fredag den 9. maj 2014

Blå Blok vil bryde NETS monopol - Hvad vil de opnå?



Både Berlingeren og Børsen kommenterer i dag Nets-sagen og det giver sig som altid udslag i nogle meget hurtige politiske udmeldinger, som f.eks. Michael Aastrup Jensen, der udtaler at flere selskaber skal stå for driften af NemID, fordi den øgede konkurrence vil medføre større fokus på sikkerhed og oppetid og medvirke til at gøre driften billigere.

Før vi ser på hvad der er op og ned i de påstande, må vi træde et skridt tilbage og konstatere hvad det var, der gik galt og hvordan en kriminel person kunne få adgang til fortrolige data over en så lang periode, uden at nogen fattede mistanke. I samme runde kan vi jo så passende stille spørgsmålet om hvordan en svensk hacker i mange måneder kunne få adgang til CSC's kørekort database og mulige andre, CPR-relaterede databaser.

Sikkerhed i IT systemer
har traditionelt været fokuseret på den sidste type angreb, d.v.s udefra kommende angreb, og har derfor forsøgt med opbygningen af alle mulige firewalls, antivirussystemer - og ikke mindst med autorisationsystemer, som skal sikre, at kun de, der har en legitim adgang til systemet rent faktisk KAN komme ind. Oftest er det derefter meget avancerede adgangskontrol-mekanismer, der checker brugeren, hans rolle, hvilke applikationer/programmer han kan få adgang til - og i bedste fald også hvilke data og registre han får lov at se. De bedste installationer har desuden løbende kontroller - audits - af hvordan sikkerheden fungerer, og nøglemedarbejdere checkes løbende og i visse tilfælde udskiftes de efter en periode.

Hvor kommer truslerne fra?
Men trusselbilledet har ændret sig fra dengang alle medarbejdere sad i samme bygning eller på samme intranet, og alle data og programmer blev afviklet på een mainframe. I vore dage har medarbejdere hjemmearbejdspladser, mobile arbejdspladser eller bare mobiltelefoner, der giver adgang til virksomhedens data.
Og virksomhedens datacenter er blevet outsourcet og afvikles nu på en virtuel maskine, der fysisk kører sammen med 10-20 eller flere andre virksomheders systemer. Og nu bliver det meget mere interessant for eksterne hackere at angribe sådan en godbid, og der sættes i visse lande store ressourcer af til at prøve at penetrere den slags systemer. Og det lykkes forbavsende tit.
Det foregår som regel ved såkaldte fishing angreb, hvor (betroede) medarbejdere i de firmaer, som 'fiskerne' har fokuseret på, modtager falske e-mails, der er udformet så de tilskynder modtagerne at hente et attachment eller trykke på et link. Herefter downloades typisk en trojansk hest, der efter kortere eller længere tid giver sig til at undersøge sine omgivelser, jagte passwords eller aflure tryk på tastaturet.

Hver eneste dag bliver der sendt mere end 150 millioner fishing mails, hvoraf 16 millioner uden problemer passerer det før omtalte sikkerhedsfilter og når frem til interne medarbejdere. Omkring halvdelen af dem bliver åbnet, og ca. 800.000 klikker videre på det inficerede link.1
Hvert halve år angribes mellem 80.000 og 115.000 domæne navne.
En af de mest skræmmende og teknisk kompetente grupper benævnes APT1 og er med meget stor sandsynlighed styret og støttet af den kinesiske regering. Formålet er spionage og industrispionage. Man formoder at der er mere end 1000 højt professionelle hackere/spioner i denne gruppe. Det amerikanske firma Mandiant følger løbende denne udvikling og udgiver (gratis) oversigt over indikatorer for gruppens tilstedeværelse på virksomhedernes servere.

Udover disse meget professionelle grupper er der et væld af spammers og andre hackere, der søger at lokke penge ud af private og virksomheder på meget fantasifulde metoder. Herhjemme har vi set falske breve fra Skat og enkelte forsikringsselskaber, der fortæller at man har penge til gode. Også betalingskortselskaberne benyttes ofte som udgangpunkt, hvor man beder folk at genåbne deres 'lukkede' kort ved at indtaste kortnummer og pinkode.
Selvom det for professionelle ser højst primitivt ud, er der konstant nogen, der falder for tricket.

BYOD - Bring You Own Device - men tag hovedet med på arbejde
Og har hackerne fået fat i en PC'er, der tilhører en betroet medarbejder i en virksomhed, er porten til data åben. Mandiant mener at kunne påvise, at APT1-netværket har stjålet flere hundrede terrabyte dat fra mindst 141 organisationer. Hvad værre er, at disse angreb iflg. Mandiant i gennemsnit har stået på mere 356 dage, og en enkelt organisation var sågar udsat i hele 4 år for angreb før de opdagede det.

Selvom det nok er vanskeligt, er der altså i højeste grad brug for en pædagogisk indsats for at få hr. og fru Jensen til at interessere sig for deres sikkerhed, og så vidt muligt anvende sig af SSL (Secure Sockets Layer) og EV = Extended validation. Det er sådan, at firmaer eller websites, der anvender EV SSL certifikater vises på en browser med et grønt felt og med navnet på den certificeringsmyndighed, der har godkendt det.

Trusler mod borgerne
Identitetstyveri er en reel og stigende trussel for private mennesker. Ifølge en undersøgelse, som Københavns Universitet har lavet for Det Kriminalpræventive Råd, sker det for mere end 46.000 danskere hvert år. Dette omfatter ikke svindel med betalingskort, men tilfælde hvor en persons identitet misbruges f.eks. til at købe varer, rejser, oprette lån etc. Tallet stiger kraftigt - en fordobling på 4 år. Det hænger sammen med vores tiltro til, at de profil oplysninger vi lægger ind på Facebook, twitter, Linkedin etc. ikke benyttes kriminelt. Men jo flere personlige data der ligger tilgængeligt på nettet, desto nemmere er det at kunne udgive sig for en anden. Og hvis man er sløset med sine CPR-numre, kan det gå rigtigt galt. (Læs hvordan Identitetstyveri virker i praksis)

Tys-Tys kilden - datatyveriet fra Nets
Lad os nu vende tilbage til vores kriminalsag fra Nets/IBM. Vi taler altså om en medarbejder, der som en hel del andre, havde adgang til 'produktionsdata' , d.v.s. data vedrørende betalingskorttransaktioner. Det var disse informationer han solgte til Se & Hør, så vidt det er oplyst for en fast månedsgage på 10.000 kr. Vi ved på nuværende tidspunkt ikke, om han havde systemadministratoradgang til mange andre systemer, noget som politiet og IBM undersøger.
Uanset hvad han i kraft af jobbet har haft adgang til, har han under alle omstændigheder gjort sig skyldig i noget strafbart i kraft af en betroet stilling, ligesom de 'hælere', der havde ham ansat, også står til straf.

'Security breaches are inevitable - being a headline is not' (Mandriants hjemmeside!)
Jeg og med mig mange sikkerhedseksperter vil påstå, at man kan lave IT systemerne så sofistikerede, at det bliver meget svært at omgå dem selv for en 'insider', men det kan aldrig blive 100% sikkert. Vi kan forlange at de organisationer, der passer på vores data, logger alle adgange og regelmæssigt kører statistik på log data, så man kan se evt. mønstre, vi kan gøre det meget besværligt at få adgang til ukrypterede data, men nogen skal på et eller andet tidspunkt kunne få denne adgang, og selv i hæderkronede firmaer med en traditionel høj arbejdsmoral kan man ikke gardere sig mod egentlig kriminel adfærd. (Når medarbejdere som tys-tys kilden bliver 'body shoppet' fra eet firma til et andet, er loyaliteten for firmaet måske heller ikke den bedste - og fyrede medarbejdere er ofte de værste skadevoldere)

Hvad skal vi så gøre ved det?
Er det logisk at sikkerhedsniveauet vil blive højere, hvis 3 uafhængige organisationer hver især skulle kunne få adgang til vores personlige data? I min optik er risikoen for en kriminel insider bare 3 gange højere. Og hvad værre er, hvis infrastrukturen varierer fra udbyder til udbyder, vil een af de 3 uvægerligt være det svageste led i et eksternt hacker-angreb.
Det er forståeligt, at man ved næste udbudsrunde i 2015 (som er lige straks!) skærper kravene til sikkerhed, så den leverandør, der på dette tidspunkt vinder NemID-kontrakten, allerede ved at barren er blevet løftet. Men at 3 forskellige skulle kunne se en forretningsmæssig fordel i det, og ovenikøbet som Michael Aastrup og Mike Legarth forventer, gøre det billigere - det kræver mere end normal nytænkning - eller en ekstra bevilling, som jeg ikke tror at selv en borgerlig regering vil stå på mål for.

