange kommuner og regioner i Danmark bruger tid på at udfylde spørgeskemaerne. Undersøgelsens resultater ligger klar i slutningen af august 2012, og det er herefter muligt at købe en individuel benchmark. Den røde tråd i årets nordiske undersøgelse om informationssikkerhed er, hvordan digitaliseringen af arbejdsprocesser internt i kommuner, regioner og stat, samt indførelse af digital selvbetjening vil påvirke praksis for sikkerheden. De deltagende it- og digitaliseringschefer skal besvare spørgsmål, som stiller skarpt på temaerne. Ved at sammenligne svarene fra de omkring 800 nordiske it-digitaliseringschefer, bliver det muligt for den enkelte kommune eller region at sammenligne niveauet for informationssikkerhed med andre tilsvarende organisationer i Norge og Sverige. Desuden bliver det muligt at købe ledelsesrapporter, der viser, hvad der eventuelt skal til for at gøre det bedre. ”Rapporterne er ledelses- og dialogværktøjer for de kommunale it- og digitaliseringschefer. Derfor er det også vigtigt, at it-og digitaliseringscheferne, som er medlemmer af Kit@ bruger tid på at besvare spørgeskemaet, fordi det gør dem i stand til at finde ud af, hvor godt de ligger i feltet, og hvad de eventuelt kan gøre for at løfte niveauet. Det bliver et nyt værktøj til at igangsætte en dialog om informationssikkerheden med topledelsen i kommunen,” siger direktør Klaus Tingholm Kristensen, I-Trust. Det er tredje gang I-Trust gennemfører undersøgelsen. Undersøgelsen laves i samarbejde med interesseorganisationer og statslige agenturer og er forberedt siden december 2011. Der har i de tre lande været arbejdsgrupper med repræsentanter for kommuner, regioner og interesseorganisationer. De er blevet koordineret af en fælles nordisk styregruppe. Muligt at deltage Frem til slutningen af juni 2012 er det muligt at deltage i undersøgelsen. Årets tema i drøftelserne med arbejdsgrupper og interesseorganisationerne har været at belyse sikkerhedspraksis i forbindelse ved digitalisering af processer i kommuner og regioner, herunder Sundheds-it. Derudover har arbejdsgrupperne fremsat ønsker om, at undersøgelsen udvides, så der i år kommer mere fokus på beredskab, fysisk sikkerhed og risikostyring. Endvidere har det været et ønske at kigge på Cloud løsninger, og hvad det kan komme til at betyde for sikkerheden, når medarbejderne tager eget udstyr med på jobbet eller kobler sig på kommunens netværk fra hjemmet med egen pc eller mobil enhed. Emner som skal vurderes i forhold til den sikkerhedsmæssige praksis.
Kommunerne sidder på 70 procent Ifølge en svensk undersøgelse håndterer kommuner og regioner mere end 70 procent af informationsudvekslingen til borgere og virksomheder. Derfor rummer digitaliseringen både det største potentiale for økonomiske besparelser og samtidig udfordrer det praksis inden for informationssikkerhed. ”Vi oplever, at der er massiv opbakning i kommuner og regioner til digitalisering og selvbetjening. Det rummer på den ene side store forretningsmæssige potentialer, på den anden side stiller det krav til den praksis og det beredskab, der er inden for sikkerhed. Og hvis forudsætningerne for at gennemføre digitale processer med borgere og virksomheder baserer sig på lovændringer, vil det også få betydning for de digitale processer og informationssikkerheden,” siger Klaus Tingholm Kristensen. Norden digitaliserer Selvom opbygningen af forvaltningerne i de tre nordiske lande er forskellige, er der også mange fællestræk. Der er ingen tvivl om, at digitaliseringen spiller en væsentlig rolle i årene fremover i alle tre lande. I 2008, da den første undersøgelse om informationssikkerhed, gik i luften, var det EU, der drev processen. Men nu er det de tre