Hva er forutsetningene for vellykket gjennomføring?
Vellykket gjennomføring innebærer at vi løser de behov og problemstillinger som er reist i delen Hva er problemet, og hva ønsker vi å oppnå, ved bruk av tilnærmingen i delen Hvilket tiltak anbefales, og hvorfor.
Hele poenget med arkitekturer og standarder er at de samhandlende partene skal få økt samhandlingsevne, det være seg juridisk, organisatorisk, semantisk eller teknisk. Hvis det er behov for at det stilles krav om bruk av visse arkitekturer og standarder for å få økt samhandlingsevne, så bør tiltakene være av en slik karakter at de har tilstrekkelig rekkevidde og slagkraft.
Samtidig må vi innse at det å stille krav ikke innebærer at problemet er løst. Det vil ta flere år fra et krav er stilt, til det i hovedsak har løst problemet som var formålet med arkitekturen eller standarden. Det kreves en arbeidsinnsats for at kravet skal bli kjent og forstått både i offentlig sektor og blant leverandører av programvare og tjenester. Å stille krav, vedlikeholde og gjøre kravene kjent vil være ressurskrevende.
Dette regner vi som de viktigste forutsetningene for å lykkes med gjennomføringen av anbefalt tiltak:
- ambisjon om mer funksjonsbasert forskrift
- effektive prosesser for å gjøre endringer i standarder
- bedre forutsetningene for at krav til digitaliseringsarbeid etterleves
- gjøre arbeidet med standardisering og arkitektur til en del av en større helhet
Vi går gjennom hvert av disse fire punktene i dette kapitlet. Avslutningsvis presenterer vi også noen betraktninger rundt innholdet i forskriften, og endringsbehov som har framkommet gjennom evalueringsarbeidet.
Ambisjon om mer funksjonsbasert forskrift
Én av utfordringene med forskrift om IT-standarder i offentlig forvaltning har vært en svært detaljert forskriftsfesting av standarder. Dette har på den ene siden gitt lite tolkningsrom og gjort det tydelig hva som er gjeldene standard. På den andre siden krever en detaljert forskriftsfesting av standarder hyppige oppdateringer, for eksempel når det kommer nye versjoner av standarden. På IT-området har det vist seg krevende for forvaltningen å oppdatere forskriftsteksten raskt nok innenfor de prosessene som må følges i forbindelse med forskriftsendringer (se delen Hva er problemet, og hva vil vi oppnå).
Digdir har gjennom evalueringen av forskriften sett på flere måter å løse denne utfordringen på. Ett alternativ som har blitt vurdert er å redusere detaljeringsnivået i forskriften. Dette kan for eksempel innebære å referere til en spesifikk standard i forskriften, men ikke versjon. Hvilke versjoner som er akseptable, kan beskrives i en referansekatalog. Dette er en tilnærming vi ikke anbefaler. Det har tidligere blitt vurdert at denne typen detaljering vil kunne diskriminere leverandører innenfor EØS-området, og at det derfor er nødvendig med ESA-notifikasjon av de konkrete standardene som inngår i referansekatalogen.
Den tilnærmingen vi anbefaler, er å ha en funksjonsbasert forskrift. Ved revisjon av forskriften bør det være en ambisjon om å gjøre forskriftsteksten mer funksjonelt innrettet. I det legger vi at bestemmelsene i forskriften vil inneholde mer åpent formulerte funksjonelle krav. Denne typen funksjonskrav stiller typisk krav til de ulike egenskapene eller kvalitetene som et produkt, en prosess eller en tjeneste skal ha. Fokuset er på resultatet som skal oppnås uten at man detaljert beskriver hvordan kravene skal innfris. En funksjonsrettet tilnærming har blant annet blitt brukt i forbindelse med krav til byggverk og krav til universell utforming av nettløsninger.
En mer funksjonsbasert innretning på forskriften vurderer vi som spesielt hensiktsmessig på bakgrunn av anbefalingen om en «samhandlingsforskrift». Vi har tidligere beskrevet at en sånn forskrift vil kunne inneholde andre krav i tillegg til obligatoriske standarder (se delen Hvilke tiltak er relevante). I denne sammenhengen vil funksjonelle krav knyttet til tjenester, hendelser og data være en fornuftig tilnærming.
