Tag Archives: електронно управление

Отчет за свършената работа като министър на електронното управление

Post Syndicated from Bozho original https://blog.bozho.net/blog/3931

За мен беше чест да бъда първият министър на електронното управление. В 99-тото правителство на България.

Важно е тази политика да продължи да бъде представена на най-високо ниво и смятам, че ще има приемственост в служебния кабинет. Усилието за дигитализация на държавата продължава и смятам, че поставихме добри основи и добро темпо.

Тук е публикуван отчет на свършеното (и започнатото) през последните 7 месеца: https://otchet.egov.bg/.

Секция „киберсигурност“ неслучайно е толкова дълга. Както войната, така и изоставането на държавата в тази сфера, наложи спешно да се действа с ограничен капацитет, за да осигурим защитата на институциите и данните на гражданите, които те обработват.

Можеше да свършим и повече. В организации от мащаба на държавата нещата стават бавно, за да има предвидимост и устойчивост. И така трябва да бъде. Но от друга страна имаме години изоставане да наваксваме и съответно е нужно баланс между скорост и устойчивост. Смятам, че такъв баланс имаше и ще има.

Електронната идентификация трябва да заработи в началото на следващата година и това ще отключи достъпа на много граждани до лесно използване на електронни услуги. Дори без нея, в рамките на мандата, използването на е-услуги се е качило двойно. Не че сме пуснали много нови електронни услуги, но самото наличие на министерство и видимостта, която този статут дава, е довел до повече търсене. А с търсенето ще идва и търсене за удобство и там трябва да се намесим.

Предстоят избори, на които ще бъде отново кандидат. Със заявка да продължим нещата оттам, докъдето сме ги оставили и да отидем много по-далеч.

Материалът Отчет за свършената работа като министър на електронното управление е публикуван за пръв път на БЛОГодаря.

Предлагаме изменение на Закона за електронното управление

Post Syndicated from Bozho original https://blog.bozho.net/blog/3926

Публикувахме проект на изменение на Закона за електронното управление. С него се решават ключови въпроси, които в момента пречат на въвеждането на реално електронно управление. Ето основните:

  • електронни услуги ще могат да се заявяват без квалифициран електронен подпис от физически лица – за да ги заявим ще е нужно само да влезем със средство за електронна идентификация с подходящо ниво на сигурност, след което ще подаваме заявлението просто попълвайки онлайн форма, без нужда от флашка, джава, драйвери и др. проблемни неща. Квалифицираните електронни подписи остават и ще работят, но отпадат като стриктно изискване за заявяване.
  • отпадане на удостоверенията, с чието пренасяне гражданите са куриери на администрацията – това и до момента по общите разпоредби на закона е така, но на практика не се случва по много причини. Въвеждаме правно уеднаквяване на служебно събраната информация с удостоверение, което се изисква по закон, така че администрациите да са спокойни, че са спазили изискванията на специалните закони, по които работят. Паралелно с това осигуряваме гаранции на общините, че приходите от отпадналите удостоверения ще им бъдат възстановени пропорционално от централния бюджет.
  • електронно връчване на актове, фишове и наказателни постановления – ще можем да посочим в системата за сигурно електронно връчване, че сме съгласни всичко да ни се връчва по електронен път. Това ще спести разходки до администрации, само за да ни бъде връчен акт или фиш.
  • обща забрана за въвеждане с подзаконов акт на стикери и други физически носители на данни за обекти, които са вписани в регистър. С тази промяна, например, стикерът за годишен технически преглед ще стане незаконен, тъй като е въведен с наредба.
  • намаляване на таксите за административни услуги, когато те се предоставят по електронен път. Това изменение има два аспекта – първият е, че има допълнителен стимул за използване на електронни услуги, а вторият е, че моделът с посредници при заявяване на услуги ще бъде по-устойчив, тъй като посредникът ще може да приспада разликата в таксата на гише и по електронен път. Посредници могат да бъдат Български пощи, библиотеките и всеки, който има офиси в близост до гражданите, включително в отдалечени населени места. Така дори тези, които не използват информационните технологии ще бъдат улеснени, защото няма да се налага да пътуват до областен град или до другия край на страната, за да заявят административна услуга.
  • задължение за служебно предоставяне на информация за лица извън администрацията, които участват в административното обслужване. За да може администрацията служебно да проверява наличие на партида за вода или ток, нотариално пълномощно и други документи, които в момента се налага да разнасяме.
  • задължение за водене на регистри в електронен вид, вкл. чрез система за централизирано управление на регистри – нормата влиза в сила след година и половина, като в този срок системата трябва да е готова, а всички тетрадки, ексели и стари системи да бъдат мигрирани към нея.

С проекта изпълняваме и ангажиментите си по Плана за възстановяване и устойчивост.

Смятам, че измененията са важни, отключващи електронното управление, намаляващи бюрокрацията и помагащи в ежедневието ни, и като такива ще намерят парламентарна подкрепа дори в сложната политическа ситуация.

Материалът Предлагаме изменение на Закона за електронното управление е публикуван за пръв път на БЛОГодаря.

Проект за мобилна електронна идентификация

Post Syndicated from Bozho original https://blog.bozho.net/blog/3898

Електронната идентификация е ключът към електронното управление. Без нея, използването на електронни услуги е ограничено и трудно. Именно затова, паралелно с устройствената работа (законови изменения и устройствени правилници), в Министерство на електронното управление подготвихме техническа спецификация за мобилна електронна идентификация и я качихме за обществено обсъждане.

Не е практика за технически спецификации да се търси широко обществено обсъждане, но тъй като тази система е много важна, смятам, че е редно да дадем пример за прозрачност от първия ден. Още при номинирането ми за министър на електронното управление дадох това обещание и ще направя каквото е необходимо този екип продължава да дава този пример. Разчитам на професионалистите във всички области да дадат своята експертна и конструктивна обратна връзка и препоръки. Тази прозрачност ще продължи и на етапа на изпълнение (вкл. с изискването за отворен код на разработката).

Резултатът от проекта ще бъде мобилно приложение (за Android и iOS), с което да се идентифицираме за ползването на всички електронни услуги, т.е. държавата да знае кой стои отсреща, когато ползва услугите. До момента това се извършва с електронен подпис, с ПИК, с ПИН и др. Тези средства няма да отпаднат веднага, но малко по малко ще бъдат замествани с електронната идентификация.

След първоначалната регистрация, от гледна точка на потребителя, процесът ще бъде следния:

  1. отваря портал за електронни услуги
  2. избира „вход с eID“ и потвърждава с мобилния си телефон (или друго мобилно устройство)
  3. подава заявления за услуги, които са с предварително попълнени данни (тъй като системата вече знае кой стои отсреща)
  4. подписване на заявлението чрез повторно потвърждение с мобилния телефон

Проектът предвижда първа фаза за проекетиране, тъй като трябва да бъдат взети специфични технологични решения. Например дали потвърждението с телефона да стане с т.нар. push-нотификация или чрез сканиране на QR код от екрана (съответно с deep link, в случай, че потребителят използва мобилния телефон и за заявяване на услугата, вместо компютър). Трябва да бъде избран и методът за подписване, като целта е криптографските ключове да се разделят на няколко части, като една се съхранява в мобилния телефон, а друга – на сървъра (така че да се минимизират рискове от изтичане от едното от двете места).

Първоначалната регистрация е много важна за да може максимален брой хора да използват приложението. Затова предвиждаме първоначална регистрация по следните начини:

  • Квалифициран електронен подпис, в т.ч. облачен КЕП (чрез системата за електронна автентикация)
  • ПИК на НАП (отново през еАвт)
  • ПИК на НОИ (отново през еАвт)
  • международен паспорт, който разполага с чип, благодарение на който може да бъде идентифицирано лицето (чипът може да бъде прочетен с мобилен телефон)
  • снимане на лична карта

Към тези методи могат да бъдат добавени два компонента за повишаване на сигурността:

  • Отговор на въпроси, които държавата има, но не са публично достъпна информация (напр. във връзка с имена на роднини или данни за предходни постоянни адреси)
  • Т.нар. liveness detection, т.е. проверка чрез камерата на телефона дали отсреща действително стои лицето, което твърди, че стои (без да може да се използва негова снимка, за да „излъже“ системата). Това е стандартна практика в много приложения за онлайн идентификация

Всеки един от изброените механизми ще има съответното ниво на осигуреност („средно“ или „високо“), което ще дава достъп до различни услуги. Напр. само със сканирана лична карта (плюс отговори на въпроси/liveness detection), лицата няма да имат достъп до чувствителни данни, като здравното си досие. За да преминат от ниво на осигуреност „средно“ към „високо“ се предвижда опция за еднократно посещение на администрация или пощенски клон. Но дори с ниво „средно“ ще могат да се използват всички масови услуги. В бъдеще, когато чип се появи и в личната карта, той ще може да бъде използван за първоначална регистрация и то с ниво на осигуреност „високо“.

Ако човек няма мобилно устройство, той едва ли би ползвал електронни услуги. Има изключения от това твърдение, но те са твърде малко. В други държави се допуска идентификация с SMS код, но нивото на сигурност при този метод не е задоволително и преценихме, че няма нужда от такъв риск.

Докато се изгражда системата (в следващите няколко месеца), ще подготвим и нормативни изменения, за да може да функционира системата в съответствие със закона.

Освен самото приложение, в рамките на проекта ще бъдат пилотно надградени и системите на НАП, НОИ, МВР, както и портала за електронни услуги на Министерството на електронното управление, така че да има богат избор от услуги, които да бъдат използвани с новото средство за идентификация и подписване (подписването формално ще бъде чрез т.нар. „усъвършенстван електронен подпис“, което е допустимо за заявяване на услуги съгласно действащия Закон за електронното управление).

Смятам, че правилно се фокусирахме върху подготовката на този проект, за да можем да го стартираме в рамките на първите 100 дни от управлението.

Материалът Проект за мобилна електронна идентификация е публикуван за пръв път на БЛОГодаря.

Представителна история за една шофьорска книжка

Post Syndicated from Bozho original https://blog.bozho.net/blog/3887

Миналата година на мой близък човек му изтече шофьорската книжка. И решихме да пробваме да бъде заявена новата онлайн. Тогава още я нямаше обновената система на МВР за е-услуги, така че свалихме бланката, попълнихме я и я изпратихме през системата за сигурно електронно връчване, подписана с КЕП, вкл. с прикачено необходимото медицинско.

Влизането с КЕП също не беше тривиално, защото инсталирането на софтуера за подписване имаше някои неочевидни настройки.