nordiske lande, der i høj grad driver udviklingen, og denne benchmark undersøgelse har som ambition at sprede viden om informationssikkerheden videre ud. I første omgang til det øvrige Norden og Baltikum. Den norske regering har for nyligt meldt ud, at digitalisering af offentlig forvaltning har høj prioritet i den kommende periode og ud af de ni indsatsområder handler de tre om sikkerhed. I Sverige er der fra kommuners og regioners side entydig opbakning til at gennemføre undersøgelsen for at kunne medvirke til at beskytte ”indholdet”, når der gennemføres digitalisering. Det gælder både integriteten af oplysninger og tilgængeligheden til den. ”Fordelen for de danske kommuner – både de små, mellemstore og store – er, at de får sammenlignet deres egen praksis med tilsvarende organisationer. Hvis du som eksempel tager en af de danske magistratskommuner, så er der få danske kommuner, det vil give mening at sammenligne sikkerhedsberedskab med. Men ved at Norge og Sverige også deltager, får kommunen 12-13 stykker at sammenligne sig med. Jo flere der deltager desto bedre bliver materialet,” siger Klaus Tingholm Kristensen. ■ Læs mere om undersøgelsen på www.nordsec.i-trust-project.dk
”Vi oplever, at der er massiv opbakning i kommuner og regioner til digitalisering og selvbetjening. Det rummer på den ene side store forretningsmæssige potentialer, på den anden side stiller det krav til den praksis og det beredskab, der er inden for sikkerhed Klaus Tingholm Kristensen
Side 26 Kit Magasinet / 03 / 2012
”
KIT03_2012:Layout 1 25/05/12 12.05 Side 27
Faktaboks: FAKTA: Undersøgelserne af informationssikkerhed i kommunale og regionale myndigheder startede i 2008 på initiativ af EU’s agentur for informationssikkerhed, ENISA, idet ENISA ønskede at udbrede best practise for informationssikkerhed. I 2008 medvirkede 110 organisationer fra Danmark, Norge og Sverige. I 2010 blev undersøgelsen gennemført for anden gang og mere end 300 kommunale og regionale myndigheder deltog. Undersøgelsen i 2012 bygger videre på de indvundne erfaringer og har som mål at involvere flere af de nordiske lande, samtidig med at der er udtrykt ønske om at størst mulig repræsentation fra de enkelte lande. Deltagende organisationer: Sverige: SKL, Landstingenes sikkerhedsorganisationer, Eniro Norge: KS, KINS, NorSIS, Danmark: KITA, Regionernes sikkerhedsorganisationer, Primo Tidslinje: Juni 2012: August 2012: 11.oktober 2012:
Indhenter svar fra deltagere Nordisk undersøgelse er færdig Fælles nordisk konference om undersøgelsen
NYT FRA
Kit@
ww.itchefer.dk
Kit@ Efterårsseminar - tilmeld dig nu. KITA - Foreningen af kommunale ITchefer holder efterårsseminar den 13. og 14. september 2010. Arrangementet afholdes på Hotel Koldingfjord. Program forventes at være klar medio juni. Få yderligere info og tilmeld dig på www.itchefer.dk Ved tilmelding efter den 6. september kl. 12.00, skal du kontakte KITA på mail: mail@itchefer.dk
Digitaliseringsmessen12 - bestil din billet. KITA, KL og Borgerservice Danmark indbyder til Digitaliseringsmessen12 d. 27. september 2012 i Odense Congress Center og du kan allerede nu sikre dig din billet på www.kl.dk/digitaliseringsmessen12 samt læse mere om dagen på www.digitaliseringsmessen.dk Messen er et heldagsarrangement, der giver både kommunalpolitikere, IT-chefer, fagchefer, projektledere og frontmedarbejdere unik mulighed for at blive opdateret på digitaliseringens muligheder.
NÆSTE UDGIVELSE Næste nummer af KIT magasinet udkommer den 16. august 2012.
Annoncer 7515 1155 Kit Magasinet / 03 / 2012 Side 27
KIT03_2012:Layout 1 25/05/12 12.05 Side 28
FFÅ MER MERE RE UD AF A DIT Kit@ K MEDLEMSKAB M MEDLEM MSKAB
Libris har altid mere end 250 it-titler på lager.