Det er flere fordeler med et mer funksjonsbasert regelverk. For å hente ut disse fordelene kreves en viss grad av fleksibilitet for aktørene som skal overholde kravene i forskriften. Ut fra ønskene om obligatoriske standarder, som spesielt de mindre aktørene har kommet med, må funksjonsbaserte bestemmelser følges opp med veiledning om hvilke standarder som oppfyller de funksjonsbaserte kravene. De som ønsker det, kan da følge de anbefalte standardene og vite at de oppfyller forskriftens krav. Aktører som har kunnskap og kapasitet til å sette seg inn i kravene på egen hånd, kan velge andre anerkjente løsninger dersom de kan dokumentere at disse oppfyller kravene.
Hvis referansekatalogen får en mer fremtredende rolle enn i dagens system, vil det kunne være hensiktsmessig å ta inn en henvisning til referansekatalogen i forskriften for å gjøre den mer synlig. Dette er tilsvarende henvisning som er gjort til referansekatalogen for e-helse, som Direktoratet for e-helse administrerer, jf. forskrift om IKT-standarder i helse- og omsorgstjenesten § 7.
I noen tilfeller kan det fremdeles være gode grunner for å ha en spesifikk standard hjemlet i forskrift. Dette kan for eksempel gjelde for tilfeller hvor fagområdet ikke er modent nok til å stille funksjonsbaserte krav, eller hvor en spesifikk standard vurderes som vesentlig for å oppfylle forskriftens formål. Det bør i sånne tilfeller være førende at forskriftsfesting bør være så lite detaljert som mulig, men fortsatt innenfor rammene av hva som regnes som vesentlig markedspåvirkning.
Det er i dag bred involvering av fagmiljøer, blant annet gjennom arbeidet som blir gjort i Arkitektur- og standardiseringsrådet. Dette organet og annen relevant fagkompetanse må involveres i hele prosessen dersom man velger å gå for detaljering av krav i referansekatalog og veiledere. Dette må forankres faglig på samme nivå som ved forandringer av forskriften per i dag. Det vil likevel være mer effektivt da det er en enklere prosess å få gjennomført en oppdatering i en referansekatalog.
Disse grepene mener vi vil gjøre forskriften mer oppdatert og relevant. Det letter også forvaltningen av selve forskriften.
Effektive prosesser for å gjøre endringer i standarder
En del av problembeskrivelsen i delen Hva er problemet, og hva ønsker vi å oppnå, er tid- og ressurskrevende prosesser for endring av forskrift om IT-standarder i offentlig forvaltning. Anbefalt tiltak innebærer vesentlige endringer i forskriften både på kort og lengre sikt. For å sikre en mest mulig relevant forskrift og god forvaltning av forskriften er det viktig å ha en effektiv og god prosess for fremtidige endringer og utvikling av forskriften.
Vi anbefaler å etablere en mer strømlinjeformet og fastlagt prosess for endringer i obligatoriske og anbefalte standarder, hvor beslutninger følger en fastlagt og forpliktende prosessframdrift.
I oppfølgingen av denne evalueringen bør det avklares hva slags frekvens man ønsker for endringer. Ønsker man en prosess som starter og slutter på fast tidspunkt, for eksempel start 1.1. og avslutning 31.12. året etter? Eller er det ønskelig med en prosess som starter når man har samlet et tilstrekkelig antall små endringer eller en vesentlig endring som bør vedtas snarest mulig?
Ved å avtale en definert endringsprosess og eventuelt frekvens og ved å ha en tett og god dialog mellom KMD og Digdir kan vi sannsynligvis effektivisere endringsprosessen og redusere tid for avklaringer noe. Ved enkle endringer og endringer som man forventer er lite kontroversielle kan man for eksempel vurdere om det er hensiktsmessig å gjennomføre alminnelig høring (nasjonalt) parallelt med en ESA-høring for å spare tid. I tillegg kan man gjøre individuelle vurderinger av om enkelte endringer i forskriften er av en type eller betydning som ikke trenger å forelegges ESA, for eksempel i tilfeller hvor man vurderer at markedspåvirkningen ikke vil være av en vesentlig karakter.
Det har gjennom arbeidet med evalueringen også blitt vurdert om det er mulig å delegere deler av forskriftskompetansen for forskrift om IT-standarder i offentlig forvaltning fra KMD til Digdir, som et mulig grep for å effektivisere endringsprosessene. Digdir er kjent med at forskriften er hjemlet i forvaltningsloven som Justisdepartementet er ansvarlig for. Vi forstår at delegering som omtalt over således kan være krevende, men forskrifter som er hjemlet i forvaltningsloven vil være gjeldende for hele forvaltningen og slik sett gi stor tyngde til direktoratets premissgiverrolle.
Et annet alternativ er at Digdir får delegert myndighet for hele eller deler av digitaliseringsrundskrivet. Dette kan bidra til at prosessene knyttet til oppdateringene av rundskrivet forenkles og at rundskrivet i større grad ses i sammenheng med en revidert forskrift. Vi viser ellers til delen om å gjøre standardiseringsarbeidet til en del av en større helhet nedenfor, hvor vi diskuterer behovet for å se virkemidlene på dette området i en større sammenheng.
Bedre forutsetningene for at krav til digitaliseringsarbeid følges
I spørreundersøkelsen om krav og anbefalinger innen digitalisering i offentlig forvaltning hadde vi blant annet med spørsmål om det burde være tettere oppfølging av om offentlige virksomheter følger kravene til digitalisering. To tredeler av respondentene var helt eller litt enig i dette, noe som indikerer at de opplever oppfølging i dag som utilstrekkelig.
Det er i nåværende situasjon få mekanismer for oppfølging. Det ligger ingen tilsynsmyndighet til forskrift om IT-standarder i offentlig forvaltning. Det er mulighet for, men ikke vanlig praksis, å ha tilsynsfunksjoner knyttet til lovverk som bare retter seg mot offentlig forvaltning. Det er videre i den enkelte virksomhets egeninteresse å følge standardene, fordi det øker deres samhandlingsevne.
I tillegg er det bare i begrenset grad lagt opp til at forvaltningsorganer skal melde fra dersom de helt eller delvis unnlater å oppfylle krav i forskriften. Denne typen melde- og begrunnelseskrav er bare koblet to spesifikke paragrafer (§§ 8 og 12). I praksis er det få forvaltningsorganer som har varslet at de har benyttet seg av unntaksbestemmelsene.
Det er vanskelig å etterleve krav man ikke kjenner til
Brukerundersøkelser gjort i forbindelse med denne evalueringen viser at forskrift om IT-standarder i offentlig forvaltning er relativt dårlig kjent. Den blir også relativt sjelden brukt. Men som vi viste i delen Hva er problemet, og hva vil vi oppnå, er det et positivt forhold mellom kjennskap og vurdering av bruk og nytte. Det er derfor vår vurdering at det viktigste grepet vi kan gjøre for å bidra til at obligatoriske standarder blir mer brukt i forvaltningen, er å gjøre dem mer kjent. En oppdatering av forskriften i tråd med anbefalingen i delen Hvilket tiltak anbefales, og hvorfor vil også bidra til å gjøre forskriften mer relevant, og gjøre det enklere å drive utbredelse.
Arbeidet med evalueringen har også avdekket at det er et betydelig potensial for å fremme utbredelse gjennom samarbeid med andre aktører. Overfor kommunal sektor vil viktige aktører kunne være de regionale digitaliseringsnettverkene, interkommunale IKT-selskaper, KS sentralt og FINT (Felles fylkeskommunale integrasjoner). Det vil også være naturlig å prioritere samarbeid med sentrale direktorater eller tilsvarende som har premissgiverroller for digitaliseringsarbeidet innenfor sektorer, f.eks. Direktoratet for e-helse og UNIT.
Hvordan følge opp at krav etterleves?
