Dataskydd.NET besöker Söderhamn
Kommunen med hjärta i e-legitimationen
<h2 class="element-invisible"><a href="https://dataskydd.net/file/111">soderhamn_jimm_amelia_sven-erik.jpg</a></h2>
Jimm Lerch från Eurodocs, Amelia Andersdotter och kommunstyrelsens ordförande Sven-Erik Lindestam
Den 16 april åkte Dataskydd.NET upp till Söderhamn för att prata e-legitimation. Söderhamns kommun har ingått i ett EU-finansierat pilotprojekt för integritetsvänlig e-legitimation, ABC4Trust. Den bakomliggande tanken är att tekniken ska hjälpa användare att prata med den de vill på ett säkert sätt, utan att någon annan, utanför konversationen, får reda på eller kan kartlägga konversationen.
Att man ska kunna prata med Skatteverket, vården eller skolan utan att tredjeparter får reda på vem, eller i vilken ordning, man pratat med dem är något de flesta håller med om. Men det har visat sig vara ett tekniskt klurigt problem att lösa. De flesta lösningar – till exempel BankID och Näringsdepartementets nya e-legitimation – bygger på att möten med myndigheter och företag i digitala miljöer säkras av att en
god man, någon som inte ingår i mötet, kan berätta för båda deltagarna att de har fått tag på rätt person. Det förutsätter att man har stort förtroende för den gode mannen (i praktiken banken, eller under E-legitimationsnämnden, något företag som givits tillstånd att vara god man).
Söderhamns tekniksatsning använder också dataminimering, så att användare inte behöver berätta mer om sig själva än vad som är nödvändigt. I skolmiljön kan det typiskt vara att få tillgång till resurser (lärare, skolmaterial) för att man går i klass 9C, eller sjuksköterskan för att man är elev (och inte till exempel förälder), istället för att man berättar sitt namn, var man bor eller vilken personnummer man har. Fördelen med detta ur dataskyddssynpunkt är att det blir svårare att samla stora mängder information om enskilda. Det minskar i sin tur risken för identitetsstölder eller läckor (man kan inte läcka information man inte har), eller diskriminering (särbehandling av enskilda utifrån profilering, som Dataskydd.NET tidigare skrivit om).
<h2 class="element-invisible"><a href="https://dataskydd.net/file/112">_r002639-1.jpg</a></h2>
Rådhuset i Söderhamn
Vi pratade med Söderhamn om deras erfarenheter, och det politiska läget i kommunen. Pilotprojektet genomfördes på en skola, och deltagarna var av varierade åldersgrupper. Bland annat möten med sköterskor, lärare och elever testades. Projektet började med att det lokala Söderhamnsföretaget Eurodocs var motiverade att delta i det europeiska projektet ABC4Trust, men Barn- och utbildningsnämnden från kommunfullmäktige, och kommunalrådet Sven-Erik Lindestam, har varit involverade hela tiden. Viljan i kommunen är att ha ett säkert, och samtidigt integritetsskyddande, sätt att bekräfta att rätt person är på rätt plats i olika sammanhang.
I enkätundersökningar före och efter projektet kom bland annat följande fram:
- Vissa föräldrar uttryckte oro för teknologins möjlighet att skydda sekretess vid kontakter med sjuksköterskan.
- Efter projektet hade de flesta skolelever en god uppfattning kring vad det innebär att bara berätta det man behöver för att göra vissa saker. De förstod också de integritetsskyddande aspekterna av systemet.
Projektet löpte väl, och klagomålen var få. Man har förhoppningar på att tekniken kan gå att använda i andra sammanhang. För Dataskydd.NET är det extra roligt att kommunen inte bara hanterat e-legitimationen som ett tråkigt upphandlingsprojekt, utan aktivt jobbat med att integrera både projektets deltagare och kommunens politiska ledarskap i tankar kring hur tekniken kan användas för att förbättra förvaltning och mänskliga rättigheter. Så uppenbart som det kan verka att vi påverkas av samhällets strukturer runt om oss – även när de kommer i form av IT – är det ett perspektiv som nästan alltid glöms bort.
En oundviklig konsekvens av att Söderhamns kommun är en allmän förvaltning, var att man blev tvungen att bygga in en funktion i e-legitimationen för att avslöja vem någon är i efterhand. Det är inte en integritetsskyddande funktionalitet, men skollagen och hälsovårdsrelaterad lagstiftning kräver att skolan kan sätta in åtgärder om någon enskild till exempel uttrycker svår depression vid möten med skolpersonal, eller beter sig väldigt illa. Tillämpningen blev dock att alla som använde systemet blev tydligt informerade om när de led risk att bli avslöjade, och enkätundersökningarna visar att till exempel skoleleverna förstod skillnaden mellan platser och personer de kunde prata med utan att bli inspekterade, och platser där inspektion var en möjlighet.
Har Söderhamn tur kan både den tekniska lösningen och de ideologiska tankarna bli en exportprodukt när fler kommuner börjar tänka på IT-infrastruktur och medborgarnas roll i det digitala samhället. Att bygga ett samhälle som ger alla personer så stor makt över sina egna identiteter och möten som möjligt borde vara både populärt och önskvärt.