Последва дежурното обаждане (от пътна полиция към СДВР) „то не може“, предадено към мен – настоях за правно основание за отказа, тъй като Законът за електронно управление ги задължава да приемат заявлението и да изпълнят услугата. Казаха, че пак ще звъннат. Не звъннаха. Потърсихме ги отново, като в отговор потвърдиха, че не – няма да издадат така книжката.

Подадохме сигнал до Държавна агенция „Електронно управление“, аргументирайки се, че мълчаливият (към онзи момент) отказ противоречи на Закона за електронното управление.

Отговорът на ДАЕУ беше да се съгласят мотивите от изричния отказ на МВР, получен няколко дни след това. А той е абсурден. Според Закона за българските лични документи, МВР предоставя електронни услуги за лични документи през централизирана система за услуги. В правилния за прилагане на закона се изреждат услугите, включени в портала. Но издаване на шофьорска книжка липсва (тъй като към онзи момент не се поддържа). Да, Законът за електронното управление казва следното:

(2) Административните органи, лицата, осъществяващи публични функции, и организациите, предоставящи обществени услуги, са длъжни да предоставят всички услуги в рамките на своята компетентност и по електронен път, освен ако закон предвижда особена форма за извършване на отделни действия или издаване на съответни актове.

Обаче МВР казва „нашият подзаконов акт дерогира (отменя) закона, защото нашият специален закон делегира детайлите на нашия подзаконов акт, а той не казва нищо за тая конкретна услуга“. Абсурдна теза, граничеща с тази на РИК Стара Загора при отказа за вписване на листата на Демократична България, но останал несанкциониран.

Е, месец-два след това се появиха електронните услуги в системата, така че този казус вече не съществува. Но той илюстрира три проблема, за чието решаване ще работя:

  • Неудобно е – след като се оправиш с неудобния и „чуплив“ квалифициран електронен подпис, трябва да търсиш бланки (които ги няма там, където трябва – в административния регистър)
  • „Не може по електронен път“ – администрацията си търси всякакви абсурдни оправдания за да „им дойдеш“ на гише, както са си свиканли
  • Няма контрол – ДАЕУ като че ли беше уплашено, че няма политическата подкрепа да напише акт на МВР и да им издаде задължително предписание да спазват закона, макар че има такива правомощия

Само първият от тези проблеми е технически. Останалите са организационни и политически. И ще трябва да бъдат решени.

Материалът Представителна история за една шофьорска книжка е публикуван за пръв път на БЛОГодаря.

Трудният разговор за Информационно обслужване

Post Syndicated from Bozho original https://blog.bozho.net/blog/3845

Трудният разговор за Информационно обслужване трябва да започне.

Още в края на 2019 г. остро критикувах решението на ГЕРБ да изтрият цяла глава от Закона за електронно управление (маскирайки неуспеха си да създадат държавно предприятие „Единен системен оператор“) и с едно изречение да прехвърлят цялото ИТ на всяка институция, която Министерският съвет реши, под „крилото“ на Информационно обслужване.

Тази уредба премахва изискванията за прозрачност, позволява схеми с вътрешно възлагане тип „Автомагистрали“, не гарантира предсказуемост (за един ден МС може да извади една институция от списъка и да „убие“ всяко планиране).

Няма да се съглася с разпространеното мнение, че Информационно обслужване е пълно с некадърници, които нищо не могат да свършат. Там има хора, които всяка ИТ компания би искала да има, и които са много над средното ниво. Има, разбира се, и такива, които никоя не би искала. Като във всяка голяма компания.

Но институционално погледнато, ролята на системния интегратор (или оператор) е важна. Държавната администрация няма капацитет за почти нищо в сферата на ИТ и трябва да може да се довери на някого. Дори за да направиш аутсорсинг (=ЗОП), пак трябва да имаш компетентност, каквато в много администрации няма.

Трябва да отчетем един факт – миналата есен Информационно обслужване изгради национална здравна информационна система за няколко седмици, когато това беше нужно. И го направи добре, по мое мнение. След като 4 години тази система се беше бавила по различни причини.
DDoS атаките от последните дни са сериозни и едва ли има компания, която може да се защити без никакъв downtime. Познавам инфраструктурата на ИО в тази ѝ част и мисля, че е направено достатъчно.

Въпросите, на които трябва да отговорим, са няколко:

  • Трябва ли всяка администрация да си поръчва софтуерни лицензи и хардуер самостоятелно? Моят отговор е „не“ – в много държави има успешни примери за централизирано управление на лицензи и стандартизирани поръчки за хардуер, така че държавата да получи възможно най-добрите оферти. В Тексас дори има агенция, за която производителите имат специални отстъпки в ценовите си листи, защото веднъж влязъл в процеса, производителят получава достъп до цялата администрация „на един клик разстояние“. Информационно обслужване може да върши тази работа.
  • Трябва ли всяка администрация да поддържа ИТ компетенции? Отново не; то не е и възможно. Да, трябва да има грамотен ИТ директор, но принципът на „споделените услуги“ изисква вътрешно възлагане на неща като писане на технически задания, текущ контрол по същество (а не по документи), интегриране на системи, спешна извънгаранционна поддръжка и др.
  • Трябва ли ИО да е „черна кутия“? Не – това е критика към сегашната уредба. Нищо в закона не задължава ИО да публикува никой от договорите за вътрешно възлагане. Наложи се да искаме договора и заданието за изграждане на НЗИС по реда на Закона за достъп до обществена информация. от МЗ дори поискаха удължаване на срока, явно е било трудно да го намерят. Трябва изрична уредба за каталог на предоставяните услуги, цени, на които се предоставят и пълна прозрачност на извършеното – какво, за кого, колко, кога.
  • Не е ли по-добре всичко да се аутсорсне към частния сектор? Краткият отговор е „не винаги“, а дългият е тук: https://blog.bozho.net/blog/3254. За съжаление резултатът през годините не винаги е в полза на този подход. Това не значи, че държавната фирма ще се справи по-добре, разбира се.
  • Трябва ли ИО да пише софтуер за администрациите и при какви условия? Това е най-трудният въпрос. Ако ползваме здравната система за пример, отговорът би бил „да“ – след години нищоправене, ИО свърши работата. Но само на този пример не бива да си правим заключения. Вероятно правилният подход е да се уредят няколко критични сектора в закон, така че да има предвидимост, и извън тях ИО да има само поддържаща функция. Това ще е важната част от дебата в следващото Народно събрание.

Все пак Информационно обслужване е важен инструмент за държавата. Има много слабости, които трябва да бъдат коригирани, много конкретика, която да бъде прецизно уредена. Моделът на ГЕРБ „слагаме един ред в закона и правим каквото си искаме“ трябва да спре. Но тези проблеми имат решения и ще ги приложим в следващия управленски мандат.

Материалът Трудният разговор за Информационно обслужване е публикуван за пръв път на БЛОГодаря.

Разяснения по казуса с прилагането на електронен подпис в изборния процес

Post Syndicated from Bozho original https://blog.bozho.net/blog/3841

Ще вляза в може би малко скучната материя за йерархията и връзката между нормативните актове. За да видим защо решението на ЦИК, че квалифицирания електронен подпис не важи за Изборния кодекс е неадекватно.

Да, не съм юрист, но тази базова правна рамка – кой какво задължение има в електронния свят е основата на електронното управление и като експерт по електронно управление съм длъжен да я знам и разбирам.

Нормативните актове имат йерархия. Конституция, Регламент, Закон, Наредба/Правилник/Инструкция. Ако някой акт от по-ниска степен противоречи на някой акт от по-висока, то се прилага този от по-висока. Освен ако този от по-висока не допуска изключения. Законът за нормативните актове дава общата картина:

Чл. 15. (1) Нормативният акт трябва да съответствува на Конституцията и на другите нормативни актове от по-висока степен.
(2) (Нова – ДВ, бр. 46 от 2007 г.) Ако нормативен акт противоречи на регламент на Европейския съюз, прилага се регламентът.
(3) (Предишна ал. 2 – ДВ, бр. 46 от 2007 г.) Ако постановление, правилник, наредба или инструкция противоречат на нормативен акт от по-висока степен, правораздавателните органи прилагат по-високия по степен акт.

Кодексите са малко по-специфични закони. Тяхната идея е да уредят напълно една материя – Изборният кодекс урежда всичко, свързано с избори (за да няма, както преди, закон за изборите за народно събрание, закон за изборите за президент и вицепрезидент и т.н.). Наказателният кодекс урежда всички престъпления и никой друг закон не може да урежда престъпления. И т.н.

Кодексите (както и законите), обаче, не съществуват в изолация. Макар Изборният кодекс да урежда изцяло изборната материя, към него се прилагат нормите от други закони – напр. когато става въпрос за гражданство, Изборният кодекс не урежда въпроса за гражданството – той е уреден в Закона за българското гражданство. Когато става дума за личните документи, с които гласуваме, те не са уредени в кодекса, а в Закона за българските лични документи. Когато става дума за административно производство, процесът е уреден в Административнопроцесуалния кодекс (различията с него са изрично уредени в изборния, който дори изрично препраща към АПК).

Когато става дума за приемане на електронни изявления, за електронни документи и електронни подписи, тогава се прилагат Регламент (ЕС) 910/2014, Закона за електронния документ и електронните удостоверителни услуги и Закона за електронното управление.
Та, изборният кодекс не урежда нищо специфично свързано с подписи и документи – разчита на общия ред (вкл. чл. 18а от АПК). А общият ред е такъв – административните органи са длъжни да приемат електронни изявления. Чл. 5 от ЗЕДЕУУ, чл. 11 от ЗЕУ (и дори чл. 8, ал. 2) и чл. 18а от АПК.

Ако вече не съм ви загубил дотук, има още един въпрос – РИК и ЦИК административни органи ли са и доставчици ли са на административни услуги? Дефиницията на „административна услуга“ е Закона за администрацията е доста широка и включва „извършване на други административни действия, които представляват законен интерес за физическо или юридическо лице;“ (макар че вписването на листа може да попада и в по-конкретните точки, дори). Всъщност, дори да не бяха, чл. 18а от АПК ги задължава да приемат документи по електронен път.
Това, между другото, е пример, как едно и също задължение се урежда на няколко места „за всеки случай“, защото някой административен орган някъде е казвал „аа, не, тоя закон не важи за мен“.

