Arkitektur-prinsipper for digitalisering i Indigo-samarbeidet

Hva prinsippet innebærer

Deltakerne i Indigo-samarbeidet forplikter seg til å legge oppgaver og aktiviteter knyttet til anskaffelser, utvikling, forvaltning, drift og service av egne IKT-løsninger til Indigo IKT IKS. [3].
«Vi skal alltid spørre Indigo først».

Hvorfor prinsippet er viktig

For å kunne realisere flere stordriftsfordeler, skape gevinster i deltakernes egen tjenesteproduksjon og etablere sikrere og mer robuste IT-løsninger som grunnlag for egen tjenesteproduksjon. [3].

Hvordan prinsippet skal følges

Med referanse til Indigo-samarbeidets Samarbeidsavtale:

• Deltakerne i Indigo-samarbeidet melder inn behov i etablerte kanaler og fora i samarbeidet.
• Relevante fora behandler behov og tar beslutninger i henhold til sitt mandat.

[3]: Sitat fra Selskapsavtale Indigo IKT IKS

Hva prinsippet innebærer

Alle deltakere i samarbeidet skal søke den løsningen som gir størst verdi for samarbeidet som helhet.
Det bør også i størst mulig grad tilrettelegges for samarbeid i virksomhetenes tjenesteproduksjon.

Hvorfor prinsippet er viktig

Felles løsninger kan være mer kostnadseffektivt, og gi skala-fordel i anskaffelse, drift og forvaltning.
Man kan unngå eller forebygge unødig duplisering av data.

Hvordan prinsippet skal følges

• Gjennom de etablerte prosesser og fora beskrevet i Indigo-samarbeidets Samarbeidsavtale skal det søkes etter muligheter for gjenbruk av eksisterende løsninger og beste praksis:
  • Innen Indigo-samarbeidet
  • Innenfor relevant sektor/tjenesteområde
  • Regionalt
  • Nasjonalt (nasjonale fellesløsninger)
• For å muliggjøre deling må Indigo IKT forvalte felles oversikt over IT-løsninger på tvers av hele samarbeidet.

Hva prinsippet innebærer

Ved alle digitaliseringstiltak skal brukernes behov få så stor oppmerksomhet som er praktisk mulig. Dette gjelder både de ansatte som leverer tjenester, og kommunenes innbyggere og næringsliv. Digitale tjenester skal være tilgjengelige – for alle som har behov, til den tid de har behov, og på en måte som gjør det mulig og ønskelig for dem å ta tjenesten i bruk. Samhandling mellom det offentlige og kommunenes innbyggere og næringsliv skal i stor grad være digital. En viktig målsetning med digitaliseringstiltak skal være å tilrettelegge for en enklere hverdag for innbyggere, herunder selvbetjening. Offentlige tjenester skal derfor ta utgangspunkt i brukernes behov og perspektiver og kunne brukes av alle, uavhengig av alder og funksjonsevne. For de ansatte skal det alltid være fokus på best mulig støtte for prosessene i tjenestene, og størst mulig grad av automatisering og oppgaveforenkling.

Hvorfor prinsippet er viktig

Innbyggere forventer effektive, brukervennlige og sammenhengende tjenester, og ansatte forventer effektive og brukervennlige IT-løsninger. Innbyggere og næringsliv får et enklere møte med offentlig forvaltning, vil oppfatte tjenestene som helhetlige og sammenhengende, og får ivaretatt sine rettigheter og plikter. Kommunenes ansatte får gode verktøy for effektive og målrettede tjenesteleveranser.

Hvordan prinsippet skal følges

IT-løsninger bør være utformet ut fra en helhetlig tilnærming, slik at de understøtter sammenhengende, treffsikre tjenester for innbyggere og næringsliv. Samtidig må den enkelte løsning understøtte de relevante prosesser i kommunale tjenesteleveranser, også på tvers av interne organisatoriske avgrensninger. Løsningene bør være fleksible og kunne tilpasses til relevante og spesifikke formål og kommunale brukergrupper. IT-løsninger bør utnytte teknologiens muligheter for å skape bedre ytre effektivitet («gjøre de riktige tingene») og indre effektivitet («gjøre tingene riktig»). Løsningene skal støtte etablerte retningslinjer og regulatoriske krav med hensyn til brukervennlighet, universell utforming og klart språk. Ved utforming og kravstilling til IT-løsninger bør vi:

• Bruke egnede metoder for å avdekke sammenhenger og arbeidsprosesser som f.eks. tjenestedesign og prosessmodellering.
• Vurdere mulighetene som teknologi, organisering og regelverk gir for å se brukerbehov ut over det brukerne selv etterspør.
• Vurdere nye måter å løse samfunnsoppdraget på.