Hvordan kan man tjene penge på infrastruktur?
Der er nemlig ikke mange penge i infrastruktur. Jeg var særdeles involveret i begge de 2 runder udbud om digital signatur, der er kørt indtil nu, og kan se de problemer, som de bydende virksomheder havde med at se forretningen i løsningen. TDC, der vandt den første runde af de såkaldte OCES-certifikater, forventede at business casen skulle bæres af medarbejdercertifikater og registreringssystemer til private virksomheder, men det blev kun meget langsomt indfaset, og TDC måtte betale bøder, fordi de ikke levede op til de oprindelige estimater for udbredelse.
Den 2. runder udbud blev gennemført efter forhandling. Det konsortium, jeg var med til at koordinere, fik sammen med TDC og PBS/Bankerne udleveret det endelige udbudsmateriale. Da vi havde vurderet det, trak vi os! Og det endte som bekendt med at TDC gik sammen med PBS og overlod sin (skrantende) OCES-forretning til det, der senere blev NETS.

Der var kort sagt ingen penge i det. Og det vil der langt mindre være, hvis 3 skal deles om opgaven.
Når PBS var klart overlegen, var det netop i kraft af, at de allerede havde store dele af infrstrukturen betalt af kreditkortselskaberne og bankerne. Skulle man starte forfra, vil det være dyrt - også selvom IT-løsninger er faldet i pris.

Har vi en plan B?
Så hvad er vejen ud af dilemmaet? Alle politikere fokuserer på Se & Hør sagen, hvor de langt større trusler kommer fra fremmede regimer, profesionelle fishere og fra et voksende pres i form af identitetstyveri. Det er en typisk men beklagelig rygmarvsreaktion. Det er gået ud over en række kendte personers privatliv, det er stækt ulovligt, men tys-tys kilden er tilsyneladende ikke stukket af med arvesølvet. (Med forbehold for hvad politiets undersøgelse kan bringe, naturligvis)

Ja, Version 2 kan have en pointe i at '289 danske registre med personfølsomme data er uden for myyndighederne kontrol' - baseret på at man mener, at den amerikanske stat kan tvinge CSC, IBM, Microsoft, Facebook etc. til at udlevere persondata til USA - ovenikøbet uden at meddele det til danske virksomheder. Så er løsningen at forbyde outsourcing ? Næppe. Så mange og så omkostningstunge medarbejdere og systemer kan vi ikke forvente at skatteyderne er tjent med.
Det problem, som Version2 peger på, kan kun løses ved at EU indgår en klar aftale med USA, der bygger på menneskerettighedserklæringer, og som gør det klart for USA at udlevering af data om andre borgere kun kan finde sted efter gensidig overenskomst - for eksempel i fortsættelse af interpol-samarbejdet - ellers ikke.

Kan EU udarbejde retningslinier for at styrke medlemsstaternes datasikkerhed?
Jeg tilbragte i sidste uge 2 dage med Teknologirådet i en gruppe eksperter fra EU lande, der havde til opgave at vurdere om og hvordan man kunne udstikke retningslinier til kommissionen for brug af 'Cloud Computing'. Kommissionen ser nemlig gerne, at europæiske virksomheder får del i den bølge af 'cloud teknologi', der skyller ind over os, og hvor amerikanske firmaer har et solidt forspring.
Vores konklusion er indtil videre, at der ikke er noget, der kan kaldes 'Cloud Teknologi', og at de sikkerhedskrav man ville stille hertil, ikke adskiller sig fra de krav og checklister (TLA'er) man med rimelighed ville kunne forlange overholdt af enhver outsourcing leverandør uanset nationalitet.
Så opgaven i vores optik går snarere på at udvikle 'teknologineutrale' krav til sikkerhed, kryptering, autorisation, kontrol med nøgleprocesser og -personer og særlige revisionskrav, hvor data bruges på tværs af 'domæner', d.v.s. ved anvendelse af 'big data' teknikker.

Lad os lave NemID version 3
Her kan man begynde at nytænke. Og så kunne man passende lave hele vores personregistrering om til noget meget mere tidssvarende. At vi danske ikke ser noget problem i at bruge vores CPR nummer til alle mulige formål bør være slut. Der er ingen grund til at man ved en enkelt identitet kan misbruge det til at checke alle forekomster i alle virksomheder- fra RKI til Forsikringsselskaber, detailhandelskæder.... Ja, vores selvkontrollerende skattesystem bygger jo på en eentydig identifikation af personer - men det kan man godt etablere på anden vis. Man kunne for eksempel erstatte vores pap kort med et smart card, der også indeholdt biometriske data (krypterede fingeraftryk, ansigtsdata). Og så kunne man skele til den måde, tyskerne har implementeret ID på: på kortet kan man vælge at afsløre f.eks. alder, adresse, kørekortsinformation, sygesikringsinfo, bankinfo, donor info etc. Man skal som borger selv kunne styre hvor meget man vil afsløre om sig selv. Og det bør se - i modsætning til vores nuværende NemID - være international accepteret og skal kunne bruges på kryds og tværs af EU. (Se beskrivelse af EU initiativ om coss border ID - Stork 2)

Så kunne vi måske åbne for konkurrence om udstedelse og/eller drift af NemID 3.0
Ved at lægge andre data - pas, kørekort, sygesikring etc. ind - kan man måske - MÅSKE - gøre det forretnings,æssigt attraktivt for mere end een leverandør at byde på løsningen, så man kunne ved denne nytænkning måske komme Michael Aastrup og Mike Legarth imøde samtidigt med at man forhøjede personsikkerheden og man fik forbedret den digitale ID-infrastruktur. Prisen er at vi skal anskaffe smart card læsere, som nu er kommet så langt ned i pris, at de er billigere end en USB-stik.
Men denne type løsning har fungeret i snart 10 år i Estland, så hvorfor ikke?

Lad Teknologirådet fremkomme med forslag til krav til næste udbudsrunde og NemID 3.0 jo før jo bedre!

mandag den 12. august 2013

Facebook i den offentlige sektor: 'Få en Facebook profil!'


Facebook i den offentlige sektor
"Få jer en facebook profil!"
Det var titlen på en kronik i Politiken tirsdag den 30.juli. Målet var de danske kommuner og de to forfattere - Nikolaj Egerod og Marie Honoré - kritiserede de danske kommuner fordi kun 7% af de mere end 3 mio danske facebook-brugere også følger deres kommune på Facebook.
Det er en klar kontrast til oplysningerne om, at hver 3. af landets 98 kommuner faktisk ER på Facebook. Resten af kronikken indeholder en række anbefalinger til hvordan landets kommuner kan udnytte de sociale medier, herunder også en klar besked om at syretesten for kommunernes brug af de sociale medier bliver efterårets forestående kommunalvalg.

På eGovernment uddannelsen på ITU har vi gennem de sidste 3 år hvert år taget temperaturen på kommunernes brug af sociale medier, og resultatet af de analyser, som de studerende har stået for, har været nedslående, omend en vis kvalitetsforbedring har kunnet spores; De første cases, vi så led af en række iøjnefaldende mangler: I een kommune brugte borgmesteren facebook-siden til at løse konflikter og imødegå klager fra borgerne henover hovedet på administrationen, andre sider bar præg af, at der ikke var nogen, der holdt siden opdateret. En hel del af de kommuner, der tæller positivt på antallet af kommuner på FB, har i virkeligheden kun et bibliotek eller en afdeling, der er aktiv på de sociale medier, og i starten var Politiets tilstedeværelse på FB af rent eensidig karakter, man kunne ikke komme i nogen form for dialog med det lokale politi.

