Et annet syn på passkrisen vi opplevde i sommer
Alle har nå fått med seg de utallige artikkelen om passkrisen i Norge nå som hele Norge skal på ferie. Denne krisen bunner i all hovedgrunn i et produksjonsproblem og tilfeldigheter som, flere utgått pass pga. korona og at folk føler de endelig kan reise. Med økt etterspørsel og press på produksjonslinjen pga. globale problemer sklir produksjonen av nye pass ut i tid for mange. Det har også nå i etterkant vært oppvask, hvor man har prøvd å gi skyld. Mye peker tilbake på Thales ifølge politiet selv.
Det er blitt stilt spørsmål om hvorfor vi ikke har digitale pass, det hadde jo løst hele produksjonslinjen og kunne skalert mye bedre. Svaret som har kommet er "Eit digitalt pass på telefonen er noko ein i dag av personvern- og tryggingsomsyn ikkje lagar, seier seksjonssjef Arne Isak Tveitan i Politidirektoratet" Kilde
Vi i DIN mener annerledes! Det ser også ut som nå regjeringen mener annerledes med ny høring om eID. Her så nevnes det at det finnes teknologi, lommebok, som kan holde førerkort og id-kort. Ja ikke direkte pass, men kan den holde førerkort og id-kort, så er ikke pass langt unna!
Uttalelser som Tveitan’s bidrar til et inntrykk av at myndighetene ikke er på ballen når det gjelder teknologiske muligheter.
Idag finnes det standarder, teknologisk arkitektur og infrastruktur som gjør det mulig å skaffe Norge og verden digitalt pass, med fokus på “personvern- og tryggingsomsyn”!
Først, la oss se på dagens løsning, og hvorfor det ikke bare blir en app.
Idag så har vi ePass, så man kan stille seg det spørsmålet, hvorfor kan jeg ikke bare få dette ePasset på mobil. Hvis den brikken i mitt fysiske pass kan leses, så kan vel dataen også lagres i en mobilapp? Ja vi kunne tatt den dataen, signert den og gjort den umulig å endre uten å bryte gyldigheten, også tilbudt den bak en innlogging med BankId, for det er det vi gjør i Norge. Men hvordan skal den andre siden, mottakeren motta dataen, forstå dataen og gjøre noe fornuftig med kryptografien i dataen? Dette gjør idag med pass dataen når vi passerer landegrenser og de scanner passet vårt. Veldig mange steder gjøres dette visuelt, og ikke via chippen i passet. Men da må de ha klart å få på plass noen standarder som sier noe om datamodellen og kan utveksle data? Så hvorfor kan vi ikke lagre dataen trygt på en app som Norge har laget? Vi kan til og med sende data med NFC fra vår mobil til mottakeren. Det største problemet med å bare gjøre dette digitalt er at vi støtter bare et bruksområdet. Dette gjør ikke at vi plutselig kan ha gode digitale koronpass, eller førerkort. Videre er det et problem at utvekslingen av dataen nødvendigvis ikke er standardisert. Som betyr at det skal være mulig å utveksle over NFC, noen andres førerkort og passere verifisering testen. Det er her det er viktig å gjøre det veldig vanskelig å utveksle feil data. Dette kan man løse med teknologien vi nevner videre, som også igjen setter fokus på “personvern- og tryggingsomsyn”.
SSI og VCs er enkle standarder med eksisterende implementeringer som kan gjøre mange flere bruksområder mulig. Se blant annet hva NAV og forskning har gjort
Men, for å være helt tydelig, så er ikke dette en “lag en app, så er alt bra”-løsning. Den vil kreve samarbeid, bygging av viktige delbare teknologiske lag, og enighet om hvilke standarder som skal brukes. Klarer vi å samarbeide rundt dette, så kan videre arbeid skje på et høyere nivå enn teknisk arkitektur og database valg.
Samarbeidet kan skje på data modeller (semantisk web) og tillits rammeverk, som betyr, hvem er aksepterte utsteder av pass og hvor defineres denne dataen. Når man prater på dette nivået, så kan man hoppe fra data punkt til data punkt, førerkort, kvitteringer, arbeidsattest osv, for å definere en akseptert usteder og utarbeide datamodellen. Så har man et nytt økosystem dekket av verifiserbar data!
Hvordan kan man oppnå dette?
I enkel rekkefølge er det følgende scenario man sikter mot. Utstederne, pass-utstederne, politidirektoratet, bør ha som rolle å fokusere på å sikre tilliten og tilhørende data. For det er denne datane skal til for å gi et gyldig svar på hvem som kan få et norsk pass. Videre gir politidirektoratet verifiserbar data (passet) til borgerne som kontrollerer dataen og kan få lov til å gjøre hva de vil med denne utstedte dataen. Da løser man problemet nevnt av Arne Isak Tveitan, “personvern- og tryggingsomsyn”. Fordi borgeren tar imot og holder denne dataen i en selvvalgt kontroll applikasjon, digital lommebok. Borgeren velger selv hvor dataen deles, fordi de ønsker å vise fram pass i forskjellige situasjoner som Politidirektoratet ikke har kontroll over, og er dermed ikke i noe fare for å bryte “personvern- og tryggingsomsyn”. Denne ukontrollerte fremvisningen med riktig tillitsnivå kan man ikke få til idag. Et fysisk pass er det nærmeste vi kommer slike fremvisninger. Dette er fordi vi har ikke de riktige teknologiske lagene på plass. Klarer vi å få SSI implementert, er borgernes personvern og sikkerhetshensyn ivaretatt gjennom direkte kontroll av den som har motatt dataene.
Det finnes standarder, live implementasjoner og fungerende bruker teknologi der ute på nettopp disse manglende teknologiske lagene som ikke eksisterer. Så hvorfor gjør vi ikke dette digitalt nå?
Fordi det kreves fortsatt endel mangfold av arbeid for å få alt på plass, for å klare å lage den fullverdige digitale løsning. Vi må få satt fokus på dette problemområdet med sterke resusser og midler som vil løse data delings problematikken for brukeren, og ikke bare for finansiell gevints.
DIN snakker om hvordan, støtt og stadig i våre nyheter og våre initativ. Der blir det kalt desentralisert identitet, og SSI (Self Sovereign identity), les mer om terminologien på våre nettsider.
Vi skrev om hva SSI kunne gjort for Norkart sitt data tyveri, og la fram en begrunnelse at det handler om å flytte verifiserbar data ut av data siloer, for å gi utstederne en enklere jobb å sikre dataen som lager tillit. Det handler om å ha et teknologisk tillitslag som gjør det mulig for den som skal verifisere data, å stole på at dataen kommer fra riktig utsteder, og fra den personen som er rettmessig kontrollør av dataen.
I denne samme kontekst av pass data, så må vi løfte fram den industrien som har mest problemer med “personvern- og tryggingsomsyn”. Det er helsesektoren. Der har vi ekstremt mye å tjene på å få laget disse teknologiske lagene slik at man kan tilby brukerne kontroll applikasjoner, wallets, for å frakte helse data effektivt og trygt, uten problemer. Vi dykker dypere ned i noen eksempler på dette i påfølgende kronikker.
Får vi på plass de nødvendige lagene er det veldig mange eksisterende data problemer som bortforklares med “personvern- og tryggingsomsyn”, som kan løses og vi kan få en spennende retning staket ut for ordentlig trygg og sikker data innovasjon.