Hva prinsippet innebærer

All informasjon skal sikres og beskyttes mot brudd på konfidensialitet, integritet og tilgjengelighet ut fra en risikobasert tilnærming. Informasjonssikkerhet og personvern skal ivaretas både ved anskaffelse, forvaltning og drift av IT-løsninger.

Hvorfor prinsippet er viktig

Tilfredsstillende informasjonssikkerhet og personvern er en viktig forutsetning for god tillit til digitale tjenester. Dette gjelder alle brukergrupper, både ansatte, innbyggere, næringsliv og frivillige organisasjoner. Beskyttelse av rettssikkerhet, effektivitet, personvern, informasjonssikkerhet, åpenhet og gjennomsiktighet er viktige bidrag til denne tilliten. Det stilles også regulatoriske krav til informasjonssikkerhet og personvern som skal følges i alle leveranser av kommunale tjeneste. Hvis ikke regelverket følges, kan det få store konsekvenser for samarbeidskommunenes økonomi og omdømme. Informasjonssikkerhet og personvern er absolutte krav, og vil i tvilstilfeller gå foran andre arkitekturprinsipper dersom disse er motstridende ved valg av løsning.

Hvordan prinsippet skal følges

For alle digitale tjenester må det kartlegges relevante krav til informasjonssikkerhet som følger av regelverk, instrukser og avtaler med tredjepart, samt dokumenteres at IT løsningen oppfyller disse. Dette inkluderer tekniske, organisatoriske og fysiske tiltak. For alle IT-løsninger skal man: · Kartlegge hvilket informasjonsinnhold løsningen skal omfatte · Ha definert et nivå for hvilken risiko som aksepteres · Gjennomføre en risikoanalyse av løsningen, basert på virksomhetens behov og egenart · Tilordne løsningen et passende sikkerhetsnivå · Implementere sikkerhetstiltak for IT-løsningen, som tilfredsstiller det sikkerhetsnivået som er besluttet · Teste at sikkerhetstiltakene fungerer som forventet Uavhengig av dette prinsippet eksisterer det både generelle og sektorspesifikke regelverk og standarder som den enkelte offentlige virksomhet må etterleve. For eksempel: Personopplysningsloven og Personvernforordningen (generelt regelverk), og Normen (sektorspesifikk bransjenorm for helse- og omsorgssektoren).

Hva prinsippet innebærer

Data skal forvaltes som en felles ressurs og i størst mulig grad gjøres tilgjengelig for effektiv bruk på tvers av prosesser, tjenesteområder og andre forvaltningsorgan. Deling og gjenbruk kan gi store gevinster for tjenesteproduksjon, innbyggere, næringsliv og frivillige organisasjoner. Prinsipper og målsetninger som IT-løsninger bør legge til rette for:

• Vi skal eie våre egne data.
• Informasjon skal registreres én gang.
• Vi skal ha god tilgang til data.
• Gode prosesser for informasjonsforvaltning, slik at informasjonen som skal benyttes forblir oppdatert, korrekt og komplett.

Hvorfor prinsippet er viktig

Deling og gjenbruk av data (iht. gjeldende lovverk) er en forutsetning for optimalisering av arbeidsprosesser og sammenhengende tjenester, og det kan muliggjøre automatisering av oppgaveløsningen. Ansatte slipper å registrere samme informasjon flere steder, og innbyggere slipper å gjenta informasjon om seg selv som det offentlige allerede vet. Deling av data vil også kunne føre til bedre datakvalitet, da flere kan oppdage og gi tilbakemelding om mulige feil. Ved å dele offentlige data vil samfunnet kunne gjøre seg nytte av informasjon offentlig sektor forvalter, for økt kunnskap, verdiskaping, innovasjon, effektivitet samt åpenhet og transparens.

Hvordan prinsippet skal følges

Ved etablering eller videreutvikling av digitale tjenester skal det legges vekt på (stilles krav til) IT-løsningenes egenskaper innen områder som:

• Eierskap til data
• Gjenbruk av relevante data
• Gjenbruk av data fra autoritative kilder. Bruk kopier kun der det er nødvendig, og sørg for at disse er oppdaterte.
• Unngå innlåsing av data i systemer med egne formater.
• Åpne IT-løsninger, dokumenterte integrasjonsmuligheter og bruk av etablerte og åpne standarder.
• Gode og effektive løsninger for styring og tilgang av informasjon innenfor gjeldende lovverk og retningslinjer.
• Tilrettelegging for deling av data
• Benytte felles grunndata – nasjonalt, sektorvis og lokalt i kommunesamarbeidet. F.eks. nasjonale felleskomponenter og registre, matrikkel, felles brukerkatalog etc.