Eksklusivt Eksklusiv vt for Kit@ @ medlem medlemmer mmer Med det nye samarbe samarbejde ejde mellem K KIT@ IT@ og Lib Libris bris k kan an du og g dine med medarbejdere populære darbejdere få å Danmarks mest m populæ ære it-titler på å ebog Jeres intranet. tryk, eb og eller licens s til Jer es intr ranet. Ring til Mette Kaa på 3264 1232 eller mail på mk@libris.dk for at høre mere om samarbejdet og hvilke fordele og rabatter du kan få.
www.libris.dk www .librris.dk
KIT03_2012:Layout 1 25/05/12 12.06 Side 29
Tem@
Af Flemming Kjærsdam
Digitaliseringen skærper krav til informationssikkerheden Digitaliseringen i landets kommuner og regioner og styrelser vil skærpe kravene til informationssikkerheden. Derfor går Primo, Kit@ og Regionernes sikkerhedsledelser i fællesskab aktivt ind for at gøre opmærksom på risikoen ved digitalisering i et fælles nordisk initiativ. Selv om Danmark ligger højt i de internationale målinger med hensyn til digitalisering i den offentlige sektor, får informationssikkerheden ikke meget opmærksomhed fra topledelserne i kommunerne. Ansvaret for informationssikkerheden har befundet sig i it-afdelingen. Derfor går Primo, der er oprettet af Kommunaldirektørforeningen, Regionernes sikkerhedsledelser og Kit@ i fællesskab aktivt ind, og vil få de kommunale topledelser til at rette blikket mod informationssikkerheden, fordi digitaliseringen rummer en latent risiko. På den ene side rummer digitaliseringen store gevinstmuligheder, og er helt central for at få økonomien til at hænge sammen i den offentlige sektor. På den anden side opbevares informationerne ikke kun i administrative, lukkede it-løsninger. En væsentlig del af digitaliseringen omfatter den borgervendte, digitale selvbetjening. Det betyder, at informationer gøres tilgængelige alle døgnets timer, og det stiller nye krav til informationssikkerheden. Digitaliseringsmønten har to sider. ”Når det offentlige satser så hårdt på digitalisering i de kommende år, og digitaliseringen flytter arbejdsprocesser og informationer væk fra de administrative områder og over mod serviceydelser til borgere og virksomheder, er det vigtigt at foretage en risikoanalyse. Vi vil gerne være med til at sikre, at kommunaldirektører bliver mere opmærksomme på risikoen ved at digitalisere forretningen,”
siger generalsekretær Svend Tychsen, Primo, der sammen med Kit@ og Regionernes Sikkerhedsledelser er aktivt med i den nye Nordiske Undersøgelse om Informationssikkerhed 2012. Svend Tychsen ser risikoanalyse som en ledelsesdisciplin. Derfor anbefaler Primo kommunerne at deltage i undersøgelsen i 2012, der kan indgå i kommunernes overvejelser om at erstatte den hidtidige standard for informationssikkerhed i den offentlige sektor, DS 484, med den nye mere ledelsesforankrede tilgang til informationssikkerhed, ISO 27001. Den nye undersøgelse vil give topledelsen og it-og digitaliseringschefer i kommuner og regioner muligheder for at starte en dialog om sikkerhedsberedskabet ud fra den konkrete benchmark. Primo varetager kommunernes interesser inden for risikoledelse. Det vil sige at sikre, at primære processer beskyttes og kan forløbe sikkert. Derfor bliver digitalisering af forvaltningernes serviceområder, som ældrepleje og skoler og tilhørende borgervendte ydelser, også et spørgsmål om risikostyring. Forretningsprocesserne skal beskyttes og informationerne, som stilles til rådighed, bliver et væsentligt aktiv, der ligeledes skal varetages af topledelsen og ikke kun af it-afdelingen som hidtil. ”Informationssikkerhed kan ikke kun gøres til et teknisk spørgsmål. Hele området om, hvordan vi opbevarer informationer, deler informationer internt og stiller dem til rådighed for borgere og virksomheder er spørgsmål af forretningsmæssig relevans. Derfor ser vi gerne, at topledelserne retter opmærksomheden mod denne nordiske undersøgelse, og tager et medansvar for at få den bredt ud i egen organisation, fordi den er med til at gøre livet lettere for direktører og forvaltningschefer i hverdagen. Det er for sent at gøre
