Igår, den 19:e december, blev Fredrik Söderström lite slarvigt uttryckt “doktor i e-legitimationer” med sin doktorsavhandling “Introducing public sector eIDs - the power of actors’ translations and institutional barriers”.
Fredrik har följt dels Svenskt e-legitimation 2010-2015 och dels införandet av SITHS på en vårdinrättning och försökt att förtydliga faktorerna runt de problem som uppstått.
Han påstår att eID (oavsett om det är Svensk e-legitimation, SITHS eller något annat) som tvingas på organisationen på ett abstrakt plan “översätts” när den kommer i kontakt med organisationens kontext. Exempelvis kommer kravet på användning av SITHS att upplevas helt olika av en fotvårdsspecialist och en akutläkaren eftersom de har helt olika krav och förutsättningar (kontexter).
Det jag tar med mig från att ha läst doktorsavhandlingen är att påtvingat införande av en färdig lösning med eID är fel sätt att gå och att den centrala aktören (t.ex. E-legitimationsnämnden) måste ha förståelse för den verksamhet som man försöker tvinga på eID-lösningen. Akutläkaren kommer aldrig att riskera sin patients hälsa genom att använda ett eID som riskerar att stjälpa verksamheten.
Med förståelse menar jag här att ta hand om den återkoppling som kommer från de berörda organisationerna och med respekt för sin egen okunskap om detaljerna i verksamheten försöka lösa problemen.
2014-02-24: E-legitimationsnämnden och vikten av dialog
Till exempel, om E-legnämnden hade hanterat de tre myndigheterna med respekt och på ett seriöst sätt tittat på de säkerhetsbrister som framför allt Försäkringskassan rapporterade är jag övertygad att “Svensk e-legitimation” hade gått betydligt smidigare och kanske t.o.m. varit införd idag.
Åtminstone hade inte MSB blivit inblandade och myndigheterna kunde ha haft kvar förtroendet för nämnden istället för den misstänksamhet som är tydlig idag och i avhandlingen.
En annan sak jag tar med mig är att införande av eID måste få ta tid och att det är bättre att inte vara “riktigt färdig” med utformningen av eID när man kommer till verksamheten för det tvingar införaren (den centrala aktören) att vara mer uppmärksam på verksamhetens “översättningar” på kraven på eID och då lättare kan anpassa införandet.
Både i Svensk e-legitimation och i det SITHS-införande som Fredrik har tittat på har den ursprungliga tidsplanen varit väldigt snäv, vilket sätter hård press på införaren som därför inte kommer att kunna sätta sig in i organisationernas problem.
I fallet med “Svensk e-legitimation” innebar det att E-legitimationsnämnden ropade på regeringen för att tvinga in myndigheterna i lösningen och enligt avhandlingen är det endast de myndigheter som fått påbud i regeringsbrevet som har gått med i “Svensk e-legitimation”.
Vi i branschen måste vara mer uppmärksamma på när införande av eID görs med maktspråk och då kan den här avhandlingen vara något att peka på för att förklara varför det ska göras på ett annat sätt.