Men meget ser ud til at have ændret sig de sidste par år - det ser for eksempel ud til, at Københavns Kommune gør noget for at tage sig ud på FB: 12.469 synes om siden - og der ser ud til at være nyt næsten hver dag. Målgruppen er rimeligt tydeligt yngre københavnerne og børn. Der er også en ganske fin vejledning til kommunens selvbetjeningsløsninger
Og så gør man det helt klart, at formålet IKKE er at lave sagsbehandling via FB. Der er tydeligt markeret de spilleregler, som man følger.
Hvis vi så går til Frederiksberg Kommune på FB så ser vi her 3.036 'synes om' - ikke så mange som København, heller ikke så megen opdatering, og formålet er her mest at opfordre folk til at komme med gode ideer. Ikke så meget spræl, ikke nogen reklame for selvbetjeningsløsninger.

Et eksempel fra Nordsjælland er Allerød Kommune - 192 har været her ,760 synes godt om. Ikke meget spræl over den , et klik til 'videoer' viser, at der ikke er nogen. Og kun opdateringer typisk nogle få gange om måneden. Hvordan man promoverer siden står hen i det uvisse.

1.393 synes om-tilkendegivelser scorer Roskilde, der ligesom København har en rigtig god og overskuelig selvbetjeningsportal, der ser rigtig brugervenlig ud. Og så tilbyder de en ROSKILDE-APP, så byens borgere kan følge med også via mobil platformen. Husorden minder også om Københavns, så ud af de her sete 4 kommuner, må denne vist have prisen som den bedste Facebook implementering.

Men i modsætning til de kommunale Facebook implementeringer, som vi her har set på, så scorer
Politiets Facebook 61.502 synes om-tilkendegivelser, så der er åbenbart væsentligt flere, der udnytter politiets FB - bortset lige fra, at vi jo her taler om et landstal og ikke et kommunalt tal for fans. Det svarer til at politiet altid scorer højt, når befolkningen bliver spurgt om hvilke offentligt ansatte de har størst tillid til. FB tilstedeværelsen er ok, der følges tilsyneladende op på henvendelserne fra borgerne, og siden opdateres løbende.
Det er måske lidt interessant, at denne siden: Politi razzia og fartkontroller
scorer 3.940 'likes' - den vedrører private biliters information om fartkontroller på Sjælland - og er på sin vis en modsætning til politiets egen FBside.

men hverken Danske Regioner eller KL er åbenbart indstillede på FB - og måske forståeligt nok -

Så spørgsmålet er, om kommunerne kan hente inspiration - dels fra hinanden, dels fra udlandet til at opstille en god politik for udnyttelse af Facebook.

Australien har udarbejdet en oversigt til at fremme brug af sociale medier i den offentlige forvaltning. Dette bibliotek og de mange kilder til forståelse af hvilke muligheder og faldgruber, der eksisterer, var jo passende noget som KL og Danske Regioner kunne have glæde af at kopiere, det ville være en virkelig hjælp for deres medlemmer.

I en efterfølgende blog vil vi se på, hvilke initiativer, der findes indenfor EU og som også i høj grad vil kunne benyttes af de danske kommuner - og for den sags skyld andre offentlige instanser.

torsdag den 27. juni 2013

Vækst via Velfærdsteknologi ?







(Fra Vækstteamets anbefalinger om inddragelse af private aktører i det offentlige sundhedsvæsens kerneforretning)





I januar nedkom Vækstteamet under ledelse af Allan Søgaard Larsen, Falck, med en række anbefalinger til hvordan Danmark kan udnytte vores styrkepositioner indenfor sundhed og velfærdsteknologi til at opnå øget vækst og beskæftigelse.

Det var et af 8 'vækstteams' som Regeringen havde nedsat for at finde potentiale i områder som miljø, fødevarer, oplevelsesøkonomi, IKT og digitalisering m.v.

En del af anbefalingerne fra Sundheds- og Velfærdsteamet vedrører prioritering af forskning og udvikling, bedre rammebetingelser for vækstvirksomheder, en del anbefalinger peger på hvordan man mere konkret kan opnå et velfungerende hjemmemarked, og den sidste gruppe anbefalinger går på, hvordan vi kan blive bedre til en offensiv udnyttelse af det globale markedspotentiale.

Det springende punkt er her, hvordan vi får skabt et velfungerende og udviklingsorienteret hjemmemarked og kommer videre fra den nuværende situation, hvor vi har gennemført uanede mængder af pilotprojekter, men så godt som ingen egentlige storskalaforsøg med egentlig velfærdsteknologi.

Mandag Morgen bragte i marts en kritik af den samlede indsats og anførte, at initiativet var kommet mindst 10 år for sent, og at man ville drukne i politiske skyttegravskrige om hvordan man kunne etablere bæredygtige offentlige-private partnerskaber.
MM anfører: 'Forslagene virker gennemarbejdede og overbevisende og efterlader indtrykket af et kolossalt vækst- og jobpotentiale' , men peger samtidigt på et antal barrierer, som får MM til at mene, at det ikke kan lykkes: Vi er for sent ude, de kritiske sektorer er alt for fragmenterede i sig selv, og vi har en ikke mindst en fragmenteret politisk ledelse af de sektorer, der skal samarbejde, hvis det hele skal lykkes.

Dansk IT's tænketank Danmark 3.0 havde den 15. april indbudt til konference med netop Allan Søgaard Larsen som indleder og en dialog med Margrethe Vestager efterfulgt af en paneldiskussion med en række repræsentanter dels for forskningssektoren, for regionerne, for IT branchen.

Allan Søgaard udbyggede vækstteamets anbefalinger og understregede betydningen af et velfungerende hjemmemarked, før man kunne forvente at store, internationale satsninger kan gennemføres. Det kræver at Danmark for alvor bliver et afprøvningsland for telemedicin i stpor skala, og at erhvervslivet kan udnytte de mange sundhedsdata til analyseformål ('Big Data')
Blandt de største barrierer, som Alan Søgaard peger på, er at alle kompetencer er indlejret i offentlig sektor – sygehuse, regioner, hjemmepleje – og at private aktører hverken får skala nok eller prestige nok ud af at deltage i offentlige projekter til at det kan have synlige effekter på eksport. Øget innovation kræver derfor en nytænkning af hvordan offentlige og private samarbejder så man kan udnytte den viden og de kompetencer, der i dag kun findes i sundhedsvæsenet.

Margrethe Vestager takkede for Vækstteamets arbejde, og erklærede sig grundlæggende enig i konklusionen, men fokuserede dog mest på, at samarbejdet mellem offentlige og private indftil nu ikke var lykkedes på grund af den måde, man anvender konkurrencelovgivningen og reglerne omkring offentlige udbud. Skal man have en OPI-model, må vi være mere dristige i formuleringen af reglerne for offentlige indkøb, og ikke fortsat lade os drive af den kritik, vi i sin til fik af EU for den måde, Storebæltsforbindelsen blev etableret.

National handlingsplan ?
Imidlertid er der jo ikke så meget nyt i Vækstteamets anbefalinger, for allerede i juni 2012 nedkom Fonden for Velfærdsteknologi med 'Den Nationale handlingsplan for udbredelse af Telemedicin'
Afsenderen var en imponerende gruppering af Danske Regioner, KL Sundhedsministeriet, social- og integrationsministeriet, Erhvervs- og Vækstministeriet, Økonomi og Indenrigsministeriet og - ikke mindst vigtigt - Finansministeriet. Mage til fodslaw skal man lede længe efter.
Hvad pengene angår var det dog mere behersket: 80 mio kr. budget, hvoraf 30 øremærket til telemedicinske forsøgsprojekter. Det kan man næppe kalde imponerende, når sygehusenes udbygning i de nærmeste år stil mindst 40 milliarder, hvoraf en hel del burde kunne allokeres til at nytænke hele behandlings- og ikke mindst efterbehandlingsprocessen og genoptræningen med.
Handlingsplanens hovedinitiativer er:

1. Hjemmemonitorering af kronikere - Region Hovedstaden og Midt
2. Telecare Nord - KOL-patienter i Nordjylland
3. Telemedicinsk sårvurdering - Medcom (baseret på 'Sår i Syd' - Region Syd)
4. Telepsykiatri - Medcom
5. Internetpsykiatri - Region Syd (baseret på erfaringer fra Vejle)

Der er ikke noget videre overraskende i valget af projekter, det er de områder, hvor der i forvejen har været mindre, men succesfyldte projekter, og det er positivt, at Medcom - som en slags brobryggerorganisation - er med 2 af projekterne, hvor de 3 andre alle er båret primært af regionerne. Der er udarbejdet fornuftige business cases, og alt ser således på papiret OK ud.