Та, ЦИК и РИК са задължени да приемат електронни изявления и са задължени от Регламента да ги приравни на саморъчен подпис. Дори Изборният кодекс да не урежда това изрично, и дори това да се счита за противоречие, Регламентът „печели“, защото така пише в Закона за нормативните актове (той пък е следствие от един текст в Конституцията за международните договори).

Остава аргументът на ЦИК – „щом на някои места в Изборния кодекс е посочено изрично, че може да се използва квалифициран електронен подпис, значи никъде другаде не може, защото не е посочено изрично“. Това е доста превратно (и несъстоятелно) тълкуване на правна норма изобщо.
Местата, където се позволява изрично използване на електронен подпис, са подписките. Те не са част от административния процес, и не са заявление до административен орган. Затова въпросът е по-сив. Там имаше нужда и да се коригира допускането, че подписът се полага лично ПРЕД упълномощено лице (електронният няма смисъл да се полага така).

Знам, че е много интересно човек да се упражнява по темата „кой кога занесъл флашка“ и „щом ЦИК казва, че не важи, значи не важи“. Но законът в една държава е съвкупност от правни норми, които за удобство са разделени под различни заглавия, но представляват просто серия от взаимодействащи си норми. А склонността на българските органи да признават само своя закон и никой друг закон е много лоша практика, която води до такива казуси. А съдът е този, който трябва да каже „не, вашият закон не съществува в паралелна правна вселена“

Материалът Разяснения по казуса с прилагането на електронен подпис в изборния процес е публикуван за пръв път на БЛОГодаря.

Въпроси и отговори за отказа на РИК и ЦИК да регистрира листата на Демократична България

Post Syndicated from Bozho original https://blog.bozho.net/blog/3834

Тъй като днес се натрупаха доста въпроси по казуса с електронните подписи и листата в Стара Загора, правя компилация от тях и техните отговори:

Въпрос: Внесли ли сте всички документи в електронен вид или само разпечатка на електронния подпис на хартия, както пишеше в някои медии?

Отговор: И РИК на своето заседание, и ЦИК в решението си признават, че всички необходими документи са внесени в електронен вид, в рамките на срока, свалени са от флаш-паметта на компютър на РИК и подписите са проверени. След това РИК в решението си прикриват тези детайли.

Въпрос: Какъв тогава е проблемът, ако всичко е внесено както трябва?

Отговор: Проблемите според РИК и ЦИК са различни. Според РИК липсва „вярно с оригинала“ на хартиена разпечатка на оригиналния документ, без каквато те твърдят, че документите са невалидни (въпреки, че са свалили и проверили оригиналите). Проблемът според ЦИК е, че изобщо не може да се използват електронни подписи, въпреки, че европейският регламент, който приравнява електронния подпис на саморъчен се прилага пряко, а РИК и ЦИК са задължение да приемат електронни документи и да признават квалифицираните електронни подписи без да има предварителна уговорка със заявителя.

Въпрос: Защо твърдите, че има атака от ГЕРБ, при положение, че те отричат, посочвайки, че председателката на РИК 27 е от ИТН?

Отговор: Освен решението за потвърждаване на отказа, ЦИК приема да изпрати на всички районни комисии писмо, с което да събере информация дали има подадени листи с електронен подпис (които биха били в нарушение съгласно мотивите на приетото от ЦИК решение). Предложението за това е на Красимир Ципов от ГЕРБ. Подкрепено, отново, от всички останали (без представителите на ДБ).

Въпрос: Нормално ли е да се внасят листите в последния ден?

Отговор: абсолютно нормално е – на практика всички значими партии го правят в последния ден, защото това дава гъвкавост в особени ситуации. Ако видите решенията на РИК 27, решеняита за регистрация на ДБ, ГЕРБ, БСП, ДПС, ИБНИ и ПП са от 12-ти. Само на ИТН е от 11-ти.

Въпрос: Защо ги подавате с електронен подпис, а не на хартия като всички останали?

Отговор: Този въпрос е принципен – когато твърдим, че дигитализацията е приоритет, е редно да изпозлваме правата си според действащото законодателство. И да ги защитаваме, когато се чуе редовната реплика на администрацията: „Това не може с електронен подпис!“

Въпрос: Това значи ли, че ще останете без листа?

Отговор: Административният съд в Стара Загора ще реши, след като обжалваме пред него.

Материалът Въпроси и отговори за отказа на РИК и ЦИК да регистрира листата на Демократична България е публикуван за пръв път на БЛОГодаря.

Накъде с електронните подписи

Post Syndicated from Bozho original https://blog.bozho.net/blog/3794

От около година подписвам електронни документи през демонстрационното приложение на Европейската комисия за електронно подписване (DSS, open source проект, доста читав). Защото Adobe Reader се счупи и не мога да го оправя. Т.е. не мога да подписвам PDF-и освен с DSS + NexU.

Търговския регистър и услугите на НАП ползвам през Хром, защото под Firefox (който е основния ми браузър) драйверите нещо не тръгват. Ако обаче объркам с кой от двата сертификата да вляза, трябва да рестартирам браузъра (личния или фирмения сертификат, който по принцип не трябва да съществува, ама защото държавата и общините не познават нормативната уредба, съществува).

За НАП трябва да пускам приложението за подписване през конзолата, защото имам доста Джави на компютъра, а то не тръгва с по-новите.

Проблемът с ползваемостта на електронните подписи е сериозен и за него не са виновни само институциите и фирмите, правили софтуера им, а и производителите на смарткарти, и стандартизиращите организации. И сигурно пропускам някого.

За съжаление сигурността на хардуерния носител се сблъсква с десетките проблеми на неговото удобство, което пречи на масовата му употреба.
Затова трябва да преминем, поне за физическите лица, към други начини на заявяване на услуги – чрез удостоверенията за електронна идентичност, които могат да се използват и като средства за създаване на усъвършенствани електронни подписи.

А квалифицираните електронни подписи ще стават все повече облачни, с ключове споделени между HSM-и и сигурни модули в телефоните. А смарткартите, колкото и да са хубави на теория, ще трябва да залязат. И за това ще са виновни основно производителите им.

В личните карти пък ще трябва да има рядко използван чип, който да можем да използваме чрез NFC, за да „вържем“ телефона си с електронната ни идентичност.

Материалът Накъде с електронните подписи е публикуван за пръв път на БЛОГодаря.

7 принципа на електронното управление

Post Syndicated from Bozho original https://blog.bozho.net/blog/3775

Нека да опиша няколко основни принципа, на които трябва да стъпва електронното управление. Знам, че може да звучат общо, но без да се водим от тях, няма нищо да постигнем:

  • еднократно събиране на данни – ако държавата вече има данни за вас, няма право да ги изисква отново (нито да ги въвеждате и декларирате, нито да ги доказвате с удостоверения)
  • оперативна съвместимост – системите трябва да говорят на „един език“, т.е. да представят по един и същи начин общи структури от данни като „адрес“, „имот“, „професия“ и др.
  • сигурна електронна идентичност – всеки гражданин трябва да има лесен и удобен начин да се идентифицира пред държавни органи (и не само) с цел използване на електронни услуги.
  • конфиденциалност – когато толкова много наши данни са в електронен вид, съхранявани от държавата, трябват сериозни гаранции срещу злоупотреби. За всичките ни данни трябва да има информация кой има право да ги чете и кой реално ги е чел и с каква цел. Да получаваме известия, когато някой прочете наши данни и да няма изключения от това правило (в момента системата RegiX поддържа такива лоове, но писането в тях може да бъде заобикаляно)
  • интегритет – никой не трябва да може да подменя данни (както в момента се подменят документи с корупционна цел). Никой не трябва да може да смени кръвната група в здравното ви досие, собствеността ви, данните за фирмата ви, офертата ви в процедура по ЗОП и др. В Естония използват технология, подобна на блокчейн за целта. Нужно е и у нас да има такава криптографска защита от подмяна (хубавото е, че има достатъчно open source блокчейн решения, които можем да използваме)
  • наличност – не трябва да има никакъв риск от загуба на данни. При срива на Търговския регистър бяхме на една крачка от това, което щеше да значи хаос. Нужно е данните да имат адекватни резервни копия, включително в център за данни извън страната (както естонците го наричат – „посолство за данни“).
  • удобство – услугите трябва да се правят за граждани, а не за бюрократи. Потребителският интерфейс трябва да е съврвеменен, а потребителското изживяване (UX) да е преминало през редица тестове.

Тези принципи звучат твърде технически, но всъщнсот почти всяко законодателно изменение може да бъде пречупено през тях. В Народното събрание ще съблюдавам за спазването им както от законодателната власт, така и от изпълнителната.

Материалът 7 принципа на електронното управление е публикуван за пръв път на БЛОГодаря.

10 бюрократични пречки, за чието премахване ще работя

Post Syndicated from Bozho original https://blog.bozho.net/blog/3771

Кандидатурата ми за народен представител изисква конкретика – не просто „ще бъде хубаво като има електронно управление“, а за какви точно изменения планирам да работя. В тази публикация ще споделя десет неща, които трябва да отпаднат, за да бъде улеснен живота на гражданите и бизнеса.