noget efter skaden er sket, og man kan ikke overlade det strategiske ansvar for informationssikkerheden til it-chefen,” siger Svend Tychsen. Ikke et ord om informationssikkerhed Svend Tychsen kalder det for ”tankevækkende”, at de to offentlige digitaliseringsstrategier med mere end 90 initiativer ikke indeholder et eneste ord om informationssikkerhed. Primo´s generalsekretær understreger, at Danmark er heldig i den forstand, at der ikke har været nogen rigtig grimme sager med brud på informationssikkerheden eller hvor et manglende sikkerhedsberedskab er blevet udstillet. ”Undersøgelsens resultater lægger op til, at kommunens topledelse, der har ansvaret for hele forretningen tager en dialog med it- og digitaliseringschefen for at kortlægge risici ved digitaliseringen af serviceområderne. Først når man har et billede af sit sikkerhedsberedskab og sammenstiller det med de forretningsmæssige projekter vil det være muligt at lave en risikoanalyse, der så kan gøres operationel for at forbedre sikkerhedsberedskabet. Det er afgørende, at sikkerhedsberedskabet bliver tilpasset digitaliseringen i samfundet,” siger Svend Tychsen. Undersøgelsen i Norden vil kunne fortælle topledelsen, hvordan kommunens beredskab er i al almindelighed. Men man kan også købe en benchmark, der både afdækker svaghederne i eget beredskab og hvad der kan gøres for at rette op på det. Så topledelse og it-digitaliseringschef får gennem en benchmark leveret et datagrundlag, som de kan træffe beslutninger efter. ■
De offentlige digitaliseringsinitiativer nævner slet ikke ordet informationssikkerhed. Svend Tychsen
”
Kit Magasinet / 03 / 2012 Side 29
KIT03_2012:Layout 1 25/05/12 12.06 Side 30
Tem@
Af Flemming Kjærsdam
Informationssikkerhed som ny folkesag Når digitaliseringen slår igennem i de følgende år, og dialogen mellem borgere og offentlige myndigheder foregår over internet, så skal informationssikkerheden meget højere op på dagsordenen. Formand Christian Wernberg-Tougaard, Rådet for større IT-sikkerhed, mener det skal være en ny folkesag. Når det offentlige Danmark er fuldt digitaliseret i 2015, bliver informationssikkerhed en ny folkesag. Formand Christian WernbergTougaard, Rådet for større IT-sikkerhed efterlyser, at politikere og embedsmænd og topledelser i kommuner og regioner påtager sig et fælles ansvar for at brede informationssikkerheden ud som en ny folkesag. ”Når det offentlige arbejder på højtryk for at indføre obligatorisk, digital selvbetjening, så Danmark vil være fuldt digitaliseret om tre år, bliver informationssikkerhed en disciplin, vi alle skal kunne. Der er tale om en ny digital adfærd. Vi skal lære at begå os som digitale borgere i et digitalt samfund. Her efterlyser jeg et større tilsagn fra stat, regioner og kommuner, der som myndigheder alle er i digital kontakt med borgerne,” siger formand Christian Wernberg-Tougaard. Tidligere har der været igangsat en kampagne www.netsikker.nu af det hedengangne IT- og Telestyrelsen. Men denne kampagne omkring at begå sig sikkert på nettet eksisterer ikke længere. Når man går ind på adressen www.netsikker.nu oplyses det, at indholdet ikke længere er tilgængeligt. ”Det er ærgerligt at denne kampagne stort set er lukket ned uden at sætte nogen andet i stedet. Der mangler en god forklaring på ”hvorfor”. Derfor bliver vi nødt til at bede kommuner, regioner og stat – både hver for sig og i fællesskab - som en del af de fællesoffentlige digitaliseringsstrategier at påtage sig et ansvar for informationssikkerhed. Såfremt den digitale selvbetjening ikke kommer til at ske på betryggende vis, vil vi risikere, at det digitale samfund mister troværdighed,” siger Christian Wernberg-Tougaard.
