Offentlige it-systemer bør hjemtages

 

 

portrætfoto af Mikael Hertig

Mikael Hertig
copyright Mikael Hertig

“RYD OP DE ELENDIGE STATSLIGE IT-SYSTEMER” ?

 

 

Sofie Løhde har udtalt i anledning af en ny sønderlemmende rapport, at nu skal der “ryddes op” i de statslige it-systemer. Som om der skulle være tale om rengøring. Børnene har rodet for meget, og nu kommer ministeren og vil bringe orden i børneværelset.

Har du hørt det før?
En eller anden professor kommer med augursvaret: “Outsourcing”.
Har du hørt det før?

Det er en arkæologisk opgave at finde personer, der kan skrive hele programmer, og som er ansat i den offentlige forvaltning udenfor forsvaret.

Bøtten skal vendes. Staten mangler personer med indgående kendskab til kodning, programmering og systemer.

For mig ser det ud, som om ministeren har fået et talepapir, hvor man igen skal tage sig sammen og overlade it til eksperter – indenlands, udenlands, til vands eller i skyen. Bare man ikke har forstand på noget selv, så skal det nok gå altsammen – som det plejer.

MIT FORSLAG ER
1: INSOURCING
2: Generalistledelse af IT. Skibet skal styres fra kommandobroen, ikke fra maskinrummet.

 

HJEMTAGNING

(INSOURCING )

Hele den opfattelse, at det er nemmere at købe de færdige løsninger ude i byen, og at man så vidt muligt opnår stordriftsfordele ved at købe konsulenthuse og programmer ude, er en sandhed med meget store modifikationer.

Ingen i staten koder selv

I vore dage er adgang til koden brugeren, der nu er licenshaver, stort set altid fuldt afskåret, og det ligger i licensaftalen, at ændringer i koden er forbudt.

Med andre ord udskilles den tekniske indsigt i, hvordan programmet virker, fra kunden. Vi er forlængst kommet over det stadium i brugeren af it, hvor folk i it-afdelingerne er i stand til at skrive egentlig programkode udover lidt html og java/javascript.

“Compiler” er et fremmedord, og kun mere brugervendte programmer som SAS og SPSS anvendes af specialister i økonomi og statistik.

Sagen er bare, at jo bedre føling forvaltningens ansatte har med de egentlige kodekarle, des bedre er de også i stand til at drøfte funktionalitet og programafvikling.

Stop med “Det skal bare fungere” (=hvad rager det ansvar mig)

 

Den til den flade holdning fra ledelsessiden “Det skal bare virke” hørende opfølgning: “Hvad skal bare virke?” er blevet misbrugt, så direktører og chefer har kunnet krybe i ly af tastaturangst og jurister, der ikke ønsker deres manglende indsigt i teknik udstillet i interne møder eller i det åbne rum.

Men så må de dels forlade sig på nogle der kan, dels forlange et forståeligt sprog anvendt, som selv en københavnsk uddannet jurist er i stand til at forstå.

De folk, der har den store tekniske indsigt, og som til nød selv kan skrive kode, har den offentlige forvaltning i det store hele skaffet sig af med. Det betyder, at når skat skal tale med CSC eller Kommunedata, så mangler den tekniske indsigt i programafviklingen, og derfor kan man heller ikke derfra i tilstrækkeligt omfang stille krav til den.

Min anbefaling til i forbindelse med de kommende forhandlinger er derfor: STOP OUTSOURCING, INDTIL DE FORNØDNE KVALIFIKATIONER ER INDE I HUSET.

 

2 STYRK LEDELSEN

 

Siden registerlovene blev vedtaget med virkning fra 1979 har det været fastslået, at styringen og ansvaret for it ligger hos ledelsen.
Imidlertid har det i praksis vist sig, at direktører og it-afdelinger fungerer dårligt sammen. Generalisterne kan ikke lide det tekniske sprog, og itfolket soler sig i fagtermer.
Men sikkerhedslederen er intet andet end den, der skulle have været brugt til at få verden til at hænge sammen og ledelsens dialog med maskinfolk i kælderen til at fungere.
Den nemmeste måde at se dette på er afstanden fra direktionsgangen til it-afdelingen.

Hvad værre er, at den generalist, der kunne have styrket ledelsen, konsekvent i al praksis blivert puttet ind i IT-afdelingen under IT-chefen. IT-sikkerhed bliver derved opgivet som styrings- og dialogværktøj, men gjort til en perifer specialitet i en IT-afdeling, der prioriterer alt muligt andet højere.

For nogle år siden brugte jeg tid på at undersøge, hvordan cookies blev brugt til at mønstergenkende eller direkte identificere brugere i forbindelse med deres netadfærd.

Somme tider er vi tvunget til at at bruge en hjemmeside. Det gælder for eksempel, når du søger job.

Hjemmesiden bruger den statslige jobagent, der dengang hæmningsløst bruger ‘cookies’. Cookies er små (entydige?) (1) tekststrenge, der bruges sammen med en anden teknik, “beacons” (2) til at overvåge brugere og samle data ind om dem.

