Komentar na Smernice MDP za razvoj informacijskih rešitev: Zamujena priložnost, da osmislimo bolj kakovostno in varno digitalno prihodnost

Ministrstvo za digitalno preobrazbo (MDP) je julija 2025 objavilo posodobljene Smernice MDP za razvoj informacijskih rešitev (v nadaljevanju: smernice), s katerimi želi projektnim vodjem in skrbnikom informacijskih sistemov znotraj državne uprave (posredno pa tudi širšega javnega sektorja) pomagati pri načrtovanju, razvoju in nadgradnjah informacijskih rešitev. Na Danes je nov dan pozdravljamo posodobitev dokumenta, kljub temu pa v smernicah pogrešamo več poguma pri zastavljanju digitalizacije državne uprave kot procesa, ki postavlja prebivalce in prebivalke ter njihovo varnost in pravice v središče razvoja. Le zelo usmerjen in načrten razvoj digitalnih storitev lahko vodi do rešitev, ki so v javnem interesu.

V smernicah zaznavamo pomanjkljivosti pri različnih vidikih razvoja informacijskih rešitev.

Varstvo pravic mora biti integralni del zasnove, razvoja in uporabe katere koli informacijske rešitve.

Odgovornost državne uprave ter širšega javnega sektorja, da zagotovi učinkovito varstvo pravic pri razvoju in uporabi digitalnih rešitev, izhaja iz obveznosti, ki so določene v nacionalnem ter mednarodnem pravu, vključno z nedavno sprejetim aktom o umetni inteligenci. Pri tem je izjemno pomembno, da naročniki in razvijalci delujejo proaktivno ter preventivno, torej da varnost informacijske rešitve zagotovijo že v procesu razvoja, preden je ta dana v uporabo. Pri zasledovanju tega cilja je ključna uporaba dveh orodij: ocene učinka v zvezi z varstvom podatkov (ki jo smernice omenjajo) in ocene učinka na človekove pravice (ki v smernicah ni omenjena).

Priporočljivo je, da sta obe oceni učinka pripravljeni za vse večje projekte, tudi če zakon tega ne zahteva. Kadar odgovorna oseba presodi, da izdelava ocene učinka v zvezi z varstvom podatkov in/ali ocene učinka na človekove pravice ni potrebna, je nujno, da se obrazložitev takšne odločitve javno objavi.

Ker nacionalne smernice za pripravo ocene učinka na človekove pravice ne obstajajo, je nujno, da jih pristojni deležniki razvijejo in sprejmejo v najkrajšem možnem času, pri tem pa:

• mora biti ocena učinka pripravljena že pri zasnovi informacijske rešitve in pred objavo javnega naročila,
• mora obstajati proces, ki zagotovi, da bo ocena učinka opravljena med razvojem in pred vzpostavitvijo informacijske rešitve ter redno posodobljena v času njene uporabe,
• mora obstajati mehanizem, ki zaustavi razvoj ali uporabo informacijske rešitve, če ocena učinka pokaže, da je nevarnost prevelika ali da tveganja ni mogoče ustrezno zmanjšati,
• mora biti jasno, kdo je zadolžen za pripravo ocene učinka, javni uslužbenci, ki pri tem sodelujejo, pa morajo imeti strokovno znanje s področja varstva človekovih pravic,
• morajo biti vse pripravljene ocene učinka ustrezno zabeležene in transparentno objavljene na ustreznih kanalih, da lahko javnost do njih dostopa,
• se morajo razvijalci odpovedati zahtevam po poslovni skrivnosti glede informacij o informacijski rešitvi, ki so potrebne za pripravo ocene učinka.

Kakovostno vključevanje deležnikov je nujno za razvoj informacijskih rešitev, ki jih uporabniki potrebujejo in želijo uporabljati.

Smernice trenutno popolnoma spregledajo pomembnost vključevanja raznolikih deležnikov v proces razvoja informacijskih rešitev. Pri tem ne gre le za preverjanje uporabniške izkušnje, temveč predvsem za vključevanje deležnikov že v samo oblikovanje namena informacijske rešitve, njeno zasnovo, izvedbo in definiranje posledic in vplivov njene uporabe. Vključevanje in posvetovanje morata biti ključna dela vseh stopenj razvoja: prepoznavanja problema, določanja namena informacijske rešitve, ocene učinka in tveganj, oblikovanja rešitve, testiranja, pregleda in implementacije ter kontinuiranega preverjanja po tem, ko je rešitev v uporabi.