”
Informationssikkerhed bliver en disciplin, vi alle skal kunne. Christian Wernberg-Tougaard
Side 30 Kit Magasinet / 03 / 2012
Ingen af de to digitaliseringsstrategier – den fællesoffentlige og den fælleskommunale digitaliseringsstrategi – med mere end 90 initiativer inden for digitalisering, har nævnt ordet informationssikkerhed. Det er en by i Rusland. Og når der gennemføres digitalisering i kommuner og regioner spiller informationssikkerheden tilsyneladende heller ikke den store rolle. Derfor er det et emne, som politikere og embedsmænd i kommuner og regioner og styrelser bør tage seriøst. Informationssikkerhed bliver en uadskillelig del af digitaliseringen. ”Det nytter ikke, hvis det offentlige blot vil have fordelene ved at digitalisere, og så ikke vil påtage sig opgaven med at træne borgerne til at blive gode til at begå sig i det digitale samfund. Vi har set tilfælde, hvor intetanende borgere er blevet taget ved næsen af svindlere med NemID, uden bagefter at kunne få en ordentlig forklaring på, hvad der rent faktisk er sket. Det er noget, som svækker troværdigheden ved digital selvbetjening. Det må ganske enkelt ikke ske. Hvis ikke, vi får sat læringen i gang samtidig med vi indfører digital selvbetjening, risikerer vi at få fjendtlige borgere, der vil kræve pennen og papiret tilbage. Og så er vi tilbage i 1970´erne, hvor vi oplevede teknologistormere,” siger Christian Wernberg-Tougaard. Det er helt afgørende at få befolkningen med sig og ikke mod sig. Ifølge Rådet for Større IT-sikkerhed vil det digitale samfund rumme store fordele, men også risici for sikkerheden. Det er derfor, at der skal ske oplæring om informationssikkerheden. Det ser Christian Wernberg-Tougaard som en investering for at kunne sikre gevinsten med digitalisering af arbejdsprocesser og selvbetjening. ■
KIT03_2012:Layout 1 25/05/12 12.06 Side 31
”
Det nytter ikke, hvis det offentlige blot vil have fordelene ved at digitalisere, og så ikke vil påtage sig opgaven med at træne borgerne til at blive gode til at begå sig i det digitale samfund. Christian Wernberg-Tougaard
KIT03_2012:Layout 1 25/05/12 12.06 Side 32
Danmarks førende Palo Alto partner
RespektIt er Danmarks førende leverandør af Palo Alto løsninger, og blev i 2011 kåret af Palo Alto Networks til årets Palo Alto Partner i Danmark. I RespektIt har vi et stort antal certificerede specialister og stor erfaring med demo, test, implementering og drift - og er klar til at håndtere dine spørgsmål, krav og ønsker. RespektIt har de seneste år implementeret Palo Alto løsninger hos bla. Hillerød Kommune, Ringsted Kommune, KL og en lang række private virksomheder med det formål at øge performance, kontrol og sikkerhed i den centrale del af netværksinfrastrukturen, samtidig med at der etableres effektive og detaljerede logningsmuligheder i forhold til brugere og applikationer. Læs mere på www.respektit.dk, kontakt Thomas S. Grønne på 2539 9236 / thomas@respektit.dk for en uforpligtende snak om muligheder og referencer.
Scan og læs mere om Palo Alto og RespektIt
Palo Alto Networks er markedsledende indenfor segmentet ”Next Generation Firewalls”. Produkterne er højtydende Firewalls der ikke blot baseres på IP adresser og TCP porte som traditionelle Firewalls, men genkender og håndterer applikationer og underapplikationer på alle TCP porte. Netværkstrafik (applikationsbrug) kan henføres til specifikke brugere og/eller brugergrupper, krypteret trafik kan dekrypteres, detaljerede logs og rapporter opsamles og arkiveres mv.
RespektIt A/S
Trollesmindealle 25
3400 Hillerød
info@respektit.dk
Tlf.: 70 226 118
www.respektit.dk