Hvis relevant bør det vurderes mulighet for beskrivelser av datasett, API-er, begreper og informasjonsmodeller for deling i nasjonale løsninger som f.eks. Felles datakatalog. Ved etablering av nye IT-løsninger skal det gjøres en vurdering av krav til og/eller behov for langtidslagring/arkivering. Ved slike behov skal løsningene ha mulighet for avgivelse av data til gjeldende arkivløsning, og/eller tilfredsstille krav til innebygget arkivering («archiving by design»).

Hva prinsippet innebærer

For nye løsninger og større oppgraderinger skal alltid mulige og tilgjengelige driftsmodeller vurderes og evalueres. For skybaserte løsninger følges hovedprinsippene i Nasjonal strategi for bruk av skytjenester:

• Skytjenester skal vurderes på linje med andre løsninger når man står overfor større endringer eller omlegginger av IKT-system eller -drift:
  • ved innkjøp av nye system eller større oppgraderinger
  • ved større utskiftinger av maskinvare
  • når eksisterende driftsavtaler går ut
• Når skytjenester gir den mest hensiktsmessige og kostnadseffektive løsningen, og det ikke foreligger spesielle hindringer for å ta i bruk slike tjenester bør man velge å bruke skytjenester.
• Den valgte løsningen må tilfredsstille virksomhetens krav til informasjonssikkerhet. Dette krever at virksomheten kjenner verdien av egne system og data, og gjør en risikovurdering av den valgte løsningen.

Hvorfor prinsippet er viktig

Det offentlige har plikt til å drive mest mulig kostnadseffektivt. Men de har også et ansvar for å ta godt vare på innbyggernes data og ivareta innbyggernes interesser. Da er det viktig at de, når de skal velge IKT-løsninger, kan vurdere alle de løsningene som er tilgjengelige – også skytjenester. Allmenne skytjenester vil være det rette for noen brukstilfelle, men ikke for andre. Ofte kan den beste løsningen være en kombinasjon av flere leveransemodeller.

Hvordan prinsippet skal følges

For en del løsningsområder gir leverandørmarkedet sterke eller absolutte føringer om leveranse-/driftsmodell. I tilfeller hvor en SaaS-basert tjenestemodell er eneste tilgjengelig valg skal etablerte prosesser og prosedyrer i Indigo-samarbeidets formelle fora og deres respektive saksforberedende organ følges, for å sikre at viktige hensyn ivaretas. I situasjoner hvor det finnes reelle valgmuligheter mellom alternative leveranse-/driftsmodeller skal det gjøres en vurdering av hvert enkelt alternativ, opp mot dimensjoner som:

• Strategi
• Økonomi
• Funksjonalitet
• Fleksibilitet
• Krav til kompetanse og organisering
• IT-arkitektur
• Informasjonssikkerhet og personvern
• Regulatoriske krav
• Risiko
• Leverandørlåsing/-binding
• Bærekraft

Hva prinsippet innebærer

Valg av teknologi og løsninger må ta utgangspunkt i totaleffektivitet og totalkostnad gjennom hele livssyklusen til teknologien og løsningen. Valg/anskaffelse og innføring av løsning utgjør bare en liten del av livsløpet til en løsning. Når man velger løsning er det viktig å vurdere totalkostnaden og totaleffektiviteten, samt sikre at løsningen som innføres har de nødvendige forutsetninger til å fungere i hele livssyklusen.

Hvorfor prinsippet er viktig

Prinsippet skal bidra til at:

• Vi har kontroll på økonomi, risiko og regulatorisk etterlevelse knyttet til IT-løsninger gjennom hele deres livssyklus
• Teknologier og løsninger er tilgjengelige og stabile over tid
• Man unngår at virksomhetskritiske systemer ikke lengre kan oppgraderes
• Løsningene ikke på sikt hindrer innovasjon og endring i kommunenes oppgaveløsning.