Når man skal søge et job i staten med mere, er man som nævnt tvunget til at bruge den statslige jobagent.

Indsamling af persondata til uvedkommende formål i forbindelse med jobsøgning strider mod persondataloven.

Det var mit ærinde. Jeg måtte selv finde ud af, hvem der var ansvarlig for “den statslige jobagent”. Efter svinkeærinder havnede jeg hos en venlig fuldmægtig i Moderniseringsstyrelsen, en del af Finansministeriets rotationscirkus. Hun havde præcis lige så meget forstand på systemer som hvaler på bilkørsel, og hun irettesatte mig og sukkede, når jeg nævnte ord som cookies eller beacons.

Jobagenten er et system, et eller andet firma i verden et sted har lavet. Det formidles i et eller flere led af konsulent- eller salgshuse, som installerer det og passer det for deres kunde, for eksempel staten.

Koden kan være skrevet på Galapagos, you name it.

De konsulenthus, der sælger og hjælper med installationen eller opkoblingen til en server et eller andet sted, kender heller ikke selv koden i detaljer.

Den statslige jobagent er en lille smule udbygget med sine forklaringer idag, og man kan selv gennem henvisninger tvinge Google Analytics fra at blive brugt og alligevel søge en stilling.

På samme måde kan brugeren afkoble sig fra “webtrends”.

Henvisningen får du her: https://www.job-i-staten.dk/cookies.aspx
Koden, der henviser til delvis uforståelig javascript, kan du eventuelt læse her: view-source:https://www.job-i-staten.dk/

Problemet kommer i næste omgang. Portalen oplyser, at det skulle være nødvendigt med cookies, så folk kan navigere på hjemmesiden.

Men programteknisk er kun sessionscookies en hjælper til at fastholde en session, og det er uklart, om jobagenten bruger cookies til at genkende folk, næste gang de logger på eller ej.

Med andre ord er forklaringen ikke god nok. Cookies er ikke nødvendige bortset fra sessionscookien til at lade folk navigere rundt på siden.

Cookies kan eventuelt være en god hjælper i forbindelse med fastholdelse af sessionen i forbindelse med upload af filer og at sammenholde dem med udfyldelsen af elektroniske blanketter.

Men hvad de pt bliver brugt til, står der intet om.

Konkret giver det anledning to yderligere spørgsmål:

1)Hvilken interesse har Staten i, at data om ansøgere forlods sendes videre til kommercielt brug via Google og Webtrends. Får staten penge eller rabat?

https://en.wikipedia.org/wiki/Webtrends

2) Hvorfor ikke vende bøtten om, så persondata kun anvendes til sådanne formål efter brugerens udtrykkelige samtykke?

På siden står der direkte, at “De data, som indsamles ved hjælp af cookies, kan ikke henføres til din person”. Hvis en cookie overlever sessionen, er den entydig.
Moderne dataindsamling bruger cookien som en slags entydig nøgle til indsamlingen af persondata. Andre oplysninger er netadresse, tidspunkt, sted, hvor du befinder dig, browser. Disse data kan så sammenstilles med mails, kontakter og søgedata.

Cookien bliver efter alt at dømme brugt i forbindelse med personidentifikation. Så kan man sige, at brugeren selv skal fjerne den for ikke at blive genopdaget næste gang.

Men det, der er forbudt, det er i det hele taget, at Staten tvinger folk til at oplysninger om dem bliver brugt til andre formål, enten af den selv eller af dem, der leverer programmet. Og det spørgsmål svarer Moderniseringsstyrelsen ikke på.

Det skyldes ikke nødvendigvis, at nogen på stedet ved, hvad der foregår.

Imidlertid fremgår det allerede af Persondataloven og siden af den kommende Persondataforordning, at ansvaret forbliver hos den Dataansvarlige. Da brugen af jobagenten mig bekendt er mere eller mindre obligatorisk, så lander ansvaret formelt hos Direktøren for Moderniseringsstyrelsen. Og ingen aner tilsyneladende der, hvad der i virkeligheden foregår.

Koden er blevet til et eller andet sted. Muligvis tilpasses og vedligeholdes den et andet. Handlen med persondata er formentlig indlejret , og ingen i Moderniseringsstyrelsen kender programmet i detaljen, for det er skrevet i et sprog, de næppe forstår.

Det er problemet. De har ansvaret, men kan ikke løfte opgaven.

Du kan altid selv slette de cookies, som er lagret på din harddisk. Blokerer du for cookies vil du muligvis opleve, at nogle funktioner på hjemmesiden ikke fungerer korrekt.
job-i-staten.dk

1: Cookie https://en.wikipedia.org/wiki/HTTP_cookie

2: Beacon eller web beacon, et indlejret billede på en pixel, der identificerer brugeren. https://en.wikipedia.org/wiki/Web_beacon

 

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *