Rapport Evaluering av forskrift om IT-standarder i offentlig forvaltning

Hva er problemet, og hva vil vi oppnå?

    En viktig motivasjon for at forskriften ble etablert, var å samle felles, generiske standarder for offentlig forvaltning på ett sted, for derved å legge til rette for digital samhandling med og i offentlig forvaltning (jamfør forskriften § 1). Den var ikke ment å erstatte behov for standardisering innen andre fagområder eller sektorer.

    I denne utredningen avgrenser vi vurderingene til standardene som har vært regulert i forskrift om IT-standarder i offentlig forvaltning. Dette inkluderer eksempelvis ikke standardisering innen områder som universell utforming og arkiv, som er regulert i egne lovverk.

    Hva er problemet?

    Kjennskap, bruk og nytte

    Det har i flere sammenhenger blitt trukket fram at forskrift om IT-standarder i offentlig forvaltning framstår som stadig mer utdatert og lite kjent. Arkitektur- og standardiseringsrådet har blant annet konkludert med at innretningen på forskriften burde endres slik at den er mindre omfattende, og spisses mot innhold der adferdsendringer i forvaltningen virkelig er ønskelig.

    I spørreundersøkelsen ba vi respondentene svare på hvor de går for å få oversikt over krav og anbefalinger. 85 av 322 svarte at de bruker forskriften, mens 52 svarte at de bruker referansekatalogen. Til sammenligning bruker 212 Digdir sine nettsider, 199 digitaliseringsrundskrivet, mens 192 søker på nett (flere svar mulig).

    Forskrift om IT-standarder i offentlig forvaltning bør være en viktig kilde til krav innen digitalisering i offentlig forvaltning. På spørsmål om det er enkelt å få oversikt over krav og anbefalinger, gir respondentene i spørreundersøkelsen klart uttrykk for at det er for vanskelig å få slik oversikt.

    Digdir har i tillegg gjennomført brukerintervjuer for å få innsikt i hvilke utfordringer brukerne har med å forholde seg til krav og anbefalinger på digitaliseringsområdet. Disse intervjuene har vist at en hovedutfordring er at krav og anbefalinger er spredd på mange forskjellige kilder, og at disse i liten grad har blitt sett i sammenheng.

    Digdirs kartlegging av krav og anbefalinger har vist at det er veldig mye kryssreferering i de forskjellige kildene, noe som gjør at det er vanskelig for målgruppen å vite hva man skal forholde seg til. Samlet sett gir dette inntrykk av et lite oversiktlig og målrettet virkemiddelapparat.

    Vi ba også respondentene angi hvor godt de kjenner til forskjellige kilder til krav og anbefalinger i offentlig forvalting. Figuren under gjengir svarene. Den viser at forskriften og referansekatalogen er relativt dårlig kjent. De som svarer de kjenner forskriften svært dårlig (1) eller dårlig (2), utgjør 44 prosent, mens de som kjenner den godt (4) eller svært godt (5), utgjør 27 prosent. Tilsvarende tall for referansekatalogen er henholdsvis 54 og 21 prosent. Forskriften og referansekatalogen er mindre kjent enn digitaliseringsrundskrivet og de overordnede arkitekturprinsippene.

    Kjennskapen til ressurser som inneholder krav og anbefalinger innen digitalisering er for dårlig

    På spørsmål om hvor ofte respondentene bruker forskriften og referansekatalogen, svarer over halvparten at de bruker dem sjeldnere enn årlig eller at de ikke vet om de har brukt dem. Også på dette spørsmålet skårer forskriften og referansekatalogen dårligere enn digitaliseringsrundskrivet og de overordnede arkitekturprinsippene.

    Spørreundersøkelsen hadde også et spørsmål som ba respondentene om å vurdere hvor nyttig eller unyttig forskriften og referansekatalogen er. For begge var det en tredel av respondentene som svarte «vet ikke», noe som trolig reflekterer at de ikke kjenner til eller har brukt dem nok til å vurdere nytten. Blant dem som hadde en mening var svarene noe mer positive. 30 prosent svarte enten nyttig eller svært nyttig for forskriften, mens 14 svarte unyttig eller svært unyttig; for referansekatalogen utgjorde tilsvarende svar 25 og 14 prosent.

    Samlet sett gir dette et inntrykk av at forskriften er relativt dårlig kjent, sjelden blir brukt og i bare noen grad vurderes som nyttig av brukerne. For referansekatalogen er bildet enda blekere.

