Næste udgave af NemID
 |
Digitaliseringsstyrelsen har
afholdt workshops
med deltagere fra interesseorganisationer og
erhvervslivet om det nye NemID.
|
Vi har siden
2010 oplevet NemID i to udgaver – i Java-udgaven
til pc’er og i JavaScript-udgaven
til både pc’er, tablets og smart-phones. Dermed er der også sagt farvel til Java
til borgervendte NemID-tjenester, hvilket mange sikkert er glade for.
Der arbejdes
allerede nu på næste generation af NemID. Man har nemlig erfaret en række ting,
som for nogle mennesker er upraktiske, og der er fremkommet ønsker, som man
vil prøve at honorere. Kontrakten for den nuværende NemID-løsning udløber i
slutningen af 2017. Derfor er man allerede nu i gang med at analysere og
designe den kommende NemID-løsning.
Der er endnu
ikke besluttet helt konkret, hvad det nye NemID skal omfatte, men der er
indhentet ønsker fra borgere, interesseorganisationer og erhvervslivet. Digitaliseringsstyrelsen, der har
det overordnede ansvar for NemID, er i færd med at analysere disse.
Man har på en
række workshopper diskuteret emner som sikkerhed, sikring af
privatlivsrettigheder, brugervenlighed og anvendelsesområder for den næste
generation af NemID. Det er en stor og kompleks opgave at få alt til fungere og
passe sammen i en løsning, der skal være let og tryg at bruge for både den
almindelige borger og for mange forskellige typer virksomheder, og som skal
være gearet til skiftende behov og teknologier. Der er jo både et
borgervendt NemID og en såkaldt NemID-medarbejder-signatur. Den sidste benyttes
af såvel virksomheder som CVR-registrerede foreninger.
Punkter, der kan komme med i næste udgave af NemID
Der er bl.a.
følgende emner oppe at vende:
· Den nye løsning skal alene omfatte identifikation og muligheden for at underskrive digitalt. Det har hidtil også været muligt at benytte
NemID ved sending af krypteret og signeret e-mail, som sikrer mod, at andre kan
læse og ændre beskeden.
· Der bliver mulighed for forskellige sikringsniveauer. Det kendes allerede fra visse banker,
at man kan logge på både med og uden nøglekort. Det giver ret til forskellige
ting. Uden nøglekort kan der kun kigges og ikke gennemføres en betaling eller
overførsel. Tanken er, at der kan være andre tjenester på nettet, hvor en
lignende opdeling kan være passende.
· Et andet punkt gælder den centrale opbevaring af krypteringsnøgler. Der er både en offentlig
og en privat krypteringsnøgle. Hvis NemID havde været en såkaldt avanceret
digital signatur, skulle borgeren selv opbevare den private krypteringsnøgle.
Det ville kræve enten et plastikkort med nøglen og en kortlæser på pc’en eller
en USB-dims med den, som kan sættes i pc’en. Dette ville dog ikke virke sammen
med smartphones og tablets, hvor disse normalt ikke kan tilsluttes. Så for
nogle er det mest praktiske central opbevaring af disse nøgler, mens de mest
sikkerhedskrævende borgere ønsker egen opbevaring. Man overvejer, om man skal
tillade begge løsninger.
· Der har været talt om muligheden for begrænsede former for
informati-onsoverførsel ved NemID. Det kan f.eks. være, at personens alder eller
CPR-nummer ikke skal overføres til webstedet. Derved kan NemID benyttes i
situationer, som ikke er særligt sikkerhedskritiske eller personfølsomme
eller i situationer, hvor disse oplysninger ikke ønskes oplyst.
· På nuværende tidspunkt skal man være mindst 15
år for at benytte NemID. Der har forslag oppe om et NemID for mindreårige med begrænset anvendelsesområde. Det kan
f.eks. være til at tilgå skolens skoleskemaer, lektieplaner, e-bøger og andet
materiale, som lærere lægger ud til eleverne på nettet. Og der behøves måske
heller ikke streng sikkerhed ved forældres adgang til meddelelser mellem skole
og hjem, men hvor man gerne vil benytte NemID alligevel.
· Der findes mennesker, der har flere nøglekort. En person kan f.eks.
have ét nøglekort til privat brug; ét til sin virksomhed; ét til sin forening,
hvor man er bestyrelsesmedlem; og ét til hver af de erhvervsmæssige
bestyrelser man er med i. Sidder man i to bestyrelser, giver det således fem
nøglekort. For dem, der oplever dette, kan det være besværligt at skulle holde
styr på dem alle. Derfor har det også været oppe at vende, om ikke det skulle
være muligt med kun ét nøglekort og så muligheden for at vælge i hvilken rolle, det skal anvendes i den konkrete
situation, når der logges på.
· Noget man har valgt ikke at tage op på nuværende
tidspunkt, men som EU-kommissionen arbejder med for tiden, er muligheden for at benytte de forskellige EU-landes
digitale signaturer i de andre lande – altså et dansk NemID skal kunne
anvendes på offentlige hjemmesider i f.eks. Holland, som har et tilsvarende
system. Det er en stor og kompleks opgave at få alle de forskellige
eID-systemer (og ditto hjemmesider) til at fungere sammen. Spørgsmålet er om
behovet for dette er særligt stort?
Måske vil arbejdskraftens frie bevægelighed i EU-området medføre et
ønske om denne mulighed. Det kan f.eks. være polakker, der arbejder midlertidigt
i Danmark, som ønsker at benytte deres hjemlands digitale signatur på SKATs og
e-Boks’ hjemmesider.
Konklusion
I praksis bliver der nok ikke den
store forskel for flertallet af borgere med det nye NemID. De vil stadig skulle
logge på med en trefaktorløsning i de fleste tilfælde. Der vil for de fleste
stadig blive benyttet nøglekort eller nøgleviser. Dette skyldes, at det er en
forholdsvis brugervenlig og ret sikker løsning. Den er tilmed den billigste at
gennemføre for staten. Der kan komme andre muligheder for de mest
sikkerhedsbevidste med plastikkort eller et USB-ID.
Om løsningen stadig vil blive
kaldt NemID, eller måske NemID II, NemID 2.0, eID eller
noget helt femte, vides endnu ikke. Men den skal rulles ud i slutningen af år
2017. Om det så stadig bliver det Nets A/S-ejede DanID, der kommer til at stå
for driften, vides endnu ikke. Der skal en ny udbudsrunde til for at finde en
egnet virksomhed til at varetage hele Danmarks kommende digitale eID.
Med venlig hilsen
Lars Laursen, forfatter til Bogen om NemID.