  • Удостоверенията – голяма част от обикалянето по гишета е събирането на удостоверения и бележки за данни, които администрацията има за вас. Тя е длъжна да ги събира по електронен път, служебно, но се оправдава, че не го прави, защото „нашият закон е специален“ и „нямаме техническа възможност“. Първото може да бъде коригирано в парламента, а второто – чрез внедряване на вече съществуващи инструменти в администрацията.
  • Печатите – Демократична България вече внесе законопроект за отпадане на печатите в предното Народно събрание, ще го направи и в следващото. Никой няма да има право да ви върне, защото на нещо някъде липсва печат.
  • „Тук не е информация“ – отношението към гражданите, че те трябва сами да си знаят всички бюрократични процедури, трябва да спре. Закон забраняващ „тук не е информация“ е комично да има, но може да има ясни правила за „дизайн на услугите“ както в дигиталната, така и във физическата среда, които да правят омразния надпис „Тук не е информация“ излишен.
  • „Това не може по електронен път, елате на място“ – по закон всичко трябва да може да се прави по електронен път. Оправданието да не се случва е същото като по-горе, така че с редакция на редица закони да отпаднат тези оправдания. А технологични средства за приемане на електронни заявление има, вкл. електронна поща в краен случай.
  • Разпечатването на платежни – дори електронизирани към момента услуги изисква прикачване на платежно (макар нормативната уредба, създавана с мое участие преди години, да го забранява). Чрез анализ на действащите услуги и контрол на изпълнителната власт това нормативно изискване трябва да стане факт. Защото администрацията знае, че сте ѝ платили – тя е получила парите си по сметката, с вашето ЕГН или ЕИК на „Наредител“, и дори номер на документ (когато това е нужно).
  • Наредба Н-18 – и такъв законопроект внесохме, и ще внесем пак – частите от Наредба Н-18, които регулират софтуера за продажби и де факто въвеждат лицензионен режим, трябва да отпаднат – това може да стане с изтриване на законовото основание за тях от ЗДДС.
  • Сканираните PDF-и – всички документи се създават в електронен вид. След това, заради аналоговото мислене в администрацията, се разпечатват, подписват, подпечатват и сканират. Това ги прави (почти) невъзможни за търсене и индексиране. Стъпката на разпечатване е напълно излишна.
  • Трудовата книжка – предното правителство предложи смяна на дизайна на трудовата книжка. Крайно време е този документ да отпадне. Почти цялата нужна информация я има в НАП, а малкото детайли, които липсват там, могат да се добавят или там, или в допълнителен нарочен регистър в министерството на труда
  • Медицинския картон – единният (електронен) здравен запис, до който има всеки лекар при нужда, трябва да замени парцалите, които разнасяме по лекари (или които сме загубили много отдавна). Тази информация реално може да спасява животи, защото пред очите на лекаря ще има цялата информация за пациента, а системата ще може да открива дори лекарски грешки на база не пропуснати от него заболявания, напр.
  • Java за подписване с електронен подпис – Java аплетите все още съществуват, но дори без тях, все още се изисква Java за подписване на много места. Управлението на нейните версии, използването на „правилен браузър“ на „правилна операционна система“ прави много услуги твърде неудобни за използване. Решението е в изграждането на един национален компонент за подписване, който работи на всички операционни системи, с всички браузъри и смарткарти. Не е тривиална задача, но е задължителна. А от парламента може да бъде иницииран разговор с доставчиците на електронни подписи и администрацията за такъв компонент.

Някои от тези бюрократични анахронизми ще отпаднат със законодателни изменения, други – чрез контрол на изпълнителната власт и спазването на действащите закони от нея, а трети – с организиране на работни срещи. Разбира се, няма да работя сам, а в екипа на Демократична България. Тези 10 неща далеч не са всичко, което смятам да правя, но са обединени от общата си характеристика „неща, които най-накрая трябва да оставим в миналото“.

Материалът 10 бюрократични пречки, за чието премахване ще работя е публикуван за пръв път на БЛОГодаря.

Кратък наръчник на законодателя

Post Syndicated from Bozho original https://blog.bozho.net/blog/3728

ЦИК обяви кои ще са новите депутати. Аз не съм между тях, но искам и тук, както във Фейсбук, да благодаря на всички гласували за мен – макар да нямам депутатска карта, можете да ме считате за депутат, а с експертизата си ще помагам на парламентарната група.

И именно от тази гледна точка ми се щеше най-накрая де публикувам нещо, което отдавна ми се струва важно – кратък списък с добри законодателни практики, основно с оглед на електронното управление, но не само. Защо аз, без нито един ден като депутат, мога да говоря за законодателство? Ами написал съм немалко законодателни изменения, а и подзаконови актове. Но по-важното – следя кои са нормативните пречки пред въвеждането на електронно управление и те с както в стари закони, така и в нови, защото просто депутатите невинаги си дават сметка какви са практическите последствия от гласуваните текстове.

Такава публикация има на пръв поглед твърдя тясна аудитория, но качеството на законодателството е тема от широк интерес, която дори сме обсъждали с избиратели и заинтересовани групи в предизборната кампания. Така че ето кратък списък с добри практики:

  • Не трябва да се въвеждат изисквания за удостоверения – законите създават права и задължения. Когато в закон пише „заявителят представя удостоверение за Х“, то задължението за това е негово. Администрацията може да приложи Закона за електронното управление и вместо да го иска от гражданина, да го събере служебно и да му го представи за потвърждение, но това е заобиколен начин да се изпълни законовото изискване, и поради това не много го правят – а всеки закон се явява специален спрямо Закона за електронното управление и администрацията казва „ами то може в ЗЕУ да пише, че трябва да съберем служебно, ама в НАШИЯ закон пише вие да го представите“. Затова удостоверяването на обстоятелства трябва да е задължение на администрацията, напр. „органът по чл. ХХ установява наличието на следните обстоятелства“. Това оставя възможност все пак за изискване на удостоверение в подзаконовата нормативна уредба, ако такова не може да бъде събрано служебно или авотматизирано, но задължението да разбере дали заявителят отговаря на всички условия е на администрацията
  • Без декларации за служебно проверими обстоятелства – като алтернатива на удостоверенията се използват декларациите – заявителят декларира, че нещо е така, както пише в закона, но ако то се окаже иначе, той носи отговорност за деклариране на неистина (по чл. 313 от Наказателния кодекс). Има немалко дела за това – част от тях се разминават с административна санкция (НК позволява това), но това не значи, че е приятно. Другият минус на тези декларации е, че правят заявяването на услугите по-сложно – освен заявление трябва да се попълват по няколко декларации „по образец“. Нерядко законите (и съответно администрацията) ни кара да декларираме данни, с които администрацията разполага. Къде точно е границата между служебното събиране и декларирането не е очевидно, но ако нещо е толкова значимо, че да бъде законово изискване, то администрацията трябва да разполага с него в структуриран вид. Разбира се, понякога регистър липсва и декларацията е единственият начин, но това трябва да е само в преходен период – докато се появи такъв електронен регистър.
  • Минимизиране на нотариално заверените декларации – декларациите са неудобни, но когато трябва да се разходите до нотариус, това не само ни бави и струва пари, а и чупи възможността за изцяло електронно предоставяне на услугата. Защото документът, който изпращаме, трябва да е сканиран, а не в оригиналния си електронен вид. Още повече, че квалифицираният електронен подпис, поне за някои неща, може да бъде приравнен на нотариално заверен, защото доставчиците на квалифицирани удостоверителни услуги проверяват нашата самоличност като ни издават подписа, а към него съществуват технически гаранции, че не може да бъде копиран и използван от друг. Разбира се, нотариусите няма да останат без работа, но в момента законодателството изисква излишно много нотариални заверки (напр. декларацията по ЗМИП)
  • Необходимо е да се водят електронни регистри – когато се въвежда регистър със закон, той е редно да спазва изискванията на Закона за електронното управление. Макар това да звучи подразбиращо се, то не е така и е нужна изрична препратка към ЗЕУ. Всеки закон урежда реда на водене на своите регистри, но има много общи компоненти, които са съществени и няма нужда да се копират навсякъде – проследимост и история на действията, отворени данни, уникални идентификатори, отворени програмни интерфейси и т.н. Всички тези неща са описани в наредба към ЗЕУ, но рядко се изпълняват, защото липсва връзката между въведения със специален закон регистър и подзаконовата нормативна уредба на ЗЕУ. Затова за всеки нововъведен регистър е добре да има една алинея: „Регистърът по ал. х трябва да отговаря на изискванията на Закона за електронното управление“
  • Задължителна електронна комуникация за големите компании – когато кръгът регулирани от даден закон лица включва големи компании (напр. банки, застрахователи, телекоми), то задълженията за докладване могат и трябва да бъдат само по електронен път. Примерът отново е Законът за мерките срещу изпирането на пари, където има предвидена опция за електронно докладване за съмнителни транзакции от банките към ДАНС, но това не е задължително и съответно тази система не работи ефективно. Банките изпращат писма на хартия, които не е ясно доколко се обработват (имаше такъв казус покрай изтеглена голяма сума от обвиняем). Можем да презюмираме, че компании над определен размер са длъжни да имат адекватен ИТ капацитет.
  • Без несвързани изменения с „преходни и заключителни разпоредби“ – един закон може да изменя други закони, когато има логическа връзка между тях – напр. ако изменяш Закона за търговския регистър и регистъра на юридическите лица с нестопанска цел, ако някой друг закон споменава ЗТРРЮЛНЦ, той може да трябва да бъде изменен. Но нерядко депутатите използват този инструмент да правят абсолютно несвързани промени, защото нещо им е хрумнало (или защото трябва да прокарат нещо по-тихичко). Има си процедура за това – нов законопроект. Ако парламентът работи ефективно, може да гледа малки законопроекти отделно.
  • Без значителни промени между първо и второ четене – между двете четения депутатите могат да правят предложения за промени в даден законопроект. Това е съвсем естествено, тъй като на първо четене се приема законопроектът „по принцип“, а детайлите му се разглеждат на второ четене. Но съществува практиката след като е приет законопроект по принцип, в него да се направят толкова значителни промени, че принципното съгласие по него вече да не е налице. Напр. с редакция между първо и второ четене не върви да се променят данъчни ставки. Ако някой иска да внася някаква значителна промяна, да се е сетил навреме, когато се вкарват за разглеждане група законопроекти по един закон. Ако му е толкова важно, през председателския съвет да помоли да се изчака малко, докато са му готови измененията. Така е доста по-чисто и честно спрямо избирателите, а и спрямо изискванията за оценка на въздействието.

Списъкът не е изчерпателен и не искам да звучи „наставнически“ (въпреки, че имам някакъв законодателен опит, не се имам за гуру). Но това са неща, които народните представители е добре да имат предвид – като предлагат текстове и като гласуват текстове. По-доброто законодателство зависи от всеки един депутат.

Материалът Кратък наръчник на законодателя е публикуван за пръв път на БЛОГодаря.

За трите папки – съдебна реформа, изборна реформа, модернизация

Post Syndicated from Bozho original https://blog.bozho.net/blog/3718

В петък в Панорама Христо Иванов показа три папки, пълни със законопроекти. В едната – за съдебна реформа (вкл. изменение на конституцията), реформа на регулаторите и лустрация. Във втората – за промени в изборните правила, за да не гледаме пак този хаос, който се развива в момента. И третата – за модернизация и електронно управление.

Демократична България ще внесе тези законопроекти на първия ден на следващото народно събрание. Без забавяне, без „да видим“, без „експертите трябва да кажат“. Експертите вече са казали – експертите са в листите и са подготвили тези законопроекти.

Участвал съм в подготовката на някои от тях и ще споделя малко повече информация. Те са директно следствие от предизборната програма и са един от инструментите за нейното реализиране.