Manglende opfyldelse af nødvendige rammebetingelser
Projekter om Telemedicin har vi kørt i DK siden 1994. Der har været masser af projekt, piloter, forsøg - dels med regioner og i visse tilfælde også med Kommuner som sponsor. Men ingen virkelige storskalaprojekter, så KOL-kufferten, Sår-i-Syd er udmærkede projekter, men levedygtigheden står og falder med om man får løst nogen grundlæggende strukturelle problemer i sundhedssektoren. Hvad er incitamenterne? For hvilke spillere? Hvordan laver man aftaler? Hvad skal patienterne selv betale? Hvor er de praktiserende læger henne i dette kompleks?
Og endelig - hvis vi går tilbage til Vækstforummet - hvordan kan man inddrage private aktører, så de kan lære af projekterne, udvikle løsninger og bruge det som springbræt for internationale projekter?

Der er i min opfattelse 4 fundamentale områder, der fortjener en meget hurtig afklaring:

- Det første er naturligvis at sikre samspil mellem de eksisterende aktører på sundhedsområdet - Regioner, kommuner, læger, speciallæger
- Det andet er at tilvejebringe fælles standarder - både for udstyr, lagring af data, regler for udveksling af information og beskyttelse af personlige data
- Det 3. er en åben, fordomsfri men forpligtende struktur for inddragelse af private aktører
- Og endeligt: Med tanke på borgernes stigende interesse for at leve sundt, forsikringsselskabers og andres interesser i ' det gode liv' - motivering af borgerne plus eventuelle andre finansieringskilder via forsikring eller via private anskaffelser af monitoreringsudstyr.

Bedre samspil mellem kommuner, regioner, læger

Et væsentlig bedre samspil vil kunne opnås, hvis en del af budgettet til de nye supersygehuset kunne benyttes til at etablere overvågningscentre for monitorering af borgere i eget hjem.
Alternativet bliver hurtigt, at det skal betales af kommunerne, og al den stund formålet er at reducere hospitalsindlæggelser og sikre hurtig udskrivning til trygt miljø i eget hjem, må det være primært i regionernes interesse at etablere det. Kompetence i den slags findes ikke i kommunerne.
Så vil kommunerne til gengæld skulle påtage sig at kunne rykke hurtigt ud, i tilfælde af et hjemmeovervåget borger får brug for assistance. Logikken i at kommunen skal betalke for denne del må være, at jo svagere patienten bliver, jo mere pleje vil være påkrævet. Det er også argumentet for at Kommunen - i hvert fald til mindre bemidlede - betaler for udstyr, der kan hjælpe til at forebygge skader, nye sygdomme etc. Dette kræver naturligvis en vurdering fra den ene kronikergruppe til den anden, og en vurdering i relation til genoptræningsprogrammet, som Kommunerne jo allerede HAR overtaget.
De praktiserende læger truer med en konflikt, og selve substansen i konflikten er sådan set dette spørgsmål underordnet, men hvis PLO sætter sagen på spidsen, vil det efter min opfattelse nemt fremprovokere en situation, hvor kommuner og regioner først i yderområder og senere andre steder direkte ansætter læger i lægehuse/sundhedscentre etc. som får en direkte mission også i forebyggelsesmæssig sammenhæng. PLO holder møde lørdag den 29.6 og her vil det vise sig, om det overhovedet er muligt at få praksislægerne til at indgå i en ny arbejdsdeling.

Fælles standarder

Vi er heldige i Danmark at MEDCOM har banet vejen på dette område for længe siden, og at sundhed.dk er etableret på toppen af de regionsdrevne sundhedsdata. Men nu kommer vi til indsamling,m registrering, lagring og ikke mindst deling af endnu mange flere data, der kommer fra hjemme-monitorering, telemedicin. Validiteten af disse data er ikke altid så høj, som lægen eller sygehuset kunne ønske, men til gengæld har man nu en enestående mulighed for lange tidsserier linket til den enkelte patient eller til den enkelte borger.
For at kunne gennemføre dette, er det nødvendigt at kunne enes om en fælles arkitektur. Og her er vi - heldigvis eller fornuftigvis - allerede langt.
EPJ-systemerne i Danmark er - omend der er 5 af dem - ikke så langt fra hinanden, at der ikke kan etableres et fælles udtræk - eJournal - som gradvist bliver bedre og mere detaljeret i takt med opdateringen af de enkelte EPJ-systemer, der næsten alle understøtter den internationale HL7V3 standard. Og Den Nationale Handlingsplan læner sig også op ad Continua Alliancen, som fundament for den fremtidige udvikling af Telemedicinske løsninger. Så her er vi på vej.
Referencearkitektur for såvel National IT som specifikt for Velfærdsteknologi er en ufravigelig forudsætning for fælles fodslaw - og også for inddragelse af private medspillere.
I november 2012 udkom så det første udkast til referencearkitektur for sundheds IT og sikkerhed, og i april 2013 blev så Referencearkitektur for opsamling af sundhedsdata hos Borgerne sendt i høring. Begge dele væsentlige fremskridt på vej mod fælles standarder og fælles sikkerhedsregler og beskyttelse af borgerdata på en sådan måde, at data rent faktisk kan anvendes.

Inddragelse af private aktører

Hele ideen med Vækstteam-arbejdet har været at se, hvor samarbejde mellem den offentlige og private sektor kan føre til vækst, nye services og ikke mindst eksportmuligheder. Så er det forstemmende at høre SF og Enhedslisten gå på barrikaderne og allerede inden sommerferien har bredt sig, at tale mod at private aktører kan indgå i administration og behandling - uanset vi taler ældrepleje, privathospitaler, sundhedsklinikker, genoptræning.
Som Vækstteamet anbefaler, hjælper det ikke noget, at vi eksporterer den offentlige sektor til Kina. Vi skal nødvendigvis gøre det gennem virksomheder, der er fuldt opdaterede og har de kernekompetencer, der skal til, for at kunne gøre en forskel. At NGO'er som Diakonissestiftelsen bliver vel modtaget i Kina er fint, men det er ikke højteknologi, vi eksporterer, det er en menneskelig positiv indstilling og en måde at organisere ældrepleje på, som kineserne helt sikkert får brug for. Men det er IKKE velfærdsteknologi, det er velfærdsservice. For at modernisere ydelsen, inddrage borgere, skabe tryghed hos patienter kræves investeringer og dokumenterede resultater. Klynger af samarbejde mellem offentlige og private aktører med en klar rollefordeling er en nødvendig forudsætning for at nå målene.