Et krav om at forvaltningsorganer melder fra eller søker om unntak fra å følge krav som følger av forskrift, har i seg selv begrenset verdi. For at dette skal ha verdi – både for brukerne av standarder og for dem som forvalter standarder – er det nødvendig med noe som legger til rette for gode tilbakemeldingssløyfer. Vi trenger å få informasjon om det er standarder det er vanskelig å etterleve, og hva årsakene til det eventuelt er (f.eks. utdatert standard, dårlig veiledning, høye kostnader eller at formålet kan oppnås på andre måter). Brukerne trenger å få mer veiledning, lære av andre, få tilgang til gode eksempler og god praksis, og ha bedre muligheter til å påvirke. Det er vår vurdering at Digdir bør ta en rolle som et nav i et samspill mellom dem som stiller krav, dem som skal følge kravene i sin virksomhet, og dem som har erfaringer å dele. Dette vil gi god effekt på etterlevelse, fordi det blir enklere å implementere krav og anbefalinger i praksis.
Digdir vurderer gjennom flere andre ordninger offentlige digitaliseringsprosjekter og -initiativer. Det kan legges til rette for at det skal være enklere å følge opp om aktuelle krav blir fulgt, for eksempel om obligatoriske standarder blir benyttet, i forbindelse med slike vurderinger. Dette er noe Arkitektur- og standardiseringsrådet har etterspurt. Slik oppfølging vil for eksempel kunne være relevant i forbindelse med vurdering av prosjekter som søker om midler fra medfinansieringsordningen, og prosjekter som blir behandlet i Digitaliseringsrådet. Dette forutsetter at det etableres klare retningslinjer for hva som skal vurderes, og hvordan oppfølgingen skal foregå.
Gjøre standardiseringsarbeidet til en del av en større helhet
De siste årene har Digdir, det tidligere standardiseringsrådet og KMD tatt steg på veien mot å få standardiseringsarbeidet til å bli en del av en større helhet. Dette har blant annet medført at formålsparagrafen i forskrift om IT-standarder i offentlig forvaltning har blitt utvidet til å inkludere arkitekturprodukter. Etableringen av et felles råd – Arkitektur- og standardiseringsrådet – må også forstås på samme måte. Dette er en utvikling vi mener det er viktig å videreføre.
Samhandlingsforskriften, som vi anbefaler i denne evalueringen, vurderes som et juridisk virkemiddel som potensielt kan bidra til å realisere tverrsektorielle mål på digitaliseringsområdet. Disse er senest formulert gjennom digitaliseringsstrategien Én digital offentlig sektor. Satsingsområdet «Felles økosystem for digital samhandling og tjenesteutvikling» er den del av strategien hvor standarder og arkitekturprodukter mest naturlig passer inn.
Det har gjennom evalueringsarbeidet framkommet et behov for å se nåværende forskrift om IT-standarder og eForvaltningsforskriften i sammenheng. Formålet i disse to forskriftene er i dag delvis sammenfallende. Det har også framkommet at utfordringsbildet knyttet til Forvaltningsforskriften og forskrift om IT-standarder til en viss grad sammenfaller. Vi kan se for oss at én felles forskrift for samhandling og sammenhengende tjenester kan erstatte (deler av) eForvaltningsforskriften og forskriften om IT-standarder. Det vil på sikt kunne forenkle kravstillingen på digitaliseringsområdet, gjøre forståelsen av krav bedre hos brukerne, og unngå redundans i lovgivningen.
Det er videre vår vurdering at det i en sånn situasjon vil være en styrke om vi i større grad så virkemidler som inneholder krav eller anbefalinger i sammenheng. I delen Hva er problemet, og hva vil vi oppnå har vi blant annet vist at utfordringen for målgruppen er at det er vanskelig å få oversikt over hvilke krav og anbefalinger som gjelder. Vi anbefaler derfor at virkemidlene som formidler krav og anbefalinger, ses mer i sammenheng og rendyrkes ut fra formål og målgruppe. Mer spesifikt anbefales følgende grep:
- Digitaliseringsrundskrivet rendyrkes som kilde til spesifikke krav rettet mot statlig sektor som ikke er hjemlet andre steder.
- Referansekatalogen for IT-standarder rendyrkes som en katalog over anbefalte og obligatoriske standarder, og knyttes tettere til forskrift om IT-standarder i offentlig forvaltning.
- Vi oppretter en samlet, nettbasert framstilling av krav og anbefalinger, basert bl.a. på aktuelle forskrifter og rundskrivet (krav), og referansekatalogen og overordnede arkitekturprinsipper (anbefalinger).