Предлагаме изменения, с които:

  • администрацията да няма повече оправдания, че „нашият закон е специален и не можем да предоставим услугата по електронен път или да съберем удостоверението по служебен път“ (това, за което бях писал преди време – отпадането на удостоверенията)
  • да електронизираме на практика всички регистри чрез централизирана система за управление на регистри, така че създаването на нов електронен регистър да отнема часове, а не години, и да има възможност за интеграции, отворени данни, проследимост. (миграцията на исторически данни ще последва това). Тази стъпка също е ключова за отпадане на удостоверенията и административната тежест.
  • гражданите да могат да заявяват услуги не само с квалифициран електронен подпис. Тази опция вече съществува частично (въведена на база на мое предложение преди 5 години), но трябва да бъде пояснена и разширена.
  • да уредим отношенията на държавата със системния интегратор, а не както сега „всеки възлага всичко на Информационно обслужване без обществена поръчка“. Това включва каталог на услугите, пълна прозрачност на възлаганията, отчетност, и премахване на (де факто) законово гарантирания монопол.
  • да премахнем някои дребни на пръв поглед проблеми и анахронизми, като синия талон (към шофьорската книжка), като хартиената трудова книжка, като нуждата от изрично заявяване на EORI номер за освобождаване на дребни пратки от извън ЕС, като защитата на данните, събирани от камерите на АПИ, и др.

Това са част от нещата, които са готови за внасяне на първия ден. Няма да са единствените, но ако една политическа сила има ясна представа как иска да управлява и какви реформи да прави, трябва да има такава готовност. Другото са общи приказки.

И пак ще кажа – електронното управление е само инструмент за това всички сектори да станат по-ефективни, по-прозрачни, по-малко корумпирани. И затова е един от стълбовете, една от папките.

Изборните правила – дистанционно гласуване, район „чужбина“, гласуване по настоящ адрес по подразбиране, одит и прозрачност на машинното, видеонаблюдение и т.н. са с цел всички промени, прокарвани от следващи парламенти, да се позлват с доверие. Защото доверието в изборния процес се отразява върху доверието в институциите и съответно върху тяхната легитимност.

Конституционните изменения за реформа на прокуратурата, обаче, са най-важни – от тях зависи дали в България ще се упражнява власт, произтичаща от гласа на обществото, а не както досега – произтичаща от „едни други сгради“. А това променя нещата коренно.

Пътят ще е дълъг, но започва на 4-ти април. С номер 11.

Материалът За трите папки – съдебна реформа, изборна реформа, модернизация е публикуван за пръв път на БЛОГодаря.

„Тук не е информация“ като символ

Post Syndicated from Bozho original https://blog.bozho.net/blog/3682

„Тук не е информация“ е едно от първите неща, които идват на ум, когато се заговори за администрацията. Писал съм и преди по въпроса за дизайна на административни услуги (не само електронни, а и присъствени). Преди време направих и „Гугъл на държавната администрация“. Но сега искам да разгледам въпроса от малко по-различен ъгъл.

„Тук не е информация“ е символ. На това как функционира държавата – от политическото ниво, през административните ръководители до служителите по гишетата.

Защо съществува „тук не е информация“? Защото никой ръководител не е сметнал как да е удобно да се получи информация. Никой ръководител не е помислил как да направи използването на услугите лесно.

„Тук не е информация“ ви казва „Целта не е да си свършите лесно работата, а ние да покрием нормативните изисквания“. „Тук не е информация“ казва „Аз не съм тук да ви помогна, а да си върша моята работа.“ Почти всички системи за електронни услуги следват същата логика – не е целта да е удобно. Достатъчно е в съответсвие с нормативната уредба (да вземем най-развитите услуги на НАП, където дълги години данъчната декларация беше копие на хартиения формуляр, с инструкции откъде кое се пренася и по кой член е дадена кутийка).

В реалността охраната е „информация по неволя“. Само че охраната не знае всичко, не е обучена да комуникира с хора. В онлайн реалността няма нужда от информация, защото повечето услуги са толкова непопулярни, че никой не ги ползва (НАП, Агенция по вписванията и още 1-2 институции са изключение, там има и кол център за информация даже).

Трудно ли е да има „информация“, тази „информация“ да е близо до входа и там да работи човек, който да може да насочва? Не е трудно. Щатовете така или иначе са достатъчно големи, та един човек повече или по-малко е без значение. Спомням си как използвах административна услуга в Холандия. Отидох в общината, питах на информация къде трябва да отида за това, което търсих, те ми казаха и ми дадоха номерче. И толкоз.

Но достатъчно очевидности – на какво е символ „тук не е информация“? На едновременната невъзможност и нежелание нещата да се правят добре. Достатъчно е да се правят проформа. И това важи както за административните ръководители, така и за политическите ръководители. Отчитат се програми, отчита се нормативно съответствие, отчитат се реформи, отчита се напредък по пътни карти.

Но като погледнеш какво е отчетено – обикновено изхарчени пари, закупени предмети (или лицензи) и най-много някое проведено обучение. В повечето стратегически документи в държавата (стратегии, пътни карти, екшън планове) твърде рядко има каквито и да било индикатори за успех, а когато такива има, те не са свързани с отчитане на постигнатото, а с отчитане на извършеното. Пренесохме 20 чувала! Само че реално 10 чувала са отишли и после са се върнали. Работа е свършена, резултат няма.

„Тук не е информация“ е начинът на администрацията да ни каже „ние и нашите административни ръководители сме извършили преките си нормативни изисквания дотолкова, че да не ни съдите, а политическото ни ръководство е заето с кой знае какво“.

Разбира се, държавата като монополист на административните услуги няма пазарен стимул да ги предоставя по-добре. Затова във всички нормативни изменения, в които съм участвал, е имало компонента „частни субекти да предоставят административни услуги“ (дали през програмни интерфейси или в ролята на посредници). Само че и това не се е случило.

„Тук не е информация“ е и симптом на политическото ръководство, което е дотолкова неспособно на промени, че не може да постигне неща, които всеки управител на средноголям магазин е постигнал.

Колкото и да не ми се иска текстът да звучи негативно, това е неизбежно. Само че има как тук да бъде информация. Да има информация. Да бъде удобно.

Да, изисква правилния начин на мислене и на законодателно ниво, и на ниво подзаконови актове, и а ниво политическо ръководство и на ниво селекция на административни ръководители и на ниво обучение на администрация. И смятам, че е възможно. Защото ако кажем, че е невъзможно „тук не е информация“ да остане в историята, де факто казваме, че като държава сме неспособни да решаваме дори прости проблеми по адекватен начин. А не смятам да се съглася с такава теза.

Символът „Тук не е информация“ трябва да бъде унищожен, за да си повярваме, че нещата могат да стават по различен начин.

Материалът „Тук не е информация“ като символ е публикуван за пръв път на БЛОГодаря.

Електронно трудово досие?

Post Syndicated from Bozho original https://blog.bozho.net/blog/3669

Пандемия. Работа от вкъщи. Обаче…

Трудовото законодателство е над тия неща и съответно работодателите и служителите трябва да си общуват на хартия за неща като болнични, отпуски, фишове и други.
Сега запознатите ще кажат „ама то от 2018г. има наредба за електронно трудово досие“. А-ха! Има, ама… все едно няма:

(4) Електронни изявления между страните по трудовото правоотношение се връчват чрез услуга за електронна препоръчана поща.

Т.е. не може ти просто да си изпратиш неща по имейла, а служителите да ги подпишат в Adobe Reader (дали с КЕП или с друг вид подпис, няма значение), и после да ги сложиш в папката в OneDrive/Google Drive на съответния служител. Не. Трябва да ползваш удостоверителна услуга по смисъла на регламента (или да си изградиш такава). И също така:

(3) Всяко действие в системата се удостоверява с квалифициран електронен времеви печат.

Също, в наредбата пише, че работодател няма право да откаже получаване не документи на хартиен носител (и правилно), но не казва, че няма право да откаже получаването в електронен вид.

Да, някои много, много иновативни компании може и да изградят такава система (или някой да направи такава система „като услуга“), да сключат допълнителни споразумения със служителите за ползването на системата, да се закачат към някоя удостоверителна услуга за препоръчана електронна поща, и да уговорят какъв вид електронен подпис приемат.

Само че бюрократът, дето не е виждал частен сектор, решил да „набие“ всички сложни думички от правния мир на електронното управление и в резултат на това сега работодателите имат избор: да рискуват да не са в съответствие с трудовото законодателство или да карат служителите си да подписват неща присъствено.

Има, разбира се, компании, които предоставят услуга, която е в съответствие с наредбата: EHR.bg, timeoff, Тереза. Което е разбираемо и хубаво – когато се появи някаква свръхрегулация, се намира кой да предостави услуга, която да улесни регулираните субекти, срещу съответното заплащане. Признавам, не съм разглеждал тези софтуери/услуги в детайли и дали отговарят на всички изисквания (бих искал да видя квалифицирания печат, напр., както и реализацията на услуга за препоръчана електронна поща)

Само че как щеше да е по-добре да стане това, така че да не се въвежда допълнителна бюрокрация, нужда от допълнителен доставчик, разходи и увеличен риск заради споделянето на данни за трудовото правоотношение с трети лица, но в същото време правата на служителите да са защитени? Без да оставаме на хартия, (както с трудовата книжка)

  • Ориентиране на наредбата не към имагинерни системи за електронни трудови досиета, а към т.нар. HRM системи (Human Resource Management, системи за управление на човешки ресурси)
  • Наредбата да определи какво счита за електронен подпис, защото не само квалифицираният е такъв – „read receipt“ може да бъде електронен подпис (оставил е данни в електронен вид до изходящото писмо, което е също данни в електронен вид), може да бъде сканиран подпис, сложен в Adobe Reader, може да е дори нарисуван на екран подпис. Може да бъде вход и поставяне на инициали в документ в облачна услуга, която пази история на редакциите и удостоверява потребителя с неговите данни за достъп. Не че в момента наредбата ги изключва, но в общия случай бизнеса не влиза в тези правно-философско-технически дебри на Регламент (ЕС) 910/2014
  • Отпадане на изискването на услуга за препоръчана електронна поща. Да, трябва да се удостовери, че служителят наистина е получил документа (а работодателят не е направил това вместо него), но при трудови спорове, които биха били редки за най-тривиалните неща като отпуски и болнични, обстоятелствата мога да се установят от вещо лице – при облачни email услуги по-лесно, при локални – със съответните проверки на логове както на сървър, така и на компютъра на служителя.
  • Отпадане на изискването за квалифицирани електронни времеви печати – да, времето на настъпване на събитията е важно. При използване на облачни HR системи биха били изпълнени условията за (обикновен) времеви печат, тъй като датите в системата не могат да бъдат манипулирани от работодателя. При локално инсталирана такава би съществувал потенциален риск от манипулиране на времето на настъпване на някакво събитие, но отново – ако има копие за служителя, на негов компютър, както и свидетели, би било възможно при трудов спор да се установи истината. Хартиени документи също могат да бъдат подправени, като и в двата случая това може да бъде документно престъпление.