Borgerinddragelse og nye finansieringsmodeller
Digitaliseringstrategien har i de senere år været drejet mere og mere mod effektivisering og besparelser og væk fra det andet, oprindelige hovedfundament: Borgerinddragelse og 'empowerment'. Vi bliver imidlertid nødt til som en del af rammebetingelserne for en succesfuld implementering af velfærdsteknologi at tænke løsninger, der involverer borgeren, brugeren, klienten - og som vel at mærke også gør det attraktivt at tænke på at monitorere sig selv INDEN man bliver til en patient. Forebyggelse, motivering er måske allerede ved at være højere på lystavlen - men ikke alle befolkningsgrupper har samme motivation, og her kunne forsikringsselskaber (også Danmark) spille en rolle - bidrage ved at nedsætte forsikringer eller ved at yde tilskud til borgernes egen selvkontrol og måling. På digitaliseringsmessen i Århus spurgte jeg Klaus Panareth, der er formand for dansk selskab for telemedicin og 'opfinder' af KOL-patient kufferten, om anvendelse af borgerindsamlede data ikke kunne udgøre en sænkning af kvaliteten af medicinske data og derved øge risikoen for fejlslutninger. Det afviste han, fordi han netop mente, at de mange, mange data, der nu kan behandles (Big data!) også ville kunne renses for statistiske fejl, men i endnu højre grad bidrage til en viden om forløb og udviklinger i sundhedstilstand, som man aldrig før havde haft.
Der er langt igen...
Men selvom den truende lægekonflikt ser ud som den måske lige nu alvorligste trussel mod et effektivt samarbejde i den danske sundhedsmodel, er der stadigt langt igen før vi får løsningen på hvordan Regioner og Kommuner kan se en fælles interesse i at nytænke samarbejdet - og hvordan HELT private aktører kan inddrages for at løse vores fremtidige velfærdsproblemer.
Der er plads til mange blogs om emnet endnu.


onsdag den 15. maj 2013

Demokratiet i D-land


en 31. august 2011 afholdt DANSK IT's tænketank Danmark 3.0 en konference om demokratiet i en digitaliseret fremtid. Nu 2 år efter vil det være passende at tage et check på hvor udviklingen er på vej hen, især i lyset af at Venstres IT-ordfører, Michael Åstrup Jensen, fik bremset det lovforslag, som regeringspartierne havde fremsat og som gik ud på at gøre det muligt at afholde forsøg med elektroniske valg. (Se f.eks. bloggen fra Anders Sparre)

Betegnelsen D-land fandt vi på i Tænketanken for at illustrere det forhold, at det var næste naturlige udviklingstrin efter industrisamfundet. Vi diskuterede os også frem til, at hvis digitaliseringen i D-land er vidt fremskreden, giver det ingen mening at tale om IT, for IT ville være indlejret i alt - fra kommunikation, energi, produktion, medie, personlig sundhedskontrol, sundhedsvæsen, læring (både indlæring og af-læring) - og selvfølgelig også i styreform, med andre ord vores demokratio.

Spørgsmålet er så hvordan et D-lands demokrati, Demokrati 3.0, ser ud, og hvor de største ændringer til i dag kan tænkes at opstå. I den sammenhæng er selve valghandlingen jo 'blot' en detalje, omend grundlæggende for hele styret.

Ideen i vores demokrati er, at det er repræsentativt - vi vælger folk, vi stoler på og som har meninger og synspunkter, som vi sympatiserer med, og det er så de folkevalgte, der på vores vegne leder landet eller som opposition prøver at få indflydelse på beslutningerne .
Valgbarhed og stemmeret er omtalt i Grundloven - men der står ikke noget om partier, hvilket sikkert undrer en del.

Ideen i partiarbejdet er, at det er her man identificerer de bedst egnede kandidater til at repræsentere partiets medlemmer og i anden række de danskere, der har meningsmæssigt sammenfald med partiets.. Det betyder i praksis, at det er på partiernes opstillingsmøder, at kandidaterne udpeges, og afhængigt af opstillingsformen også i hvilken rækkefølge, således at der etableres regler for, hvordan såkaldte listestemmer tilfalder kandidaterne på listen.

Det betyder i praksis, at især små partier og lokale partiforeninger vil opstillingsmøderne opstille kandidater baseret på måske ganske få partimedlemmers stemmer, og der er sågar eksempler på opstillings'kup', hvor et antal nye medlemmer kan påvirke resultatet mærkbart.

Og tilslutningen som medlemmer er faldet dramatisk - se tallene for 'de gamle' partier

medlemstal 1960 1985 2011
Socialdemokratiet 259459 90739 42024
Venstre 192629 87461 42132
Konservative 108751 51734 13148
Radikale Venstre 35000 10100 9340

Selv Dansk Folkeparti kunne i 2011 kun mønstre godt 10.000 medlemmer, og samlet set var medlemstallet for alle politiske partier i Danmark ca. 175.000 i 2010.

Kan man forestille sig, at dette er ændret i D-Land?

Dernæst kommer spørgsmålet om valgkredse, hvor de enkelte kandidater udover at repræsentere partiernes medlemmer også - i hvert fald indirekte - forventes at repræsentere 'kredsens' interesser på tinge. Oprindeligt var det udfra et ønske om at få en vis overensstemmelse mellem vælgerantal og antal mandater i de enkelte områder, men de store flytninger ved industrialiseringen betød at man måtte indføre tillægsmandater.

Vil valgets landkort ændre sig?

Det løbende lovgivningsarbejde på Christiansborg såvel som styringen af regioner og kommuner MELLEM valgene er jo allerede blevet ændret i kraft af mediernes rolle og på det seneste også de elektroniske medier og de sociale medier. ed mellemrum afholdes folkeafstemninger (ved suverænitetsafgivelse, 'jordlovene') og der afholdes et antal høringer (lokalplaner, byggeplaner).
Kort sagt, der pågår et løbende Policy arbejde på alle niveauer i det politiske system, som i et vist omfang påvirkes af medierne - seneste eksempel er Regeringens ændring i holdning til Dagpengereformen.

Hvordan vil det løbende policy arbejde blive påvirket i et digitalt samfund?

Lad os tage det sidste først:
I Finland etablerede man så tidligt som i 1993 'The Committee for the Future', som er det finske parlaments stående udvalg, der fungerer som en tænke tank for fremtidsforskning, videnskabs og teknologipolitik i Finland. I januar 2012 udgav de en publikation 'Crowdsourcing for Democracy - a New Era in Policymaking'. Med udgangspunkt i begrebet Crowdsourcing - som defineres som en åben opfordring på internettet til 'alle' til at deltage i en online dialog, indsamling, informationsdeling. 'Crowd' er i sin oprindelige udformning en anonym masse, men begrebet bruges også om f.eks. 'venner' på Facebook, twitter o.l.

Blandt de eksempler på crowdsourcing, som rapporten nævner, er især arbejdet med at udarbejde en ny grundlov for Island interessant; det er første gang man forsøger at inddrage befolkningen i den grundlovgivende proces. Arbejdet er ikke afsluttet, det islandske parlament og højesteret er uenige om en række forhold, men eksemplet er interessant. USA har en række initiativer, der prøver at inddrage borgerne i policy-making: Open Government initiativer under Obama
We - The People - søger at aktivere folk til at støtte op om initiativer eller selv fremsætte forslag. Her er det ikke koblet til kongressen, men altså til præsidentembedet.
UK har haft succes med deres tilsvarende variant- HM e-Petitions, men den er dog forbundet med parlamentet: e-petitions viste mere end 28 mio sider og forslag til ny lovgivning de første 100 dage, den var i luften. Open Ministry i Finland indsamler ideer til ny lovgivning og befolkningens støtte til forslagene. En lov fra 2012 kræver, at hvis et forslag samler mere end 50.000 støtter på 6 måneder, skal forslaget forelægges det finske parlament.

Især det finske initiativ vil være levedygtigt i D-Land, så hvordan ser så demokratiet samlet set ud i D-Land?

Jeg forestiller mig:

Grundloven er blevet skrevet om - via crowd sourcing. Regler om borgerinddragelse og krav om behandling i Folketinger af forslag, der har samlet tilstrækkeligt mange unikke støtter er indeholdt, og Grundloven fortæller også hvordan kandidater til Folketing, Regionsråd (hvis de findes) og byråd opstilles: Som en kombination af partiernes forslag og borgernes unikke stemmer på kandidaterne. Slut med kup på opstillingsmøder, men det skal være klart, at den enkelte vælger kun kan deltage i eet opstillingsmøde pr. valg.

Mange offentlige diskussioner kan nu lægges åbent frem, og vælgere kan udtrykke deres synspunkter og meninger i et twitter lignende format. Men det kræver, at man SKAL identificere sig. had-kampagner af anonym art er forbudt, og det svarer til at man i et analogt mødelokale skal præsentere sig, når man tager ordet.
De eksempler, vi kender i dag, hvor borgerne inddrages i budgetprioriteringer. (f.eks. New Yorks budget, Budgetprioritering i Calgary, Canada og flere andre eksempler.
Det siger selv at høringer om lokalplaner o.l. også foregår elektronisk. Igen med anvendelse af borgerens unikke ID.