    Forskriftens innretning og relevans

    Dagens situasjon betegnes for det første av at innholdet i forskriften om IT-standarder i offentlig forvaltning er særlig innrettet mot offentlig forvaltnings digitale samhandling med innbyggere og næringsliv, inkludert elektronisk kommunikasjon og bruk av digitale tjenester. Fem av ni paragrafer i forskriften som omhandler spesifikke standarder er rettet mot dette. Det er i mindre grad standarder som retter seg mot digital samhandling i offentlig forvaltning: tre (tegnsett ganger to og EHF) av ni.

    Samtidig har det vært en betydelig endring i hva som anses å være viktig innen digital samhandling i tiden etter 2013. Spesielt viktig i den sammenheng er at utfordringene knyttet til digital samhandling i større grad også handler om samhandling i offentlig forvaltning, mellom virksomheter og på tvers av sektorer og forvaltningsnivåer. Vi tenker her spesielt på offentlig sektors samhandlingsevne, forstått som forutsetninger for utveksling av data og gjenbruk av tjenester og løsninger.

    For det andre betegnes dagens situasjon av at standardene er beskrevet på et relativt detaljert nivå i forskriften, blant annet ved at formater er spesifisert på et detaljert versjonsnivå. Dette gjelder §§ 4, 5, 6, 8 og ny paragraf om HTTPS. I seg selv er ikke detaljert forskriftsfesting et problem, og det har vært en ønsket tilnærming. Utfordringen er at det har vist seg krevende å holde en forskrift som inneholder spesifikke formater og versjoner oppdatert, på et område med rask teknologiutvikling, med en rimelig ressursbruk fra forvalters side.

    I tillegg er det få mekanismer for å sikre at krav i forskriften etterleves. Det ligger ingen tilsynsmyndighet til forskrift om IT-standarder i offentlig forvaltning. I tillegg er det bare i begrenset grad lagt opp til at forvaltningsorganer skal melde fra dersom de helt eller delvis unnlater å oppfylle krav i forskriften. Denne typen melde- og begrunnelseskrav er bare koblet til to spesifikke paragrafer (§§ 8 og 12). I praksis er dette en mulighet få forvaltningsorganer har benyttet seg av. Det er heller ingen som følger opp og holder oversikt over i hvilken grad krav til digitalisering, inkludert obligatoriske standarder, blir etterlevd.

    Tid- og ressurskrevende endringsprosesser

    Dagens endringsprosesser for forskrift om IT-standarder i offentlig forvaltning oppleves som lite hensiktsmessig. Hovedproblemet er at det tar lang tid å gjøre endringer i forskriften. Basert på erfaringer fra Digitaliseringsdirektoratet og Direktoratet for e-helse medfører forskriftsendringer en prosess på minimum to år. Den forrige prosessen for å gjøre endringer i forskrift om IT-standarder i offentlig forvaltning tok fem år (2015–2020).

    Endringstakten innen digitalisering er høy som følge av rask teknologiutvikling. Når standardene er beskrevet på et detaljert nivå, blir det behov for relativt hyppige endringer av forskriften for å holde innholdet oppdatert og relevant. Det er sånn sett kombinasjonen av langvarige endringsprosesser, høyt detaljeringsnivå og høy endringstakt som gjør utfordringen vesentlig.

    Hva vil vi oppnå?

    Kjennskap er nøkkelen til bruk og nytte

    Vi har over vist til resultater fra brukerundersøkelsen om krav og anbefalinger innen digitalisering i offentlig forvaltning, og spesielt sett på funn knyttet til kjennskap, bruk og nytte. Det resultatene også viser, er at respondentenes svar rundt bruk og nytte henger tett sammen med om de kjenner til forskriften og referansekatalogen.

    Vi har sett nærmere på de respondentene som svarte de kjenner forskriften godt eller svært godt. Sammenlignet med resten av respondentene, svarte disse at de brukte forskriften oftere og vurderte den som langt mer nyttig. Andelen som brukte forskriften månedlig og årlig, ble doblet, mens andelen som brukte den sjeldnere enn årlig, ble halvert. På samme måte ble også andelen som vurderte forskriften som litt nyttig eller svært nyttig, mer enn dobbelt så stor.

    Basert på dette er det en sentral forutsetning å legge til rette for at forskriften, referansekatalogen og andre oversikter over krav og anbefalinger til digitalisering i offentlig forvaltning blir bedre kjent blant målgruppen. Kjennskap til krav på digitaliseringsområdet generelt, og obligatoriske standarder spesielt, er også en viktig forutsetning for at kravene skal etterleves – det er vanskelig å etterleve krav man ikke vet om.