С други думи – относно поне най-масовите документи, като фишове за заплата, болнични и отпуски, „качени са в HR системата и са прегледани от служителя“ или „изпратени са по имейл“ или „качени са в съответната папка на служителя в Google Drive / OneDrive / на FTP-то и има логове за достъпа до тях“ трябва да е напълно валиден начин за водене на електронно трудово досие. Що се отнася до анекси и допълнителни споразумения и други по-чувствителни документи, те могат да изискват квалифициран електронен подпис или да се случват на хартия, ако служителят няма такъв. Но заради хипотезата на трудов спор във връзка с подправени документи за изплатени суми, болнични или отпуски, не бива да осакатяваме и свръхрегулираме цялата трудова документация, на практика оставяйки я в хартиения свят.

Тези проблеми (както и много други, свързани с изоставането ни в процеса на дигитална трансформация) са особено видими при пандемията и отдалечената работа. Държавата не е подготвена да работи електронно и налага своето неразбиране за електронни процеси и на бизнеса. Това може и трябва да се промени.

Материалът Електронно трудово досие? е публикуван за пръв път на БЛОГодаря.

Как наистина да получим електронна идентификация

Post Syndicated from Bozho original https://blog.bozho.net/blog/3659

Национална схема за електронна идентификация още няма, по ред причини, както съм описал тук. Но в даден момент следващата или по-следващата година все ще стане – изпълнителят ще изгради нещо по заданието, ще достави и лични карти, те ще имат чип и на чипа ще се записва удостоверение за електронна идентичност.

Само че когато това стане, няма автоматично да имаме лесно и удобно средство за електронна идентификация и електронното управление да тръгне по мед и масло. Това е едно от трудните неща в електронното управление – че като пуснеш поръчката, след две години не режеш лента, а хората не могат да видят ползите веднага. А в допълнение, някои грешки в изпълнението могат да значат пълен провал, а не просто нужда от закърпване.

Затова тези дни се замислих и реших да обобщя нещата, с които трябва да се внимава при изпълнението, за да не получим накрая едни безполезни пластики и всичко да трябва да започне отначало. Да, има детайлно техническо задание, но проблемите по-долу не са функция само на техническата реализация.

Четенето на личната карта – чипът трябва да може да бъде прочетен, иначе картата е безполезна. Би трябвало чиповете да позволяват контактен и безконтактен достъп – контактен, за използване на всички налични четци на електронни подписи тип „карта“ (които мисля са все по-малко), и безконтактен. Контактното четене е доста неудобно (макар в Естония да е било успешно благодарение на добра кампания за разпространяване на четци, сега сме в друга технологична „ера“) и поради това трябва да се обърне внимание на безконтактното като най-масовия начин за използване на картата. В Правилника за прилагане на Закона за електронната идентификация бяхме включили текстове, които да предвиждат идентификация чрез безконтактно четене на телефон, докато потребителят заявява услуга на компютър (или на телефона, разбира се).

Трябва изпълнителят да реализира този процес удобно, със стандартни приложения за различните мобилни операционни системи, така че процесът да бъде: 1. натискане на бутон „идентифицирай се“ при заявяване на услуга 2. Излизане на съобщение на телефона за очаквана идентификация 3. допиране на картата и написване на PIN (може и в обратен ред, за по-голямо удобство) 4. Успешна идентификация. Трябва да се обърне внимание и на сигурността на безконтакното четене. Към 2016 стандартите по темата не бяха масово възприети, така че изпълнителят и възложителят трябва да преценят кой е най-актуалният начин.

Персонализиране на други носители – електронната идентификация не е само „чип в личната карта“. Всъщност чипът в личната карта е само една от много възможности. Трябва в рамките на издаването на удостоверение за електронна идентичност да се даде опция за записването му (заедно с частния ключ) на смартфон или на друга карта. Записването на частен ключ на телефон към 2016 г. не беше сигурно (имаше известни атаки), но 4 години по-късно вече е. И в нормативната уредба, и в заданието е заложена възможност за издаване на eID чрез вече съществуващо eID. Т.е. може с еднократно използване на личната карта да се създаде нов частен ключ и удостоверение на телефона и всяка следваща идентификация да не изисква докосване на картата и писане на PIN (а използване на сензора за пръстов отпечатък). Тези опции са заложени и напълно възможни, но трябва и възложителят, и изпълнителят да съблюдават те да се случат по този начин.

Електронно подписванемежду електронна идентификация и електронен подпис има съществена разлика (едното е „да си покажеш личната карта“, другото е „да се подпишеш“). Много услуги изискват подпис за заявяване (или за попълване на някоя декларация), което би направило електронната идентификация почти безполезна, с изключение на някои справочни услуги. Именно затова е ключов чл. 22, ал. 5 от Закона за електронното управление, изрично позволяващ заявяването на услуги от физически лица да се допустимо с неквалифициран електронен подпис (а с усъвършенстван). На практика това значи, че всяка съществуваща и бъдеща услуга трябва да може да бъде подписвана със същите криптографски ключове (или производни на тях), използвани за електронната идентификация.

Това би представлявало усъвършенстван електронен подпис и няма да се налага освен личната карта да имате и квалифициран електронен подпис (още повече, че преди 2 години законодателят махна опцията личните карти да поддържат електронни подписи, не е много ясно защо, освен може би заради техническите изисквания към чиповете). Европейската Комисия изрично посочва, че държавите членки определят с какъв вид подпис могат да се ползват административни услуги, та ние се възползвахме от тази опция. Има и още една опция, но тя е по-трудна – да се променят всички закони, наредби, правилници, заповеди и вътрешни правила и навсякъде да се посочи, че не се изисква подпис за електронно заявяване. Но това е непрактично и крие рискове.

Дори картата (и приложението на смартфона) да могат да слагат криптографски подпис, това няма да е достатъчно. Съществуващи услуги, използващи различни средства за подписване, ще трябва да бъдат интегрирани. Може да се наложи дори разработване на специален драйвер, който настоящите аплети и приложения за подписване да заредят, за да бъде опакован криптографския подпис от смарткартата в електронен подпис по смисъла на законодателството. Тези процеси трябва да бъдат разписани и изтествани.

Интеграция на системи – в рамките на проекта трябва да бъдат изготвени компоненти за лесна интеграция на системи. Никоя система няма по подразбиране да поддържа електронната идентификация и трябва бързо да могат да се надградят. Т.нар. SDK, примерен код на различни езици и стандартни приложения за различни операционни системи (десктоп и мобилни) са част от техническото задание, но на тях трябва да бъде обърнато особено внимание – в противен случай ще имаме в джоба си нещо, което не можем да използваме никъде.

Извън самия проект, трябва останалите институции да са подготвени за това – да имат разписани малки проекти за надграждане на съществуващи системи, така че да интегрират електронната идентификация. Това може да става дори паралелно с изграждането на системата за електронна идентификация, защото стандартите за комуникация са ясни, а някои части от проекта ще бъдат доставени преди неговия край.

Не на последно място, трябва да бъде реализирана идентификация на юридически лица чрез връзка в реално време с Търговския регистър (и РЮЛНЦ, и Булстат), за да се избегнат проблемите, които произтичат от настоящото решение с КЕП. Това предполага надграждане на системи и понякога промяна на процеси.

Цялостна архитектура на федерираната идентификация – националната схема за електронна идентификация е само една от няколко опции. Вече има частни схеми за идентификация, отдавна има всевъзможни ПИК-ове, които макар и от ниско ниво, минават за идентификация по Регламент 910/2014. Има и необходимост да се поддържат електронните идентификации на всички държави членки. Трябва максимално бързо да бъде разписана архитектура на федерирана идентификация, която да позволява на гражданите да ползват всяка услуга с подходящо за целта средство. Първо, с надграждането на административния регистър (което също трябваше да е станало отдавна) трябва да се добавят нивата на осигуреност на идентификацията, която дадена услуга изисква. След това трябва да има т.нар. eIDAS възел, който да позволява интеграция с европейските схеми.

Трябва да бъде подготвена архитектура и на местно ниво – как частни схеми и/или частни центрове за електронна идентификация да си общуват с националната схема. Къде в картинката стои и настоящата система за е-автентикация на ДАЕУ, която от временно решение се превръща във все по-устойчиво такова. За щастие всички тези системи „говорят“ (и трябва да говорят според нормативните изисквания) на един „език“ – протоколът SAML 2.0. Но кой кого извиква, с какви параметри, кой какви регистри държи и какво позволява; как се извършва подписване при схеми, които не са националната (напр. чрез съхраняване на SAML 2.0 assertions) и не на последно място – как да бъде осъвременена нормативната уредба с всичко това. Сложни въпроси, които трябва да намерят отговор в следващите 6 месеца, за да не се окажем в батак, в който всичко е толкова фрагментирано, че много малко хора да могат да ползват услугите, които искат със средството за идентификация, което имат.

Може би стана прекалено техническо, но дяволът е в детайлите. Ако объркаме някой от тези детайли, рискуваме да продължим да трупаме изоставане в електронното управление, а закъснялата електронна идентификация да не донесе позитивните резултати, с каквито очаквания е натоварена.

Материалът Как наистина да получим електронна идентификация е публикуван за пръв път на БЛОГодаря.

Дигитализацията на публичния сектор с европейски средства става все по-труднa

Post Syndicated from Bozho original https://blog.bozho.net/blog/3653

В рамките на националния план за възстановяване и устойчивост дигитализацията на публичния сектор е слабо и откъслечно застъпена. Коментирахме темата с Христо Иванов, Иво Мирчев и Боян Юруков миналата седмица, но ми се ще да развия темата.

Първо, защо трябва дигитализацията на публичния сектор да бъде приоритетна инвестиция – защото тя е отключващ фактор. Намалява административната тежест, съответно прави бизнес климата по-благоприятен, а инвестициите – по-вероятни. В същото време намалява риска от корупция и увеличава прозрачността в управлението. Прави публичните системи по-ефективни, така че по-малко средства да „изтичат“. Всяка една система би спестила много пари и време и би повишила качеството си, ако процесите и услугите ѝ са дигитални. Това се превежда сравнително бързо, макар и индиректно, в по-добър живот.