Valgene er elektroniske. Det kan de være, fordi hele identitetsspørgsmålet er klaret ved en videreudvikling af NemID, så hver borger har et smart card (eller en mobil), der har en 2-faktor sikkerhed, hvor dan anden faktor i stedet for et papkort er en kombination af biometriske data.
Eengangspasswords kan udstedes via mobil for applikationer, der kræver dette - f.eks. bank-løsninger.

Det nye ID-kort (eller mobil) dækker alle væsentlige applikationer - sygesikring, kørekort, valgbarhed, stemmeret, o.s.v. hvilket kræver,m at det er attribut-baseret, så ejeren kan bestemme, hvilke data, der ønskes anvendt i en given sammenhæng. (jvfr det tyske ID-kort).

I og med at hele ID-infrastrukturen er lagt fast, kan vi afskaffe valgkort. Det fremgår af e-ID for borgeren.

Selve afstemningen foregår på nettet, den estiske model for logning med mulighed for at fortryde og med mulighed for fremmøde med sit e-ID kort på valget, hvor valglokalet har tynde klienter med adgang til internettet. Stemmesedlerne genereres centralt af et uafhængigt valgorgan, og afhængig af borgerens bopæl (som fremgår af e-ID) vises den relevante stemmeseddel.
Den afgivne stemme krypteres med anvendelse af stemmecentrets nøgle modificeret med et tilfældigt tal, vælgeren skriver under (og pakker derved stemmesedlen ind i en personlig kuvert, krypteret med vælgerens private nøgle). Der etableres logfiler, den krypterede stemmeseddel gemmes i skyen, og når valghandlingen afsluttes, kan man med homomorisk kryptering redegøre for valgresultatet uden at bryde krypteringen.


Ser frem til kommentarer, indvendinger og synspunkter!

onsdag den 20. marts 2013

e-Valg igen-igen


(Det Estiske internetbaserede
valgsystem)

Lovforslag L132 var forgangen onsdag til høring i Folketinget, og skulle man udelukkende dømme udfra Version2's dækning, var høringen en næsten enslydende kritik mod forslaget fra de tilstedeværende IT-eksperter, bortset fra Christian Wernberg-Tougraard, der blev citeret for at sige at 'det tager nok 20-30 år, før vi får e-valg'.
Version2 benyttede samme lejlighed til på en ret uklædelig måde at kritisere IT-ordfører Trine Bramsen (S) for at demonstrere sin uvidenhed om samme emne. '..som med en cand.scient.soc baggrund mente sig mere teknisk kyndig end Niels Elgaard Larsen, som har en PhD i datalogi.'
Hvad er op og ned i denne sag og i lovforslaget?
Lovforslaget blev som bekendt til på baggrund af et større udredningsarbejde, som Teknologirådet foretog og hvor man fremkom med en anbefalingsrapport om gennemførelsen af forsøg med e-valg i Danmark ved kommunevalget i 2013. Rapporten blev udgivet i marts 2011
Christian Wernberg-Thougaard var som formand for IT sikkerhedsrådet medlem af arbejdsgruppen, og jeg deltog i de ekspertseminarer, der blev afholdt i processen, der varede godt et år, og som sluttede med anbefalingerne om at gennemføre forsøg i mindst 3 kommuner. Den model, som man især pegede på, var at afprøve mobile valgsteder:
'Arbejdsgruppen anbefaler at der fra centralt hold udvikles et e-valgsystem med digitale valgbokse og et centralt valgsystem som den enkelte stemme fra valgboksen rapporteres ind til. Valgboksen er en almindelig PC, der findes lokalt og som til lejligheden udstyres med en særlig valgprogrampakke.'

Det er imidlertid ikke denne anbefaling, der ligger til grund for lovforslaget, som sigter mod at indrette forsøgsvalgsteder med særlige PC'er, og det er denne model, der har nedkaldt en masse kritik. Men Version2 har åbenbart glemt, at de eksperter, som man tager til indtægt for en kritik af lovforslaget, slet ikke er så kritiske overfor ideen om at foretage afprøvninger.
Den 11.3 citerer Kommunernes Landsforening professor Kiniry fra DTU for en udtalelse om at 'E-valg kan gennemføres i Danmark', og Carsten Schürmann fra Demtech-projektet, blev citeret af Computerworld 13.2 2013 for en udtalelse om at 'Forsøg med danske e-valg er en god ide'.
Version2 citerer begge for at sige at 'Konklusionen på forskningen er, at vi ikke i dag ved hvordan man kan lave et sikkert og troværdigt e-valg.'

Og her kan man så trække en streg i sandet. For hvad er det, vi går efter? Et 100% sikkert IT system findes ikke, men argumentet vil i sin videste konsekvens svare til, at man i 1910 traf den beslutning, at automobiler ikke ville blive tilladt på de danske veje, før producenterne kunne garantere, at der aldrig nogen sinde ville ske trafikuheld.
Men lad mig slå fast, at jeg er enig i, at de foreslåede forsøg med dedikerede valgpc'ere, med tilhørende parallelle papirstemmer og deraf følgende komplicering af optælling og kritik for manglende brugervenlighed, er helt rigtig. Jeg har et helt andet synspunkt, som tager udgangspunkt i de erfaringer, som vi rent faktisk har fra andre lande. For der er gennemført en række e-valg med forskellige tekniske løsningsmodeller men med en ganske positiv modtagelse fra befolkningerne i de respektive lande.
 I vores naboland Norge blev der i 2011 afholdt valg til kommuner og fylker, og i den anledning blev der i 2012 udgivet en interessant rapport International Experiences with E-Voting, som kan anbefales. Her fremgår f.eks. følgende eksempler på internet baserede valg, og andelen af vælgere, der har benyttet sig af det: (Eksempler - der er adskillige andre cases)

- Norges valg til kommuner og Fylker 2011 - 168.000 registrerede vælgere, 26,4% via internettet
- Estlands parlamentsvalg 2011 - 913.000 vælgere med e-ID kort, 24,3% deltog via internettet
- Schweiz, Geneve folkeafstemning 2011 - 241.780 registrererde vælgere, 22% deltog via internet

Af disse lande er Estland det land, der har den længste periode med erfaringer fra internetbaserede afstemninger, og som i mange henseender er et foregangsland i EU for digital infrastruktur.
Det Estiske internatvalg er baseret på den digitale identitet, hvor hver borger er registreret og har fået tildelt et identitetskort med smart chip indeholdende en privat nøgle. Registreringen omfatter også information om stemmeret. ID-kortet anvendes generelt og på tværs af sektorerne, både som netbank-identitet, i sundhedsvæsenet, som ID kort ved rejser i Europa etc.

Internetvalget er et tilbud om at benytte den digitale identitet til at foretage afstemning via internettet i dagene inden den egentlige valghandling afsluttes. Esterne afgiver deres stemme via egen PC, stemmesedlen krypteres med den centrale stemmeboks' offentlige nøgle, signeres med vælgerens private nøgle og sendes til een eller flere modtager-servere, der registrerer, at vælgeren har stemt, og gemmer den krypterede stemmeseddel. Man kan stemme lige så mange gange, man vil, men der gemmes kun een stemmeseddel. Når on line afstemningen lukker, de-identificeres den fortsat krypterede stemmeseddel og sendes til en back end, hvor selve optællingen foregår, når afstemningen lukker. Såfremt vælgeren møder op på valgstedet, benyttes ID-kortet som registrering, og såfremt der ligger en stemmeseddel for den samme ID, overskrives denne. Der er fuld logning, det er muligt at gentage optællingen, og der er ingen sporbarhed mellem den stemmeseddel, der indgår i optællingen, og vælgeren.
Såfremt man ønsker at få et indblik i sikkerhedsbetragtningerne og vurderingerne heraf sammenlignet med andre e-valgsmodeller, kan jeg anbefale at læse denne kandidatopgave:

Statistik over benyttelse af internet afstemningen i Estland siden 2001 kan ses her:

Tilbage til høringen om det danske lovforslag: Handicaporganisationerne i Danmark bakker naturligt nok op om at gennemføre e-valgsforsøg, og læser man kritikken nøje, forstår man også hvorfor Christian Werrnberg-Thougaard fortsat går ind for e-Valg. Men tilgangen er efter min mening desværre blevet forfejlet; man skulle have lyttet til Teknologirådets anbefaling, men man kan med fordel fortsat lære af Estland (og andre lande der fortsat gennemfører eValg).
John Kiniry beretter om hvordan e-Valg gik galt i Holland i 2007 - hvordan de specielle valgPC'ere blev hacket ved hjælp af et tool, der kunne købes på internettet til 15 kr., og en stor del af bekymringen udtrykt på høringen gik netop på muligheden af at hacke valgstedernes PC'er.

