søndag den 8. marts 2015

Ny udgave af NemID i 2017

Næste udgave af NemID

Digitaliseringsstyrelsen har afholdt workshops
med deltagere fra interesseorganisationer og
erhvervslivet om det nye NemID.
Vi har siden 2010 oplevet NemID i to udgaver – i Java-ud­ga­ven til pc’er og i JavaScript-udgaven til både pc’er, tablets og smart-phones. Dermed er der også sagt farvel til Java til bor­ger­vendte NemID-tjenester, hvilket mange sikkert er glade for.
Der arbejdes allerede nu på næste generation af NemID. Man har nemlig erfaret en række ting, som for nogle men­nesker er upraktiske, og der er fremkommet ønsker, som man vil prøve at honorere. Kontrakten for den nu­væ­rende NemID-løsning udløber i slutningen af 2017. Derfor er man allerede nu i gang med at analysere og designe den kommen­de NemID-løsning.
Der er endnu ikke besluttet helt konkret, hvad det nye NemID skal omfatte, men der er indhentet ønsker fra borgere, interesseorganisationer og erhvervslivet. Digi­ta­li­se­ringsstyrelsen, der har det overordnede ansvar for NemID, er i færd med at analysere disse.
Man har på en række workshopper diskuteret emner som sikkerhed, sikring af privatlivsrettigheder, bruger­ven­lig­hed og anvendel­ses­områder for den næste generation af NemID. Det er en stor og kompleks opgave at få alt til fungere og passe sammen i en løsning, der skal være let og tryg at bruge for både den almindelige borger og for mange forskellige typer virksomheder, og som skal være gearet til skiftende behov og tek­no­lo­gier. Der er jo både et borgervendt NemID og en såkaldt NemID-medarbejder-signatur. Den sidste benyttes af såvel virksomheder som CVR-registrerede foreninger.

Punkter, der kan komme med i næste udgave af NemID

Der er bl.a. følgende emner oppe at vende:
· Den nye løsning skal alene omfatte identifikation og muligheden for at underskrive digitalt. Det har hidtil også været muligt at benytte NemID ved sending af krypteret og signeret e-mail, som sikrer mod, at andre kan læse og ændre beskeden.
·  Der bliver mulighed for forskellige sikringsniveauer. Det kendes allerede fra visse banker, at man kan logge på både med og uden nøglekort. Det giver ret til forskellige ting. Uden nøglekort kan der kun kigges og ikke gennem­føres en betaling eller overførsel. Tanken er, at der kan være andre tjenes­ter på nettet, hvor en lignende opde­ling kan være passende.
·   Et andet punkt gælder den centrale opbevaring af krypteringsnøgler. Der er både en offentlig og en privat kryp­teringsnøgle. Hvis NemID havde været en såkaldt avanceret digital signatur, skulle bor­ge­ren selv opbevare den private krypteringsnøgle. Det ville kræve enten et plastikkort med nøglen og en kortlæser på pc’en eller en USB-dims med den, som kan sættes i pc’en. Dette ville dog ikke virke sammen med smartphones og tablets, hvor disse normalt ikke kan tilsluttes. Så for nogle er det mest praktiske central opbevaring af disse nøgler, mens de mest sikkerhedskrævende borgere ønsker egen opbevaring. Man overvejer, om man skal tillade begge løsninger.    
· Der har været talt om muligheden for begrænsede former for informati-onsoverførsel ved NemID. Det kan f.eks. være, at personens alder eller CPR-nummer ikke skal overføres til webstedet. Derved kan NemID benyttes i situationer, som ikke er særligt sikkerhedskritiske eller person­føl­som­me eller i situationer, hvor disse oplys­nin­ger ikke ønskes oplyst.
·  På nuværende tidspunkt skal man være mindst 15 år for at benytte NemID. Der har forslag oppe om et NemID for mindreårige med begrænset anvendelsesområde. Det kan f.eks. være til at tilgå skolens skole­skemaer, lektieplaner, e-bøger og andet materiale, som lærere lægger ud til eleverne på nettet. Og der behøves måske heller ikke streng sikkerhed ved forældres adgang til meddelelser mellem skole og hjem, men hvor man gerne vil benytte NemID alligevel.
·   Der findes mennesker, der har flere nøglekort. En person kan f.eks. have ét nøglekort til privat brug; ét til sin virksomhed; ét til sin forening, hvor man er bestyrelsesmedlem; og ét til hver af de erhvervs­mæssige bestyrelser man er med i. Sidder man i to bestyrelser, giver det således fem nøglekort. For dem, der oplever dette, kan det være besværligt at skulle holde styr på dem alle. Derfor har det også været oppe at vende, om ikke det skulle være muligt med kun ét nøglekort og så muligheden for at vælge i hvilken rolle, det skal anvendes i den konkrete situation, når der logges på.
·  Noget man har valgt ikke at tage op på nuværende tidspunkt, men som EU-kommissionen arbejder med for tiden, er muligheden for at benytte de forskellige EU-landes digitale signaturer i de andre lande – altså et dansk NemID skal kunne anvendes på offentlige hjemmesider i f.eks. Holland, som har et tilsva­rende system. Det er en stor og kompleks opgave at få alle de forskellige eID-systemer (og ditto hjemmesider) til at fungere sammen. Spørgsmålet er om behovet for dette er særligt stort?

Måske vil arbejds­kraf­tens frie bevægelighed i EU-området medføre et ønske om denne mulighed. Det kan f.eks. være polakker, der arbejder midlertidigt i Danmark, som ønsker at benytte deres hjem­lands digitale signatur på SKATs og e-Boks’ hjemmesider.

Konklusion

I praksis bliver der nok ikke den store forskel for flertallet af borgere med det nye NemID. De vil stadig skulle logge på med en trefaktorløsning i de fleste tilfælde. Der vil for de fleste stadig blive benyttet nøglekort eller nøgleviser. Dette skyldes, at det er en forholdsvis brugervenlig og ret sikker løsning. Den er tilmed den billig­ste at gennemføre for staten. Der kan komme andre muligheder for de mest sikkerhedsbevidste med plastik­kort eller et USB-ID.
Om løsningen stadig vil blive kaldt NemID, eller måske NemID II, NemID 2.0, eID eller noget helt femte, vides endnu ikke. Men den skal rulles ud i slutningen af år 2017. Om det så stadig bliver det Nets A/S-ejede DanID, der kommer til at stå for driften, vides endnu ikke. Der skal en ny udbudsrunde til for at finde en egnet virk­som­­hed til at varetage hele Danmarks kommende digitale eID. 

Med venlig hilsen

Lars Laursen, forfatter til Bogen om NemID.

Ingen kommentarer:

Send en kommentar