Hvordan prinsippet skal følges

Ved anskaffelser og større oppgraderinger skal man stille krav til at valgt leverandør kan dokumentere en plan for utvikling og forvaltning i takt med den teknologiske, samfunnsmessige og regulatoriske utviklingen. Totalkostnaden og egnetheten til løsningen over tid skal vurderes som en del av kriteriene for valg av løsning. Etablerte IT-løsninger bør ved faste mellomrom gjennomgås for å sikre at de gir optimal prosess støtte. Ved evaluering av nye løsninger skal følgende parametere evalueres:

• Nytte/kost i et livssyklusperspektiv (Total Cost of Ownership). Unngå å anskaffe løsninger som har lav initial kostnad, men koster desto mer å drifte og forvalte
• Stabil, kontinuerlig og effektiv drift og forvaltning
• Ta hensyn til organisasjonens evne til adopsjon og gevinstrealisering. Unngå å anskaffe løsninger som man ikke klarer å nyttiggjøre
• Velg rett risikoprofil
• Unngå leverandørbinding i størst mulig grad. Det er viktig å kunne dra nytte av markedskreftene for videreutvikling av løsninger
• Miljøavtrykk skal vektlegges

Hva prinsippet innebærer

Alle IT-løsninger skal understøtte, og være et mulig egnet verktøy for deltakerne i Indigo-samarbeidet i deres oppfyllelse av regulatoriske krav. Dette gjelder krav som er relevante for de kommunale tjenester som den enkelte IT-løsning er ment å understøtte, og som deltakerne i samarbeidet er underlagt.

Det må derfor stilles krav til både leverandører av IT-løsninger og deltakerne i samarbeidet selv for å sikre regulatorisk etterlevelse ved anskaffelse og forvaltning av IT-løsninger. Det påligger også alle offentlige virksomheter å bidra til et mer digitaliseringsvennlig regelverk. Digitaliseringsvennlige regelverk er en forutsetning for optimalisering av arbeidsprosesser og sammenhengende tjenester, og kan muliggjøre automatisering av oppgaveløsningen. Arbeidet med utforming og anskaffelse av IT-løsninger og -arkitektur kan bidra til å identifisere juridiske barrierer for samhandling og digitalisering, og få igangsatt lov- og forskriftsendringer.

Hvorfor prinsippet er viktig

Det er en selvfølge at deltakerne i Indigo-samarbeidet følger pålagte lover og forskrifter. Konsekvenser av regulatoriske brudd kan være store. Derfor er det viktig at man stiller krav til IT-løsninger og forvaltning av disse slik at bruken av IT-løsninger ikke direkte eller indirekte medvirker til regulatoriske brudd. Videre er tillit til offentlig oppgaveløsning en forutsetning for at innbyggere, næringsliv og frivillige organisasjoner velger de digitale offentlige tjenestene. Beskyttelse av rettssikkerhet, effektivitet, personvern, informasjonssikkerhet, åpenhet og gjennomsiktighet er viktige bidrag til denne tilliten.

Hvordan prinsippet skal følges

Ved utforming og anskaffelse av IT-løsninger skal det alltid settes krav til løsninger og leverandører, som underbygger støtte for oppfyllelse av regulatoriske krav. Behovseier må kartlegge relevante lover og forskrifter som gjelder for den relevante kommunale tjeneste. Regulatorisk etterlevelse i IT-løsninger kan deretter best oppnås gjennom å følge de etablerte prosesser og fora beskrevet i Indigo-samarbeidets Samarbeidsavtale, hvor beste praksis på dette området er samlet. Ved planlegging av forvaltning av IT-løsninger skal man sørge for at alle involverte parter etablerer rutiner og prosesser som sikrer at regulatorisk etterlevelse oppfylles gjennom hele løsningenes livssyklus. Se også prinsipp 7 – Ivareta et helhetlig livsløp. Noen retningslinjer fra de nasjonale arkitekturprinsipper kan her anvendes direkte:

• I valget mellom ulike IT-løsninger og arkitekturalternativer skal hensynet til rettssikkerhet, effektivitet, informasjonssikkerhet og personvern vektlegges og veies opp mot hverandre.
• Personvern og informasjonssikkerhet skal ivaretas gjennom alle utviklingsfaser og hele livsløpet for arkitekturer og løsninger.
• Virksomhetene må ha styring og kontroll som sørger for at informasjonssikkerhet og personvern er ivaretatt i tjenestene.
• Følg Datatilsynets prinsipper og anbefalinger for personvern.
• Sørg for at beslutninger og vedtak som fattes i oppgaveløsningen er klart formulert, sporbare og etterprøvbare.
• Sørg for å overholde gjeldende krav til dokumentasjon av saksbehandling og vedtak i et langtidsperspektiv, slik dette er gitt i lovverk for samfunnsdokumentasjon og arkiver.
• Bruk obligatoriske standarder i forskrift om IT-standarder i offentlig forvaltning.

For å bidra til et mer digitaliseringsvennlig regelverk bør vi:

• Undersøke og bruke handlingsrommet innen eksisterende lovgivning.
• Spille inn forslag til lov- og forskriftsendring ved behov til ansvarlig departement/myndighet.
• Sørge for gode prosesser hvor jurister, teknologer og forretningssiden samarbeider i regel- og IT-utviklingsarbeid.