    Standarder og arkitekturer er viktige for måloppnåelse

    Formålsparagrafen i forskrift om IT-standarder i offentlig forvaltning lyder som følger: «Forskriften skal bidra til at et hvert organ for stat eller kommune … tar i bruk IT-arkitektur og IT-standarder som legger til rette for og fremmer digital samhandling med og i forvaltningen» (vår utheving).

    Stortingsmeldingen Digital agenda for Norge (Meld. St. 27 (2015–2016)) har «brukeren i sentrum» som en av sine hovedprioriteringer. Meldingen legger til grunn at «Offentlige tjenester skal oppleves sammenhengende og helhetlige for brukerne, uavhengig av hvilke offentlige virksomheter som tilbyr dem. Forvaltningen skal gjenbruke informasjon i stedet for å spørre brukerne på nytt om forhold de allerede har opplyst om.»

    Regjeringen og KS’ digitaliseringsstrategi for 2019–2025, Én digital offentlig sektor, er en oppfølging av Digital agenda. Strategien slår blant annet fast at brukerne skal settes i sentrum gjennom utvikling av mer sammenhengende tjenester basert på viktige livshendelser. Ett av innsatsområdene i strategien er felles økosystem for nasjonal digital samhandling og tjenesteutvikling. Hovedelementene i det felles økosystemet skal blant annet være felles arkitekturer og regelverk, krav og standarder, jamfør framstilling av et mulig framtidig felles økosystem. Forskrift om IT-standarder i offentlig forvaltning har potensial til å bli et sentralt virkemiddel for å realisere dette satsingsområdet.

    Dersom standardiseringen er innrettet mot områder som bidrar til å realisere fellesoffentlige mål på digitaliseringsområdet, som for eksempel realisering av sammenhengende tjenester, vil dette bidra til at forskriften oppleves som nyttigere blant brukerne. Bidrag til økt samhandlingsevne for offentlige virksomheter vil derfor være en sentral del av vurderingen av de alternative tiltakene videre i denne evalueringen.

    Virkeområde og normeringsgrad

    Virkeområde og normeringsgrad regnes som en av styrkene ved dagens situasjon.

    Med virkeområde mener vi her hvilke deler av offentlig forvaltning reguleringen gjelder for. Forskrift om IT-standarder for offentlig forvaltning har samme virkeområde som forvaltningsloven, jamfør § 1 i loven.

    Med normeringsgrad mener vi i hvilken grad standarder er normerende eller bindende, hvor det for eksempel kan skilles mellom – i synkende normeringsgrad – obligatoriske og anbefalte standarder, retningslinjer og veiledninger. Forskriftsfesting av standarder gir en høy normeringsgrad (obligatoriske standarder), og normeringen gjelder for hele offentlig forvaltning.

    Det er et klart ønske om obligatoriske standarder

    Tre av fire som har svart på spørreundersøkelsen sier det fortsatt er behov for obligatoriske standarder (se figur over). Standard Norge har i intervju gitt uttrykk for at det å ikke ha obligatoriske standarder vil medføre en vesentlig svekkelse av standardiseringsarbeidet. Fra kommunalt hold vises det spesielt til muligheten for å stille krav i forbindelse med anskaffelser. DFØ har i intervju trukket fram at obligatoriske standarder i noen tilfeller er nødvendige for å endre praksis; elektronisk faktura er et eksempel på et område hvor forskriftsfesting har vært en viktig brekkstang for å oppnå endring. Det er et tydelig uttrykt ønske om å beholde obligatoriske standarder, og at de skal være gjeldende for hele offentlig forvaltning.

    Mer effektiv forvaltning av standarder

    Det er et tydelig behov for å finne måter å effektivisere forvaltningen av standarder på, og spesielt dersom man velger å gå videre med en modell hvor man fremdeles skal ha obligatoriske (forskriftsfestede) standarder. Dette handler om å balansere flere hensyn. På den ene siden er det et utvetydig ønske om fortsatt å ha obligatoriske standarder. På den andre siden er det krevende å holde standarder i forskrift oppdaterte. Dette gjelder spesielt når standardene er detaljert beskrevet i forskriften, endringstakten er høy og endringsprosessene er langvarige.

    Det er derfor en målsetning å finne mer effektive måter å forvalte standarder på. En bør ta sikte på å redusere behovet for å gjøre utskiftninger eller endringer i forskriftsfestede standarder. Blant annet er forholdet mellom forskrift og referansekatalogen for IT-standarder viktig i denne sammenheng. Eventuelle effektiviseringsgrep må i alle tilfeller være i tråd med bestemmelser som gjelder lov- og forskriftsarbeid og EØS-saker, blant annet beskrevet i Veileder til utredningsinstruksen, kapittel 4 og 5.