Pki med vestlandsvri

Pki med vestlandsvri

Egne pki-løsninger blir dyrt og tungvint, hevder 14 Vestlands-kommuner som vil sende jobben til Brønnøysund.
De 14 Vestlands-kommunene Bokn, Bømlo, Etne, Fitjar, Haugesund, Karmøy, Kvinnherad, Sauda, Stord, Sveio, Tysvær, Utsira, Vindafjord og Ølen samarbeider om it-tjenester og -utstyr til en verdi av 250 millioner kroner.

I vinter vedtok kommunene at samarbeidet også skal omfatte felles løsninger for digitale signaturer, eller pki (public key infrastructure). I august ble første fase i pki-prosjektet, som også Bergen kommune har fattet interesse for, avsluttet.

En av konklusjonene fra prosjektet er at Altinn og Oppgaveregisteret i Brønnøysund bør kobles inn i det kommunale pki-arbeidet.

Via Altinn

-- Vi ser på muligheten for at Altinn skal være "front end" i pki-løsningen, forteller Steen Erik Hagland Hansen, it-sjef i Karmøy kommune og en av drivkreftene bak det kommunale it-samarbeidet.

Tanken er at alt fra barnehagesøknader til klager på byggetillatelser og andre elektroniske dokumenter som krever forpliktende underskrift, skal sendes til kommunene via Altinn. Kommunene foretar saksbehandlingen som før, mens kontrollen av at signaturen har det riktige sikkerhetsnivået, overlates til Altinn.

Altinn har bestemt at alle typer pki-løsninger skal aksepteres, enten det nå er BankID, Zebsign eller andre. Dermed må ikke alle innbyggerne tvinges inn på den samme løsningen. Skulle kommunene implementert den tekniske løsningen selv, ville alternativet vært at de selv laget kostbare parallelle løsninger.

Ved å overlate godkjenningen av signaturen til Altinn, klarer kommunene seg med ett fritt valgt kommunikasjonsformat mellom dem og Altinn. Dermed frigjøres ressurser til å lage oppgavebeskrivelser og til å se på hvilke interne prosesser som må endres når pki innføres.

-- Pki handler 90 prosent om juss og ti prosent om elektronikk. Hvorfor lage så mye bråk om de tekniske utfordringene, undrer Hagland Hansen..

Utgående

Første trinn i et mulig Altinn-samarbeid er å utvikle standarder for utvekslingsformat, bygget på Oppgaveregisterets metodologi. Ved hjelp av metadata som beskriver hvilken informasjon som skal presenteres på hvilken måte, sikres en felles begrepsforståelse.

I kommunenes foreløpige planer legges det opp til at Altinn kun skal ta seg av inngående korrespondanse. Men selv om innbyggernes mulighet til å sende inn søknader elektronisk som får mest oppmerksomhet, er det ifølge Karmøys it-sjef vel så krevende å etablere en pki-løsning for utgående brev og bestillinger fra kommunen.

Etterhvert som kommunen gjør vedtak, kjøper inn utstyr og skriver formelle brev som kun eksisterer i digitalt format, må alt signeres elektronisk signatur. Og ikke minst må mottaker være sikker på av avsender har den nødvendig fullmakt til å foreta bestillingen eller å fatte vedtaket.

-- Når det gjelder utgående kommunikasjon blir det enda viktigere enn i dag å definere hvilken rolle hver enkelt ansatt har, sier Hagland Hansen.

Virksomhetssertifikat

-- Magefølelsen sier at det er lettere å underskrive ved å trykke på en knapp, enn å signere et papir. Full kontroll over hvem som har tilgang og rettigheter i it-systemene blir enda viktigere enn før, legger han til.

De 14 kommunene vurderer å innføre såkalte virksomhetssertifikater, eller "firmakort", i stedet for å knytte rettigheter til de ansattes personlige sertifikater. Hver kommune trenger bare et begrenset antall sertifikater som er validert utenfor kommunen.

Virksomhetssertifikater gjør at mottakere av kommunale brev kan være sikre på at det er kommunen, og ikke enkeltpersoner, som har skrevet under det elektroniske dokumentet.

Særlig bedrifter er avhengig av at kontakten med kommunene kan skjer i hensiktsmessige former.

-- De bør kunne forholde seg til én standard i all kommunikasjon med det offentlige, understreker Steen Erik Hagland Hansen.