Vključevanje deležnikov se pogosto obravnava kot enkraten dogodek, vendar najbolje deluje le kot dinamičen, nenehno ponavljajoč se proces, ki ima lahko več ciljev, vključuje različne ciljne skupine in uporablja različne metode ob različnih časih. Ko ima projekt opredeljen namen in cilje, je enostavneje določiti primeren trenutek za vključitev različnih deležnikov. Deležniki morajo biti tako notranji (npr. uradniki, koordinatorji projekta) kot tudi zunanji (raznoliki končni uporabniki, posamezniki, na katere rešitev neposredno in posredno vpliva, zunanji strokovnjaki z relevantnih področij). Zaradi raznolikosti življenjskih izkušenj in stika s prakso lahko različni deležniki sami najbolje ocenijo, kakšne rešitve so potrebne in primerne (ali neprimerne). Ključno je, da se v procesu ne pozablja ranljivih in marginaliziranih skupin, denimo starejših, tujcev in oseb z različnimi oviranostmi. Pri tem opozarjamo, da je področje dostopnosti informacijskih rešitev v obstoječih smernicah obravnavano izjemno pomanjkljivo, kar nakazuje na to, da se nanjo v procesu razvoja informacijske rešitve pogosto pozablja.

Postopek vključevanja deležnikov naj bo iskren, z namenom iskanja najboljše možne rešitve, zasnovan vključujoče, odprto, pravično in spoštljivo ter izveden z integriteto. Le tako bodo lahko ustvarjalci informacijske rešitve s strani deležnikov prejeli kakovostne informacije.

Vključevanje deležnikov lahko poteka na različne načine – sestanki, intervjuji, fokusne skupine, anketiranje, zbiranje povratnih informacij na spletu ali na terenu, soustvarjalne delavnice (GovJami ipd.) – odvisno od potreb, želene vrste povratnih informacij in izvedljivosti.

Pomembno je tudi, da so deležniki obveščeni o nadaljnjem procesu in izbirah ter imajo možnost sodelovanja v naslednjih fazah razvoja.

Pri razvoju informacijskih rešitev z javnimi sredstvi mora biti odprta koda pravilo, ne izjema.

Prosta objava programske kode informacijskih rešitev je v smernicah omenjena dvakrat. Enkrat v kontekstu tehničnih specifikacij in drugič v kratkem razdelku o omejitvah in pasteh uporabe odprtokodnih rešitev (glej poglavje 4.3). Ravno slednji je še posebej zavajajoč, saj se omenjeni izzivi (ali je digitalna rešitev varna in ali je zagotovljena dolgoročna podpora) pojavljajo pri razvoju vseh informacijskih rešitev – ne glede na to, ali je programska koda objavljena in na voljo za prosto uporabo.

Odprtokodne informacijske rešitve same po sebi niso bolj (ali manj) varne od zaprtokodnih, vendar imajo prednosti, ki močno olajšajo implementacijo varnostnih izboljšav. Tako omogočajo večjo preglednost, zaradi katere lahko strokovna skupnost hitreje zazna napake, prispeva izboljšave in poskrbi za višjo raven varnosti, kot bi jo lahko zagotovil posamezni ponudnik. Poleg tega odprta programska oprema (za razliko od zaprte) uporabnikom omogoča, da varnostne pomanjkljivosti odpravijo sami (ali pa funkcionalnosti razširijo in prilagodijo svojim potrebam). Prav tako odprta koda zmanjšuje odvisnost od enega izvajalca ter omogoča lažje nadgrajevanje in dolgoročno vzdrževanje informacijskih rešitev, kar zagotavlja učinkovitejšo porabo javnih sredstev in večjo tehnološko suverenost.

Države po vsej Evropi so namreč vedno bolj odvisne od licenčne programske opreme, tudi od neevropskih ponudnikov. Odvisnost od (tujih) zasebnih korporacij in njihove intelektualne lastnine je neposredna grožnja suverenosti Republike Slovenije. Interoperabilnost zaprtokodnih sistemov je velikokrat omejena; tudi ko gre za podatkovne formate, so odprti formati potisnjeni na stranski tir. Sklenemo lahko, da odprtokodna programska oprema najbolje uresničuje načelo dobrega upravljanja z javnimi sredstvi.

Prosta programska oprema je prisotna na večini računalnikov in mobilnih telefonov, v naših avtomobilih, televizijah in vojaški opremi. Uporabljamo jo vsi, njeni ponudniki pa so tako srednja in majhna podjetja kot multinacionalne korporacije na eni strani ter fundacije, neprofitne organizacije in javna uprava na drugi.

MDP zato pozivamo, naj uveljavi načelo, po katerem so odprtokodne rešitve v postopkih javnega naročanja, razvoja in uporabe v državni upravi privzeta izbira. Odstopanja od tega načela naj bodo omejena ter transparentno in posamično utemeljena.