Men vælger vi at tage en helt anden tilgang - nemlig at Danmark ikke bliver digitalt fra den ene dag til den anden, at det ikke er spørgsmålet om at lave et hundrede procent sikkert afstemningssystem, men derimod et afstemningssystem, der er bedre (kan tiltrække flere vælgere) end det nuværende, og hvor borgernes tillid kan bevares og løbende udbygges, så skal vi gå efter den Estiske model.

Dagens valgsystem er IKKE 100% sikkert - brevstemmer bliver forlagt, optællinger må gå om, og der er - ganske vist i meget få tilfælde - konstateret forsøg på fusk i en lokal optælling.

Så opgaven er at designe et system, hvor det bliver svært for indtrængere at forfalske resultatet, meget svært at købe stemmer, og svært for insidere at ødelægge gyldige stemmer eller aktivere borgere uden stemmeret. Det er det, som det estiske system sigter mod. PRAKTISK sikkerhed - og så har det den store fordel, at de svage grupper - f.eks. handicappede - kan deltage i afstemningen.
Når man tænker på de seneste meningsmålinger, at kun 30% af førstegangsvælgerne overvejer at deltage i Kommunalvalget til efteråret, vil man også med fordel kunne fange de unge ved at åbne mulighed for deltagelse via internettet. Og så behold muligheden for traditionel afstemning nogle år endnu.

I en senere blog vil jeg diskutere, hvordan man kan evaluere 'praktisk sikkerhed' i e-Valgssystemer og sammenligne med de kendte gode såvel som dårlige eksempler.

(Og lad mig slutte med at sige, at jeg respekterer Trine Bramsen (S) for hendes engagement, også i Privacy-debatren, og jeg er glad for at kunne konstatere, at hun fortsætter den gode tradition med at IT-ordførerne gør en stor indsats for at sætte sig ind i emnet.)

lørdag den 26. januar 2013

eValg - Lad os få en plan B!!


På baggrund af en konference i maj 2012 har Indenrigs- og Økonomiministeren i november 2012 fremsat et lovforslag, der skal gøre det muligt at afprøve elektronisk stemmeafgivning på forsøgsbasis. På baggrund af de forventede lange planlægningstid bliver det tidligst aktuelt ved valget til Europa-parlamentet i 2014.

Ikke desto mindre har der fra forskellig side været rejst voldsom kritik af forslaget og dets konsekvenser. Version 2 havde således i december en artikel, hvor man refererede et antal indvendinger mod planerne, herunder bl.a. fra IT politisk forening, der i deres høringssvar til lovforslaget anfører:

 'IT politisk forening vil anbefale Folketingets medlemmer at forkaste dette lovforslag. .. Fordelene ved e-vakg er beskedne og nærmest ikke-eksisterende, mens der er en lang række risici. I værste fald kan dette lovforslag spille hasard med vores langvarige demokratiske traditioner og mindske befolkningens tillid til valghandlingen."
Poul-Henning Kamp fra Ingeniøren havde allerede efter konferencen i maj 2012 dannet sig sine egne konklusioner, som fokuserede på det manglende økonomiske rationale i at gennemføre elektroniske afstemninger. (Se http://ing.dk/artikel/129276-evalg-de-var-ikke-klaedt-paa)
Samme Poul-Henning Kamp henviser også til en kommende gæsteforelæsning af en DTU-forsker, som vil holde forelæsning i starten af februar, hvor forskeren også advarer mod indførelse af digitale afstemninger: ( Se http://www.version2.dk/blog/evalg-lyt-til-en-expert-49983 )

Hvad eer op og ned i denne diskussion -. og ikke mindst: hvordan kunne man foreslå en alternativ tilgang til afprøvning af elektroniske afstemninger?

Diskussionen og debatten udspringer i flere rapporter fra Teknologirådet, der afholdt 2 omfattende workshops om emnet i 2010.
Efterfølgende udarbejdede arbejdsgruppen under Teknologirådet en anbefaling til hvordan man kunne afprøve mulighederne for eValg i Danmark. Begge Workshops og anbefalingerne tog naturligvis afsæt i Europarådets anbefalinger, der sigter mod at opretholde og forbedre de demokratiske grundprincipper - frie valg, stemmehemmelighed,transparens, revision, folkelig kontrol - og selvfølgelig også persondataloven, krav til driftssikkerhed og et grundliggende krav om en rimelig omkostning sammenlignet med traditionelle valg

Hovedanbefalingerne fra marts 2011 var:
1. De grunlæggende principper for digitale valg skal efterleves
2. E-Valg skal have central styring og ansvarsplacering
3. Der skal nedsættes et uafhængigt organ med rådgivnings- og revisionsfunktion
4. De økonomiske konsekvenser af digitale valg bør afklares
5. Der bør skabes en valgmodel med mobile valgsteder med internetopkobling til forsøgsprojekt
6. Valg bør baseres på fleksible valglister og fleksible stemmesedler
7. Der bør gennemføres et forsøgsprojekt med mindst 3 kommuner i 2013
8. Effekterne med forsøg af digitale valg skal evalueres systematisk
9. Tag borgerne med på råd

Om 'den digitale valgboks' sagde man: 'Det skal være en almindelig pc med visse minimumskrav. Det betyder at det er muligt at anvende allerede indkøbte PC'er og efter valget anvende pc'erne til andet formål' - eller med andre ord: Der forventes installeret en programpakke på de PC'ere, der opstilles i valglokalerne, hvilket også forklarer behovet for en central styring, revision af koden og assistance.

Men måske skal vi starte længere tilbage og spørge, hvorfor det overhovedet er interessant at tale om digitale valg?
Der er i princippet 2 synspunkter: Dels det demokratiske synspunkt, hvor man ønsker at bruge teknologien aktivt til større borgerinddragelse (eDemocracy) og inddragelse af udsatte grupper (eInclusion) - og dels de traditionelle synspunkter for eGovernment, effektivisering og omkostningsreduktion.
Anbefalingerne fra Teknologirådet havde begge synspunkter for øje, og vurderede 3 forskellige scenarier: Fjernvalg (internetbaseret eValg), mobile valgsteder (Ligeledes internet) og elektroniske valgsteder. Man endte med at anbefale de 2 sidste som genstand for et forsøg, og begrundelsen var her, at befolkningen ville føle sig usikre ved fjernvalg, at stemmehemmeligheden ikke kunne garanteres og at det derfor ville være muligt at manipulere svage vælgere.
Ud fra et økonomisk synspunkt ville fjernvalg derimod være billigere, mens usikkerheden om økonomien naturligvis ville være større ved de sidste 2 alternativer, hvorfor man anbefalede en nøje vurdering og en afgrænsning til 3 kommuner.

Det nu fremførte forslag går imidlertid på anvendelse udelukkende ved faste valgsteder, og med en yderligere stramning af kravene til de dedikerede, ikke-opkoblede PC'er og ikke mindst kav til parallel produktion af papirafstemninger til brug for en parallel, efterfølgende kontroloptælling er det nok ret oplagt for enhver, at der ikke er nogen besparelse at hente, og deri har kritikerne jo ret.

Det forhindrer ikke, at Poul-Henning Kamps synspunkter eller den nye DTU-professor nødvendigvis skal stå uimodsagt hvad angår selve spørgsmålet om sikkerhed og pålidelighed i eValg-systemer; Siden 2011 har ITU været vært for et stort europæisk forskningsprojekt DEMTECH, der fokuserer på hvordan teknologi kan bidrage til demokratiet.
Men da forsøgene nu definitivt er udskudt til 2013 - på trods af de store forventninger i sommeren 2012 så har vi nu en chance for at tænke problemet om igen. For hvorfor var det egentligt, at arbejdsgruppen fravalgte at teste Fjernvalg, d.v.s. internetbaseret afstemning?