Обаче има проблем ЕС да финансира електронното управление (което не е синоним на „дигитализация на публичния сектор“, но е близо). И проблемът е, че е малко вероятно ЕС да финансира отново нещата, които е финансирал вече няколко пъти.

След присъединяването ни към ЕС, има два програмни периода. В първия (2007-2013) програмата за електронно управление е „Административен капацитет“, а във втория (2014-2020) – „Добро управление“. В рамките на тези оперативни програми са предвидени около милиард лева, като немалка част от тях са похарчени (макар реално усвоените по ОПДУ да са около 1/3 в последната година, в която може да се кандидатства за проекти, то остават три години за довършване на проекти и тяхното изплащане).

В рамките на тези два програмни периоди трябваше да сме направили много неща. Обаче не сме. Отчели сме ги проформа, или сме ги изградили системи, които не се използват, или са се използвали, но са изоставени. Или не сме направили неща, които сме обещали, че ще направим. И проблемът е в това, че ЕК няма основание да ни даде трети път пари за същото.

Но нека вляза в конкретика:

  • Електронизация на общински услуги – по ОПАК се изсипаха сума ти пари за това, а по ОПДУ трябваше да се развият и внедрят хоризонтални услуги в общините. И на места има услуги, които дори се ползват от време на време, но като цяло положението е зле.
  • Електронна идентификация – по ОПАК има пилотен проект, след това по ОПДУ се предвиден реален проект за национална схема. Той все още не е стартирал, но поне има шанс да стане до края на следващата година. Все още обаче електронна идентификация няма, камо ли пък услуги да са интегрирани с нея.
  • Регистрова реформа – електронизиране на регистри, отпадане на излишни регистри, използване на информационни системи и „свързване“ на регистри. По това има поне нещо направено, но твърде скъпо и твърде неефективно. На практика регистрите не предоставят интерфейси за машинна комуникация и много често са просто грозни интерфейси върху таблица в базата данни. Неслучайно има стратегически документ „Концепция за регистрова реформа“ за периода 2019-2023. Само че в двата програмни периода електронизацията на регистри трябваше да се е случила (да, реформата не е равно само на електронизация, но да не влизам в скучни подробности). Ключови регистри, като Национална база данни „Население“, например, трябваше да бъдат наградени или изградени наново, но не са.
  • Електронно здравеопазване – първото нещо, което ще видим след толкова години „мъки“ е след месец когато най-накрая надявам се да имаме електронна рецепта. Да, НЗОК има система, но и тя е доста ръчно-крачна и остаряла, а неща като „Единен здравен запис“ съществуват само в контекста на плащанията „по каса“, и дори там са непълни и некоректни. Малко цинично погледнато – „добре“ че дойде корона кризата, че МЗ поне малко да се задейства, макар и все още да предстои да видим резултат.
  • Електронно правосъдие – и в двата програмни периода има проекти и дори цяла ос за правосъдие. Системата за електронно правосъдие се въвежда тази година, с променлив успех, но все още не позволява реално електронно правосъдие – съдилища изискват подаване на заявления на хартия, за да можеш да ползваш системата, например.
  • Реинженеринг на процеси, функционални анализи и други анализи – такива „на килограм“ има, особено по ОПАК. Стоят по чекмеджета (или на нечий компютър в добрия случай). И остаряват по-бързо, отколкото някой може да се възползва от малкото полезна информация, която са открили.
  • Обучение на администрацията – администрацията трябва да може да управлява процеса по въвеждане на електронното управление. Нищо подобно не се случва (с малки изключения), и то е отчасти защото след два програмни периода администрацията все още не знае какво е електронно управление (пак, с изключения, разбира се).

Дори с нещата, които все пак са изградени, няма политика за поддръжка и устойчивост. До скоро нямаше отделен ИТ бюджет и след изтичането на гаранционната поддръжка нещата оставаха във въздуха. От няколко години (след измененията в ЗЕУ, в които участвах), в бюджетната процедура всяка година е включено и „перо“ за информационни технологии, така че администрацията да започне да мисли как да продължи да ползва системите си. Образно казано, Европа дава пари да си направим основен ремонт на апартамента, но не и дава пари за месечните сметки за ток, вода и телефон или за текущи ремонти и трябва да ги планираме от нашия бюджет.

Та от Европейския съюз сме взели вече пари за тези неща. По два пъти за повечето от тях. И затова е трудно те да влязат за трети път в документ, с който искаме пари от Европа. Защото там с право ще кажат „е стига толкова, де, нали вече го правихте това“.

Ако бяхме направили нещата дотук, щяхме да можем да поискаме пари за следващите стъпки. За отворени интерфейси и дори изграждане на частни услуги на база на публичната инфраструктура; за трансгранична електронна идентификация, така че граждани на целия ЕС да могат да ползват е-услуги у нас (и съответно български граждани в Европа); за проактивни услуги, като автоматично кандидатстване за детска градина, автоматично получаване на помощи при определени условия и др; за групиране на услуги като епизоди от живота и събития от бизнеса, така че „отваряне на магазин“ да бъде една услуга за бизнеса, а не десет, с различни институции, например (за това има пари по „Добро управление“, между другото, но мисля, че нещата са на нулата); за неща като естонското електронно гражданство, с което да привличаме чужди инвестиции; за провеждане на политики, базирани на данни и дори използване на изкуствен интелект за подпомагане на вземането на решения и извършването на оценка на въздействието на законодателството; за електронно гласуване (за което също има пари по Добро управление, но и там има само един анализ и едно техническо задание); за преминаване от киберсигурност (която нямаме) към киберустойчивост.

Само че всички неща от предния абзац няма върху какво да стъпят. Нещата, които сме „отчели“, ги няма на практика (или ги има в много малка степен и са разпокъсани).

И това прави задачата толкова трудна. Единственото решение е политическо – някой да убеди Европейската комисия, че този път наистина ще на правим нещата, които 13 години сме отчитали, че правим. Не си представям как управляващите правят такава заявка. Възможно и да „мине“, пак. Но трябва планът да е добре структуриран, обоснован и с известна доза самопризнания за неуспехите досега. Трябва да заложи визия, цели, проекти, индикатори и срокове, които да имат смисъл, а да не са колекция от нечии хрумвания. В противен случай продължаваме с мокрите печати, докато човечеството не колонизира други планети. А може би и след това.

Материалът Дигитализацията на публичния сектор с европейски средства става все по-труднa е публикуван за пръв път на БЛОГодаря.

Вярно с електронно подписания оригинал

Post Syndicated from Bozho original https://blog.bozho.net/blog/3647

Много хора споделят тази снимка: „Вярно с електронно подписания оригинал“.

Тя е символ на електронното ни управление – на парче, неработещо на много места и пълно с абсурдни „закърпвания“. Но нека обясня.

Когато един електронен документ е подписан електронно, подписът му се проверява автоматично от софтуера за отваряне на документа – подписът гарантира (криптографски), че документът не е променян след като е подписан, както и кой в авторът. Има и държавна онлайн услуга за валидация.

Когато такъв документ се разпечата, обаче, всички тези гаранции изчезват (с което преди 11 години втрещих едни адвокати). Той става хартиен документ с лесна за манипулиране картинка на подпис. Това види до нуждата разпечатващият да удостовери (със саморъчен подпис и този текст), че разпечатаното не е изменяно. И така поставено изглежда съвсем логично.

Обаче… правилните подходи са други:

  • Не се разпечатва. Вече има задължение всички администрации да ползват електронни документи и във вътрешния си оборот, и в комуникация с други администрации. И това е технически възможно и работи. Няма причина да се разпечатва. Разбира се, на малко места е отпаднала хартията, защото какво пише в нормативната уредба и какво става на практика са различни неща.
  • На документа се посочват данни, с които оригиналният документ може да бъде изтеглен. Това предполага авторът да има онлайн система, където да се разполагат документите с адекватен контрол на достъпа. Електронното свидетелство за съдимост е такъв пример – има уеб адрес и код за проверка на оригинала. Тук трябва да се внимава, за да не може злонамерени хора да свалят цялата база с документи, налучквайки идентификаторите им.

И двата подхода (които не са взаимно изключващи се) предполагат архивиране на електронните документи. Това е процес съвършено различен от пълненето на мазета с папки с хартиени документи. За това има наредба и издадени на нейна база правила за архивиране. Нужни са неща като регулярна подмяна на дискове, резервни центрове (в рамките на държавния облак) и др. И някой да знае и спазва тези правила.

Ще продължава да има хипотези на разпечатване на е-документи, но те не трябва да бъдат в администрацията. Може в някоя фирма така да предпочитат или да са нужни за пред друга държава, където не ги приемат електронно. Но това са изключения.

Когато нямаш електронен документооборот (въпреки, че имаш техническата възможност за това), когато изискваш хартии при проверки, когато мисленето и на ръководителите, и на администрацията под тях и най-вече – на политическите ръководства, е хартиено, ще имаме това – разпечатване на е-документи. И „вярно с електронно подписания оригинал“ ще е съвсем логична практика, на която само някакви „фейсбук хейтъри“ са смеят.

Материалът Вярно с електронно подписания оригинал е публикуван за пръв път на БЛОГодаря.

Как да разкараме печатите от медицинските изследвания за прием в ясла

Post Syndicated from Bozho original https://blog.bozho.net/blog/3634

Наскоро трябваше да приемат Оги в ясла. Съответно трябваше да набавим един куп документи – два здравни картона, бележка от лекар и четири изследвания. Няма да коментирам факта, че все още имаме „здравен картон“ (че и два, даже), а не „единен здравен запис“, или смисъла от това да отидеш при лекар, който да ти напише хвърчащо листче, че детето ти не е контактувало с болни.

Ще коментирам обаче изследванията, и по-точно – удостоверяването на тяхната автентичност. Направихме всички изследвания, разпечатахме резултата от сайта на лабораторията, и ги занесохме заедно с другите документи. Само че – проблем. Трябвало да имат печати. Жена ми се разходи до лабораторията, сложиха ѝ един печат, обаче и това не беше достатъчно – трябвало да има втори, правоъгълен печат. Не можело да го приемат без него. Винаги бил така. А правоъгълният печат го имало само в централата на лабораторията – в другия край на града.

