“At blive NSIS godkendt er som at bygge en flyver, mens den er i luften,” siger it- og digitaliseringschef Poul Venø, Herning Kommune, der har brugt 3500 timer og samlet set et forløb over halvandet år – fra efteråret 2021 til april 2023.
Alle 98 kommuner skal godkendes af et revisionsfirma til NSIS (National Standard for Identiteters Sikringsniveauer) når kommunale medarbejdere fra en lokal IdP bl.a. kobler sig på et fællesoffentligt system med en ekstra sikkerhedsfaktor. NSIS godkendelsen er en sikkerhedsstandard for, at medarbejderne er dem, de udgiver sig for og har autoriseret adgang til de rigtige data.
Kommunerne har brugt langt over 100.000 timer på at få de nødvendige godkendelser i land. Der lyder vedholdende kritik fra kommunerne – både af revisorernes tilgang til implementeringen og Digitaliseringsstyrelsens oplæg.
Herning Kommune har brugt ca. 3.500 interne timer på NSIS-godkendelsen, lokal idP og alle de forskellige tillægsopgaver der er kommet til undervejs i projektet. I øvrigt så er dette tal nok lavt sat da timerne hurtigt løber af sted da vi ikke helt har estimeret tid på f.eks. Sundhed og Ældre og Handicap og Psykiatri´s timeforbrug ordentligt. Det løber op, når der kommer 2.500 brugere som skal indrulleres med en hardwarenøgle.
“Udfordringen med at blive NSIS godkendt er, at rammeværket ikke har været godt nok forberedt og revisorerne heller ikke har været godt nok forberedt til at vide, hvilken opgave de skulle løse for kommunen. Efter vores preaudit, kom revisorerne tilbage med nye krav, som de har fået ved at rådgive andre kommuner. De fik ny viden undervejs og stiller så nye krav til os. Dermed ændrede opgaven sig undervejs og voksede sig større.
Det var revisorerne, der byggede flyveren om, og vi skulle bare rette ind efter deres krav. Vi sidder med en oplevelse af, at vi har været ude på et uopdyrket marked og den rådgivning/mangel på rådgivning, regler og rammer, de var ikke ordentligt på plads fra start,” siger Poul Venø.
Timeforbruget for kommunens projektledere og medarbejdere i teamet er løbet løbsk. Mange timer er brugt på møder mellem kommunens folk og revisionsfirmaet, og skyldes, ifølge Poul Venø, altovervejende, at regler og specifikationer ikke har været ordentligt på plads ved implementeringen.
“Vi kunne på en god dag have brugt langt færre timer end tilfældet var. Vi har haft mange usikkerhedsmomenter, diskussioner om metodikker, autorisationer af medarbejdere og administrative opgaver, rettigheder om, hvordan vi har skullet løse dem i praksis. Revisionsfirmaet laver deres egne regelsæt undervejs i forløbet uden at cleare det med Digitaliseringsstyrelsen.
“Og pilen peger indirekte på Digitaliseringsstyrelsen, fordi de har ikke gjort deres forarbejde ordentligt. Grundlaget for NSIS var for dårligt. Det var ikke tænkt ordentligt igennem. Det ville have hjulpet, hvis man havde inddraget kommunerne mere. Digitaliseringsstyrelsen benyttede et eksternt konsulenthus for at beskrive det. Men konsulenthusets viden om det kommunale har manglet tilstrækkelig bund, og det skinner så igennem, når det formidles gennem revisorer, som løbende strammede reglerne. Det er utilfredsstillende,” siger Poul Venø.
“Jeg havde forventet et forløb, der var mere professionelt fra revisorerne og Digitaliseringsstyrelsens side. Når du har besluttet noget og gennemført det, og du så bliver mødt med nye krav fra revisorerne, bliver du usikker på, om det, du har besluttet også er rigtigt. Når man så skal ændre det, hvad skal det så ændres til? Og så begynder man at bruge tid på det. Det har givet store frustationer i staben, og de har været bundet til opgaven i lang tid,” siger Poul Venø.
Undervejs bad Poul Venø revisionsselskabet BDO om at skifte de medarbejdere ud, der var sat til at løse opgaven i Herning. Ellers ville Herning vælge et andet revisionsfirma til at gøre arbejdet færdigt. Men nu er auditeringen afleveret til Digitaliseringsstyrelsen. “Der har ikke været nogle anmærkninger hos os,” siger Poul Venø.