En regions overgang til NemLog-In3

Med den Nationale Standard for Identiteters Sikringsniveauer (NSIS) blev der skabt en fælles ramme for tillid for digitale identiteter i Danmark, hvilket har haft stor betydning for identitetsløsninger såsom MitID og MitID Erhverv/NemLog-in. I løbet af de sidste par år har samtlige danske virksomheder og offentlige organisationer derfor arbejdet med overgangen fra NemID og NemLog-in2 til MitID og NemLog-in3 – en stor ændring i den måde vi arbejder med digitale identiteter på i Danmark med målet om at gøre den mere sikkert.

Denne overgang har været et større projekt, som også den offentlige sundhedssektor har stået overfor siden opstart i december 2020. Regionerne skulle stå klar, da Digitaliseringsstyrelsen overgik til NemLog-in3 og dermed have tildelt en erhvervsidentitet til alle deres medarbejdere. Et komplekst projekt med mange forskellige interessenter og ikke mindst et meget kritisk område: hvis ikke det blev nået inden deadline, så ville store dele af sundhedspersonalet være lukket ude af nationale systemer såsom Sundhedsplatformen og dermed ikke kunne udføre deres arbejde som normalt.

Hvad kræver et projekt af denne størrelse? Hvem er involveret? Hvordan får vi koordineret på tværs af alle interessenter?

Hos en af regionerne blev programmet blev delt op i fire spor, hvoraf Omnium Improvement sad med på det tekniske spor, der havde til formål at udvikle og implementere lokal IdP (Identity Provider) løsningen.

For at løsningen kunne fungere skulle tre forskellige parter udvikle hvert deres system, som samtidig skulle fungere i harmoni. Ser man det lidt som et hus kan det deles op således:

  • Fundamentet skulle lægges af Digitaliseringsstyrelsen, der udvikler den nationale infrastruktur. De lavede altså den grundlæggende omlægning fra NemLog-in2 til NemLog-in3.
  • Huset skulle bygges af Sundhedsdatastyrelsen i form af at sørge for, at alle sundhedsapplikationer (fx sundhedsplatformen) understøttede den nye NemLog-in3.
  • Taget bygges af leverandørerne, der skulle udvikle den lokale IdP løsning på vegne af Regionen med henblik på at sikre, at Regionens medarbejder kunne anvende Regionens egne systemer til at logge ind i de nationale og sundhedsfaglige systemer, når DIGST lagde om til NemLog-in3.

 

Dermed lå størstedelen af udfordringen i koordineringsarbejdet, der både bestod af at fastslå, hvad der skulle bygges, og hvilke leverandører der skulle bygge hvilke dele. Dertil kom den kontinuerlige opfølgning af leverancer til de aftale deadlines. Til den opgave lå specielt koordineringen med Digitaliseringsstyrelsen og Sundhedsdatastyrelsen i forhold til at sikre, at leverandørerne fik de komponenter og dokumentationer, de skulle bruge for at levere deres del.

Udover håndteringen af leverandørerne lå der også en stor opgave i kommunikationen mellem alle parter i projektet. Et langvarigt og kritisk projekt som dette krævede systematisk og vedholdende interessenthåndtering blandt projektets fem interessenter; regionerne på tværs, Digitaliseringsstyrelsen og sundhedsdatastyrelsen, leverandørerne af de tekniske komponenter, og sundhedspersonalet der skulle lave selve skiftet til nye erhvervsidentiteter.

En teknisk implementering af denne størrelse krævede en grundig forståelse af Regionens eksisterende infrastruktur, overblik over snitfladerne til eksterne systemleverandører, samt en indsigt i hvilken indflydelse disse eksterne systemleverandører havde på interne systemer og processer. Dette høje niveau af kompleksitet og størrelse af koordineringsopgaven krævede både en høj frekvens af kommunikation mellem projektleder og interessenter, samt koordinering af kommunikationen mellem interessenterne hver især.

Projektet kulminerede i en løbende udrulning af erhvervsidentiteter til alle medarbejdere i regionen frem mod deadline den 31. oktober 2023. Så da Digitaliseringsstyrelsen lavede skiftet fra NemLog-in2 til NemLog-in3 havde alle medarbejdere fået deres NemLog-in3 erhvervsidentitet og kunne succesfuldt komme på nationale systemer for at udføre deres arbejde.