Попитах кой и защо го изисква – оказа се РЗИ (Столичната регионална здравна инспекция). Проведох около 15 разговора с 5-6 различни хора в РЗИ, изчетох приложимата нормативна уредба (Наредба 26, Наредба 3, и общо взето заключих три неща:

  • Това не е работа на никого. Може би на инспекторите.
  • Няма нормативно основание за изискване на печати
  • Могат да глобят яслата, ако няма печати, защото „разбира се, че ще ви върнат, като нямате печат“

Накрая се разходих до другия край на града, за да ми „набият“ правоъгълен печат. Но това не би трябвало да остава така – в ситуация на пандемия да обикаляме лаборатории и болници, увеличавайки риска от заразяване, без абсолютно никаква разумна причина за това.

Така че предприех следните мерки:

  • Писмо до Министерство на здравеопазването с предложения за нормативно уреждане на автентичността на медицински изследвания
  • Писмо до РЗИ да прекратят незаконосъобразните си практики
  • Писмо до Столична община, да установи ясни изисквания към детските ясли относно реквизитите на документи, които изискват

Целта е да има законосъобразни правила, директорите на яслите и инспекторите на РЗИ да знаят какви са правилата, а не да си ги измислят на място или да правят „както винаги са правили“, без да има нормативно основание за това.

Писмата до РЗИ и Столична община са скучни, но ще приложа писмото до Министерство на образованието, защото там са реалните предложения за промяна. Както сподели един от хората в РЗИ, съществува проблем с фалшиви изследвания, и „декларациите не работят“ (на моето предложение да спазват административнопроцесуалния кодекс и да приемат декларация за истинност на изследванията):

Чл. 43. Административният орган не може да откаже приемане на писмена декларация, с която се установяват факти и обстоятелства, за които специален закон не предвижда доказване по определен начин или с определени средства. [..]

Писмото до министъра изисква единствено нормативни изменения – с изключение на ал. 3, т. 3, останалите варианти са налице и в момента. Използването на електронни печати е по принцип правилния подход в дългосрочен план, но изисква надграждане на системи.

Уважаеми г-н Министър,

Във връзка с неписано правило Столичната РЗИ да изисква два различни печата върху изследвания за приемане на деца (по реда на чл. 20 от Наредба 26 от 18.11.2008 за устройството на дейността на детските ясли и детските кухни и здравните изисквания към тях), и отчитайки:
1. Голямото неудобство за родители в това да бъдат куриери на администрацията и в 21-ви век да обикалят за различни видове печати, особено в контекста на пандемия.
2. Риска от предоставяне на фалшиви изследвания
3. Факта, че повечето лаборатории имат онлайн системи за предоставяне на резултатите от изследвания
4. Усилията за въвеждане на електронно здравеопазване

бих искал да предложа следното изменение на Наредба 26:

В чл. 20 се създават нови алинеи 3-5:
(3) Автентичността на изследванията по ал. 1, т.3-5 се удостоверява от лабораторията, извършила изследването, по един от следните начини:
1. чрез възможност за проверка с телефонно обаждане на база на уникален идентификатор на изследването. Телефон за контакт и номер на изследването трябва да са посочени в документа с резултатите.
2. чрез предоставяне от страна на родителите на данни за достъп до онлайн система за проверка на резултата
3. чрез електронен печат на лабораторията върху електронен документ с резултатите, по смисъла на Регламент (ЕС) № 910/2014 на Европейския парламент и на Съвета от 23 юли 2014 г. относно електронната идентификация и удостоверителните услуги при електронни трансакции на вътрешния пазар и за отмяна на Директива 1999/93/ЕО (ОВ, L 257/73 от 28 август 2014 г.)
3.
(4) Резултатите от изследванията по ал. 1, т.3-5 се приемат на хартиен носител и по електронен път, на адрес на електронна поща или чрез системата за сигурно електронно връчване по смисъла на § 1, т. 31 от допълнителните разпоредби на Закона за електронното управление.
(5) Резултатите от изследванията по ал. 1, т.3-5 се съхраняват за срок от 12 месеца, след което се унищожават.

Съхранението на данни за достъп (потребителско име и парола) е по принцип рисково, но в случая то е идентично на съхраняването на самите изследвания, като в същото време предоставя възможност за проверка на автентичността на данните.

Би следвало да се обмисли вариант и за по-обща уредба на въпроса с автентичността на медицински изследвания, когато те се изискват по силата на нормативен акт за осъществяване на дадено право.

С уважение,
Божидар Божанов

В по-общ смисъл, за цялата драма с печатите преди време бях подготвил изменение на Административнопроцесуалния кодекс, с която да се забрани изискването на печати:

„§ 1а. (1) Във връзка с административното обслужване на гражданите и юридическите лица административните органи, лицата, осъществяващи публични функции, и организациите, предоставящи обществени услуги не могат да изискват полагане на печат върху документ на хартиен носител за удостоверяване на авторството.
(2) Авторството на документ по ал. 1 се удостоверява от неговия издател чрез саморъчен подпис. Документът съдържа информация за имената на лицето, което го е издало, качеството и длъжността, в които действа, както и основанието на неговата представителна власт.
(3) Органите, лицата и организациите по ал. 1 не могат да отказват приемане на документ от граждани и юридически поради липса на поставен печат.
(4) За неизпълнение на задълженията по ал. 1 и 3 на отговорните длъжностни лица се налага административнонаказателна санкция по чл. 305 от Административнопроцесуалния кодекс.“

(Следват изменения на двайсетина закона, които в момента изискват печат под някаква форма, които ще ви спестя, – такъв законопроект Демократична България ще може да внесе в парламента след няколко месеца.)

Защо се занимавам с нещо толкова дребно? Нали вече записахме детето, повече едва ли ще имаме тоя проблем?

Защото това е чудесен пример защо няма електронно управление. На теория има, на практика някой някъде иска печат от някой друг и няма правен аргумент, който да го убеди в обратното. Затова трябва наредба по наредба, член по член, административен орган по административен орган да се налага електронната реалност. И защото е важно да променяме мисленето на всички нива – и на политическо ниво, и в администрацията, а и в съгражданите си, които с години са обикаляли за печати, защото „как така без печат“.

Материалът Как да разкараме печатите от медицинските изследвания за прием в ясла е публикуван за пръв път на БЛОГодаря.

Хронология на липсващата електронна идентификация

Post Syndicated from Bozho original https://blog.bozho.net/blog/3627

Електронна идентификация (по-конкретно националната схема за електронна идентификация), която е и кокошката, и яйцето на електронното управление, все още я няма. Ето кратка хронология:

  1. В края на 2016 г. е готово всичко – има закон, правилник, осигурено европейско финансиране, техническа спецификация и документация по ЗОП (Закона за обществените поръчки).
  2. Процедурата е пусната… и спряна в края на лятото на 2017 г (в следствие на няколко фалшиви обжалвания пред КЗК от фирми, чиято дейност няма нищо общо с поръчката).
  3. Август 2018 (1г по-късно) електронната идентификация е пусната като част от голямата поръчка за личните карти.
  4. Поради избора на усложнена процедура свързана с класифицирането на части от поръчката (на две стъпки – одобрение на кандидати, и след това поръчка), изпълнител е избран в края на април тази година. Към момента доколкото знам тече процедура по обжалване на решението.
  5. Очаква се до края на годината (ако обжалванията паднат) да бъде сключен договор с изпълнителя и той да започне работа
  6. Сроковете за eID по спомен са около 18 месеца, т.е. в края на 2022 г. ще имаме система. Чиято спецификация е писана 6 години и половина по-рано и вече не е напълно актуална (напр. вече е достатъчно сигурно да се записва частен ключ в мобилен телефон с Android или iOS; през 2016 г. не беше).

Защо е толкова важна електронната идентификация (за която съм писал доста)? Дългият отговор е в тази 40-минутна презентация от 2016г. Краткият отговор е: защото гражданите нямат налично и удобно средство да се идентифицират онлайн пред държавата. Електронните подписи, които в преходния период (удължен от „2 години“ на „докато стане“) трябва да вършат тази работа имат редица проблеми.

Първо – те са средство за подписване, не за идентификация и като такива нямат възможността в реално време да предоставят актуална информация за лицето извън записаната в удостоверението. Няма нужда да имаме саморъчен подпис, за да покажем на държавата (или дори на частни субекти) кои сме в онлайн среда. Трябва ни „виртуална лична карта“, която обаче не може да се копира и фалшифицира. Електронни услуги за физически лица могат и трябва да се ползват само с идентификация, с малки изключения.

Второ – струват пари и поради това (без значение колко са евтини), не може да се постигне масовост сред гражданите. Така дори да има е-услуги, хората няма с какво да ги ползват. Пример – опашките пред НОИ през март, след като НОИ пусна доста услуги онлайн, но хората трябваше да се наредят, за да си вземат ПИК. При електронната идентификация положението е „апетитът идва с яденето“. И трябва критична маса хора просто да разполагат със средството за идентификация в джоба си, за да потеглят нещата. Примери за това много, като любимият ми е Естония срещу Финландия. Естония дава на всички безплатна електронна идентификация, Финландия я прави опционална и платена. 15 години по-късно Естония „изнася“ електронно управление за Финландия, които изостават значително (опростявам историята, но е горе-долу така).

Трето – националната схема за електронна идентификация не е само средството (дали ще е карта, „флашка“ или мобилен телефон). Тя е цялата инфраструктура, с която всяка електронна услуга да може да поиска идентификация от централизиран компонент, който да събере нужната информация в реално време. Националната схема е и компонент от системата за трансгранична електронна идентификация в рамките на ЕС (която не че е тръгнала успешно, но по други причини).

Без електронна идентификация, всяка електронна услуга има много малка аудитория, което се потвърждава и от данните – извън услугите на НАП, които НАП активно промотира заедно със своя ПИК, използването на почти всички останали е минимално и доста неудобно.

Защо не е станало още? Всички политически решения по пътя от 2017 досега са лоши – спиране на отделната процедура; обединяване с голяма поръчка без реална нужда от това; засекретяване и избор на утежнена процедура; процедура, която не е разделена на лотове, позволяващи различни изпълнители; бавене.

Така при напълно готова документация и финансиране, цял мандат не стига дори да се започне работа по най-ключовата система за електронното управление. Всички останали институции (вкл. ЦИК за пилотното дистанционно електронно гласуване) пък се оправдават „ами тя е в МВР системата, ние нищо не можем да направим“.

Та така за управленския капацитет, визията и стратегическите проекти за модернизация на страната. Кой щял да дойде след оставката.. ‘де да знам, дано някой, дето да може за един мандат поне договор да сключи.

Материалът Хронология на липсващата електронна идентификация е публикуван за пръв път на БЛОГодаря.