Der findes nemlig et glimrende eksempel på en anden form for strategi ved indførelse af digital afstemning nemlig den måde, som man i Estland har indført eValg. Estland var et af de første lande i Europa der gennemførte et egentligt borgeridentitetsprogram baseret på smart cards. Dette projekt startede i 2001, og det kræver at borgerne, der ønsker at benytte dette smart card fra deres egen PC må investere i en smart card reader. Dette smart card anvendes både af den offentlige sektor og af finanssektoren, og anvendes også som gyldigt rejsedokument i EU. Det dækker naturligvis også sygesikring.
Da Estland åbnede for muligheden for digital afstemning via nettet var det samtidigt med den mulighed, at man kunne stemme om lige så tosset man ville, og om fornødent troppe op på (det traditionelle) valgstedet på valgdagen og annulere tidligere digitale afstemninger.
Ved seneste valg er Estland kommet på en dækning over 30% af de afgivne stemmer, og tallet stiger stille og roligt.
Den estiske model understøtter også den generelle eGovernment strategi, og flere og flere services bliver tilgængelige via borgerID-kortet. Det har den fordel, at borgerne gradvist vænner sig til systemet - uden tvang - og derved beholder eller styrker tilliden til at digitale løsninger er sikre.

Da arbejdsgruppen vurderede, at det ville blive for dyrt at indføre smart card readers til alle, og da den danske NemID jo ikke dækker hele spektret - på trods af at løsningen gradvist udbygges - så ville det måske være for meget.

Men hvis vi alligevel allerede er i 2014 før nogen test løber af stablen, og vi allerede nu er i voldsom tvivl om hvorvidt NemID skal kodes om for at undgå flere Java-problemer, hvorfor så ikke tænke så langsigtet, at vi får gennemført et udvidet borger ID-kort, der kan bruges på samme måde som det estiske - til sygesikring, kørekort, rejsedokument?

(Denne blog er en fortsættelse af det jeg skrev i sommers: http://sorenduus.blogspot.dk/2012/06/evalg-igen-igen-men-hvornar-far-vi-et.html

onsdag den 12. december 2012

Riv Skolerne ned .... (og start forfra)


Det er en enestående begivenhed at vi nu kan tage fat på en fordomsfri debat om hvordan vores uddannelsessystem skal indrettes, og jeg håber virkelig, at vi ikke stopper ved Folkeskolen, men kan benytte lejligheden til at gøre op med den gammeldags opfattelse af begrebet 'lærere', 'klasser', 'undervisning' og erstatte det med en helt anden eksperimenterende tilgang hvor vi for en gangs skyld kan udnytte børns helt naturlige nysgerrighed.

Jeg havde forleden dag fornøjelsen at være censor på CBS/ITU's EBUSS-studie, hvor 2 kandidater havde undersøgt hvordan man på 2 forskellige gymnasier benyttede de såkaldte web 2.0 teknologier i undervisningen, hvordan lærernes erfaringer var og ikke mindst hvad to 1.g klassers oplevelser var.
Den første konklusion var, at begrebet 'digitale indfødte' er meningsløst. 1 g'erne er IKKE i stand til af sig selv at mestre endsige benytte blog's, wiki's, app's - selvom de selvfølgelig allesammen er på facebook.
Den anden konklusion var, at medens lærerne generelt synes at være enige om, at læring bedst sker ved elevernes samarbejde og eksperimenter med opgaver, så forventer eleverne, at man for at bestå og få en god karakter skal sidde ned, høre hvad læreren siger, tage noter - og kunne gentage det til eksamen. Altså en læringsopfattelse, der ikke har ændret sig meget siden latinskolen.
Den tredje, noget mere skjulte konklusion, er at lærerne - også de, der meget gerne VIL udnytte ny teknologi - ikke har tilstrækkelig baggrund, opbakning eller netværk, der kan hjælpe dem til at få eleverne engagerede.

Opgaven er her (som på andre områder indenfor 'digitalisering') IKKE at betragte teknologien som løsning på alverdens problemer, men at betragte hele læringssituationen og aktørerne som et samspil mellem individer med egne holdninger, forskellige opfattelser, forventninger og baggrunde, hvor teknologien kan anvendes som løftestang hvis forudsætningerne er til stede.

Vi kan starte med at konstatere, at problemet ikke starter i 1. g. Det er resultatet af 9 års skævridning af børnenes indstilling til begrebet læring, der har medført at man betragter det som lærerens opgave at proppe viden ind i hovedet på eleverne, som omvendt skal 'kunne stoffet' for at få gode karakterer, så de kan 'blive til noget'. (Kim Larsen har ikke levet forgæves).

En af de mere radikale måder at lave om på konceptet 'læring' af den såkaldte 'flip flop teaching'model. Den blev 'opfundet' af Salman Khan, og går i korthed ud på, at undervisning finder sted hjemmefra - via YouTube eller tilsvarende, hvor korte lektioner af super-høj kvalitet kan afspilles, spilles igen og igen og hvor 'indlæringen' foregår på skolen, hvor eleverne i grupper, parvis eller med lærervejledning laver opgaver, der afprøver om de har lært noget fra undervisningen. Salman Khan afprøvede det først på et ret højt matematik-niveau, men har sammen med en række gode kolleger bredt det ud til en mængde fag og klassetrin, startende med 1. klasse. Samtidigt har de udviklet spørgsmål, hints og feed back system, så vejlederen ( det nye lærer-ord) kan se, hvor langt den enkelte elev er nået, hvad han/hun er gået i stå på og hjælpe til at parre dygtige elever med mindre dygtige, så man får en helt anden grad af sidemandsoplæring.
Se denne artikel om 'flip flop teaching for beginners' - jeg håber, at danske lærere kan blive inspirerede!

Der er nu langt over 1 million elever på systemet og mere end 20.000 lektioner, og selvom man ved første øjekast synes at selve opgaverne virker lidt vel amerikaniserede, er det for mig at se bare en udfordring at lave dem endnu bedre, endnu mere hold-orienterede. Der er en række evalueringer af metoden, se f.eks. denne.
Og med en kombination af hjemme-undervisning og mulighed for at stille spørgsmål til underviseren, kan vi glemme alt om en klassestørrelse på 24 eller 28 elever, for vi kan have flere hundrede elever ad gangen i undervisningssituationen, og så mange til opgaveløsning, som man nu praktisk kan håndtere. Og en sideeffekt er, at hjemmeundervisningen faktisk også kan inddrage forældre på en konstruktiv måde. Se her eksempler på aktiviteter til 'collaborative learning'

Hvad kan vi mere gøre? Hvis vi IKKE har digitale indfødte, men unge, der er hjemmevant med mobile løsninger og med facebook, hvordan kan man udnytte det?
Ja, en af metoderne kunne jo være det, som kaldes 'gamification' - World of Warcraft udviklet som skattelege, som holdlege med deltagere, der ikke nødvendigvis behøver at sidde ved siden af hinanden. Kan man konkurrere med hold i Singapore, Texas og Sydamerika er det måske endnu vildere og mere spændende. Se denne artikel om hvordan gamification i uddannelsen kan gribes an.

Sprogundervisning kan forbedres ved brug af sociale netværk - forestil jer en dansk 5. klasse, der får til opgave at fortælle engelske 2. klasses børn om hvordan Danmark er - på engelsk. Ringe dem op på Skype og udveksle billeder og film. De engelske børn får lært geografi, de danske børn får lært engelsk. DSe The Guardians artikel om kreativ brug af sociale medier i sprogundervisning

Benyt lejligheden til at forny det danske undervisningssystem!

Der er uanede muligheder for at nedbryde det traditionelle, stive undervisningssystem, og som IT Universitetets bestyrelsesformand Jørgen Staunstrup sagde ved et Danmark 3.0 arrangement:
'Spørg ikke hvad IT kan gøre for dig, men spørg hvad du kan skabe med IT'.

Se denne oversigt fra TED om hvor mange forskellige undervisningsvideoer, der i dag er tilgængelige - også til at støtte efteruddannelse, omskoling og træning. I en tid med arbejdsløshed, globalisering og stigende behov for kompetencer, er der ingen grund til at ny teknologi i undervisningen ikke skal bruges til voksenundervisning også.