Noen betraktninger rundt innholdet i forskriften
Innholdet i forskriften må gjennomgås, enten det blir videreføring av en egen forskrift som skal regulere standarder på IT-området, eller en løsning der man inkorporerer standardene i et eget kapittel i eForvaltningsforskriften. Tabellen under er en gjennomgang av dagens forskrift med en vurdering av hvilke paragrafer, inkludert standarder, som bør videreføres eller oppheves. Vi har også vurdert hvor enkelte standarder eventuelt kan flyttes. Ut fra denne oversikten er det fem av paragrafene som omhandler standarder vi anbefaler å videreføre, én som bør vurderes nærmere, og fem vi anbefaler å oppheve.
| Paragraf | Omhandler | Bør beholdes | Kan eventuelt flyttes til |
|---|---|---|---|
| 1 | Formål og virkeområde | Ikke vurdert | |
| 2 | Begreper | Ikke vurdert | |
| 3 | Arkitektur- og standardiseringsrådet | Ja | |
| 4 | Tekstdokumenter, internettsider: HTML, CSS, PDF | Nei | |
| 5 | Tekstdokumenter, vedlegg: PDF, ODF; OOXML | Nei | |
| 6 | Multimediainnhold, nettsider (video og lyd) | Nei | |
| 7 | Næringslivsskjema | Nei | |
| 8 | Tegnsett (UTF-8) | Ja | |
| 9 | Tegnsett, interne systemer | Ja | |
| 10 | Digital anskaffelsesprosess: EHF, Peppol BIS | Ja | Anskaffelsesforskriften |
| 11 | Nettverksstandarder (IPv4 og IPv6) | Bør vurderes nærmere | eForvaltningsforskriften |
| 12 | Nettleserbaserte tjenester | Nei | |
| 13 | Vurdere bruk av åpne standarder | Ja | |
| 14 | Ikrafttredelse | Ikke vurdert | |
| - | HTTPS | Ja | eForvaltningsforskriften |
Vi har gjennom arbeidet med evalueringen fått enkelte andre innspill om innhold i forskriften. For det første legger anbefalingen om en mer funksjonsorientert og mindre detaljert forskrift opp til en tettere kobling mellom forskrift og referansekatalog, siden det er i katalogen detaljene om hvordan man etterlever krav i forskriften, vil ligge. I en sånn situasjon kan det være hensiktsmessig å lage en formell kobling mellom forskrift og katalog, ved å hjemle katalogen i forskriften. Dette er blant annet inspirert av ordningen man har for standardisering i e-helse, jamfør § 7 i forskrift om IKT-standarder i helse- og omsorgstjenesten. For det andre har vi blitt gjort oppmerksom på at det ikke er en generell unntaksbestemmelse i forskriften, noe det for eksempel er i forskrift om IKT-standarder i helse- og omsorgstjenesten (§ 8). Vi har i delen om hvordan følge opp at krav etterleves over, argumentert for at dette ikke er en nødvendig forutsetning for å kunne følge opp om krav etterleves. Vi anbefaler likevel at begge disse innspillene tas med i arbeidet med å revidere forskrift om IT-standarder i offentlig forvaltning.
Vi har i delen Hvilke tiltak er relevante beskrevet noen områder hvor det kan være aktuelt å stille krav gjennom en revidert samhandlingsforskrift, blant annet ved å peke på organisatoriske, semantiske og tekniske krav til tjenester, deling av data og hendelser for å understøtte sammenhengende tjenester.
Når det gjelder ytterligere vurderinger av framtidige krav som eventuelt kan tas inn i forskriften, vurderer vi det som utenfor denne evalueringens omfang. I evalueringen har vi dokumentert at det fortsatt er behov for et juridisk virkemiddel på standardiseringsområdet, men også at det er behov for å gjøre endringer i forskriften. Hvilke krav som spesifikt skal stilles gjennom en sånn forskrift bør identifiseres gjennom en behovsdrevet prosess i forbindelse med en eventuell revisjon. Vi vil anbefale at en revisjon av forskriften ses i sammenheng med regelverksutvikling på digitaliseringsområdet generelt. Dette inkluderer eForvaltningsforskriften, som tidligere omtalt, men også utredning om pålegg om aktiv tilgjengeliggjøring av offentlig informasjon og kommende regelverk fra europeisk hold, som Data Act og Data Governance Act.